GEL IP DiagnosticoSituacionActual

ENTREGABLE 2: DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE
GOBIERNO EN LNEA
REA DE INVESTIGACIN Y PLANEACIN
Repblica de Colombia - Derechos Reservados
Bogot, D.C., Octubre de 2008
DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA

LA ESTRATEGIA DE GOBIERNO EN LNEA
FORMATO PRELIMINAR AL DOCUMENTO
Ttulo:
ENTREGABLE 2: DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA

DE GOBIERNO EN LNEA
Fecha elaboracin
aaaa-mm-dd:
3 Octubre 2008
Sumario:
Este documento correponde al entregable nmero 2. Diagnstico Situacin

Actual
Palabras Claves:
Diagnstico, estndares internacionales, compromisos, mapa interrelacin,

aspectos legales, habeas data, proteccin individuo, calidad, MECI, CSIRT,
Seguridad Informtica, Incidentes, sensibilizacin.
Formato:
Dependencia:
Cdigo:
Lenguaje:
Castellano
Investigacin y Planeacin
Versin:
Estado:
Categora:
Autor (es):
Equipo consultora Digiware
Revis:
Juan Carlos Alarcon
Aprob:
Ing. Hugo Sin
Firmas:
Informacin Adicional:
Ubicacin:
Pgina 2 de 197
Documento para
revisin por parte del
Supervisor del
contrato

CONTROL DE CAMBIOS
VERSIN
0
1
FECHA
30/09/ 2008
03/10/2008
No. SOLICITUD
RESPONSABLE
Equipo del Proyecto
Equipo del Proyecto
DESCRIPCIN
Entregable 2: Diagnstico de la Situacin Actual
Revisin interna conjunta equipo consultora Digiware
Pgina 3 de 197

TABLA DE CONTENIDO
1. AUDIENCIA ................................................................................................................................................. 20
2. INTRODUCCIN .......................................................................................................................................... 21
3. RESUMEN EJECUTIVO.................................................................................................................................. 22
4. DIAGNSTICO SITUACIN ACTUAL.............................................................................................................. 23
4.1. DIAGNSTICO 1: SEGURIDAD DE LA INFORMACIN ESTNDARES Y MEJORES PRCTICAS ..................................... 23
4.1.1. INTRODUCCIN ......................................................................................................................................................23
4.1.2. RELACIN DOCUMENTADA DE ESTNDARES Y MEJORES PRCTICAS NACIONALES E INTERNACIONALES EN SEGURIDAD DE LA
INFORMACIN.....................................................................................................................................................................23
4.1.3. MAPA DE INTERRELACIN DE ESTNDARES Y MEJORES PRCTICAS NACIONALES E INTERNACIONALES EN SEGURIDAD DE LA
INFORMACIN.....................................................................................................................................................................38
4.1.3.1. Objetivo...........................................................................................................................................................38
4.1.3.2. Estndares de Seguridad de la Informacin por categora.............................................................................38
4.1.3.3. Criterios de seleccin de Estndares de Seguridad de la Informacin. ..........................................................40
4.1.3.4. Mapa de Interrelacin de Estndares de Seguridad de la Informacin .........................................................44
4.1.3.5. Conclusiones ...................................................................................................................................................44
4.2. DIAGNSTICO 2: COMPROMISOS Y AVANCES DE COLOMBIA EN MATERIA DE SEGURIDAD DE LA INFORMACIN
NORMATIVA Y PROTECCIN DE INFORMACIN DEL INDIVIDUO............................................................................... 47
4.2.1. INTRODUCCIN ......................................................................................................................................................47
4.2.1.1. Relacin documentada compromisos internacionales de Colombia en materia de seguridad informtica..47
4.2.1.1.1. Comercio Electrnico ...................................................................................................................................47
4.2.1.1.2. Legislacin Interna en Materia de Comercio Electrnico ............................................................................49
4.2.1.1.3. Compromisos Internacionales de Colombia en Materia de Gobierno en Lnea..........................................53
4.2.1.1.4. Legislacin interna en Materia de Gobierno en Lnea.................................................................................54
4.2.1.1.5. Compromisos Internacionales en Materia de Seguridad Informtica.........................................................59
4.2.1.2. Relacin documentada de avances de Colombia en materia de proteccin de informacin del individuo y
Habeas Data ....................................................................................................................................................................61
4.2.1.2.1. Legislacin interna en Materia de Proteccin de Informacin del Individuo y Habeas Data......................61
4.2.1.2.2. Jurisprudencia Colombiana en Materia de Proteccin de Informacin del Individuo y Habeas Data ........74
4.2.1.3. Relacin documentada de avances de Colombia en materia normativa en seguridad informtica..............80
4.2.1.4. Relacin documentada de iniciativas y experiencias nacionales e internacionales en proteccin de
informacin del individuo y habeas data........................................................................................................................82
4.3. DIAGNSTICO 3: INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES EN CSIRTS ............................................ 86
4.3.1. INTRODUCCIN ......................................................................................................................................................86
Pgina 4 de 197

4.3.2. QU ES UN CSIRT ................................................................................................................................................87

4.3.3. ANTECEDENTES ..................................................................................................................................................88
4.3.4. BENEFICIOS DE CONTAR CON UN CSIRT .............................................................................................................89
4.3.5. ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO....................................................................89
4.3.5.1. FIRST - Forum for Incident Response and Security Teams..............................................................................93
4.3.5.1.1. Antecedentes ...............................................................................................................................................93
4.3.5.1.2. Servicios Ofrecidos.......................................................................................................................................94
4.3.5.1.3. Estructura.....................................................................................................................................................94
4.3.5.1.4. rea de Influencia ........................................................................................................................................95
4.3.5.2. ENISA - European Network and Information Security Agency .....................................................................101
4.3.5.2.1. Antecedentes .............................................................................................................................................101
4.3.5.2.2. Servicios Ofrecidos.....................................................................................................................................102
4.3.5.2.3. Estructura...................................................................................................................................................103
4.3.5.2.4. rea de Influencia ......................................................................................................................................103
4.3.5.3. APCERT - Asia Pacific Computer Emergency Response Team.......................................................................104
4.3.5.3.1. Antecedentes .............................................................................................................................................104
4.3.5.3.3. Estructura...................................................................................................................................................104
4.3.5.4. CERT - Coordination Center de la Universidad Carnegie Mellon..................................................................106
4.3.5.4.1. Antecedentes .............................................................................................................................................106
4.3.5.4.3. Estructura...................................................................................................................................................107
4.3.5.5. TERENA - Trans-European Research and Education Networking Association..............................................108
4.3.5.5.1. Antecedentes .............................................................................................................................................108
4.3.5.5.3. Estructura...................................................................................................................................................109
4.3.5.6. Alemania - CERT-Bund (Computer Emergency Response Team fr Bundesbehrden) ...............................110
4.3.5.6.1. Antecedentes .............................................................................................................................................110
4.3.5.7. Arabia Saudita - CERT-SA (Computer Emergency Response Team - Saudi Arabia) ......................................111
4.3.5.7.1. Antecedentes .............................................................................................................................................111
4.3.5.8. Argentina - ArCERT (Coordinacin de Emergencias en Redes Teleinformticas).........................................113
4.3.5.8.1. Antecedentes .............................................................................................................................................113
4.3.5.8.3. Estructura...................................................................................................................................................115
4.3.5.9. Australia - AusCERT (Australia Computer Emergency Response Team).......................................................115
4.3.5.9.1. Antecedentes .............................................................................................................................................115
4.3.5.10. Austria - CERT.at (Computer Emergency Response Team Austria) ............................................................117
4.3.5.10.1. Antecedentes ...........................................................................................................................................117
Pgina 5 de 197

4.3.5.10.2. Servicios Ofrecidos...................................................................................................................................117

4.3.5.10.3. rea de Influencia ....................................................................................................................................117
4.3.5.11. Brasil - CERT.br (Computer Emergency Response Team Brazil) .................................................................118
4.3.5.11.1. Antecedentes ...........................................................................................................................................118
4.3.5.12. Canad - PSEPC (Public Safety Emergency Preparedness Canada).............................................................119
4.3.5.12.1. Antecedentes ...........................................................................................................................................119
4.3.5.13. Chile CSIRT-GOV.......................................................................................................................................120
4.3.5.13.1. Antecedentes ...........................................................................................................................................120
4.3.5.13.3. Estructura.................................................................................................................................................121
4.3.5.14. Chile - CLCERT (Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional) ........................121
4.3.5.14.1. Antecedentes ...........................................................................................................................................121
4.3.5.14.3. Estructura.................................................................................................................................................122
4.3.5.15. China - CNCERT/CC (National Computer Network Emergency Response Technical Team) .......................122
4.3.5.15.1. Antecedentes ...........................................................................................................................................122
4.3.5.15.3. Estructura.................................................................................................................................................124
4.3.5.16. Corea del Sur - KrCERT/CC (CERT Coordination Center Korea)...................................................................126
4.3.5.16.1. Antecedentes ...........................................................................................................................................126
4.3.5.16.3. Estructura.................................................................................................................................................126
4.3.5.17. Dinamarca DK.CERT (Danish Computer Emergency Response Team).....................................................128
4.3.5.17.1. Antecedentes ...........................................................................................................................................128
4.3.5.17.3. Estructura.................................................................................................................................................129
4.3.5.18. Emiratos rabes Unidos aeCERT (The United Arab Emirates Computer Emergency Response Team)...129
4.3.5.18.1. Antecedentes ...........................................................................................................................................129
4.3.5.18.3. Estructura.................................................................................................................................................130
4.3.5.19. Espaa - ESCERT (Equipo de Seguridad para la Coordinacin de Emergencias en Redes Telemticas).....130
4.3.5.19.1. Antecedentes ...........................................................................................................................................130
4.3.5.19.3. Estructura.................................................................................................................................................131
4.3.5.20. Espaa IRIS-CERT (Servicio de seguridad de RedIRIS)..............................................................................132
4.3.5.20.1. Antecedentes ...........................................................................................................................................132
Pgina 6 de 197

4.3.5.20.3. Estructura.................................................................................................................................................133
4.3.5.21. Espaa - CCN-CERT (Cryptology National Center - Computer Security Incident Response Team).............134
4.3.5.21.1. Antecedentes ...........................................................................................................................................134
4.3.5.21.3. Estructura.................................................................................................................................................135
4.3.5.22. Espaa - INTECO-CERT (Centro de Respuestas a Incidentes en TI para PYMES y Ciudadanos)..................135
4.3.5.22.1. Antecedentes ...........................................................................................................................................135
4.3.5.23. Estados Unidos - US-CERT (United States - Computer Emergency Readiness Team).................................137
4.3.5.23.1. Antecedentes ...........................................................................................................................................137
4.3.5.23.3. Estructura.................................................................................................................................................138
4.3.5.24. Estonia CERT-EE (Computer Emergency Response Team of Estonia)......................................................138
4.3.5.24.1. Antecedentes ...........................................................................................................................................138
4.3.5.25. Filipinas - PH-CERT (Philippines Computer Emergency Response Team) ...................................................139
4.3.5.25.1. Antecedentes ...........................................................................................................................................139
4.3.5.26. Francia-CERTA (Centre d'Expertise Gouvernemental de Rponse et de Traitement des Attaques
informatiques)...............................................................................................................................................................140
4.3.5.26.1. Antecedentes ...........................................................................................................................................140
4.3.5.26.3. Estructura.................................................................................................................................................141
4.3.5.27. Hong Kong - HKCERT (Hong Kong Computer Emergency Response Coordination Centre)........................142
4.3.5.27.1. Antecedentes ...........................................................................................................................................142
4.3.5.28. Hungra - CERT (CERT-Hungary) ..................................................................................................................143
4.3.5.28.1. Antecedentes ...........................................................................................................................................143
4.3.5.29. India - CERT-In (Indian Computer Emergency Response Team) .................................................................145
4.3.5.29.1. Antecedentes ...........................................................................................................................................145
4.3.5.29.3. Estructura.................................................................................................................................................147
4.3.5.30. Japan - JPCERT/CC (JP CERT Coordination Center) .....................................................................................147
4.3.5.30.1. Antecedentes ...........................................................................................................................................147
4.3.5.31. Mxico UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cmputo) ............................149
Pgina 7 de 197

4.3.5.31.1. Antecedentes ...........................................................................................................................................149

4.3.5.31.3. Estructura.................................................................................................................................................150
4.3.5.32. Nueva Zelandia CCIP (Centre for Critical Infrastructure Protection) .......................................................151
4.3.5.32.1. Antecedentes ...........................................................................................................................................151
4.3.5.32.3. Estructura.................................................................................................................................................151
4.3.5.33. Holanda GOVCERT.NL ..............................................................................................................................152
4.3.5.33.1. Antecedentes ...........................................................................................................................................152
4.3.5.34. Polonia - CERT Polska (Computer Emergency Response Team Polska)......................................................153
4.3.5.34.1. Antecedentes ...........................................................................................................................................153
4.3.5.34.3. Estructura.................................................................................................................................................153
4.3.5.35. Qatar - Q-CERT (Qatar CERT).......................................................................................................................154
4.3.5.35.1. Antecedentes ...........................................................................................................................................154
4.3.5.35.3. Estructura.................................................................................................................................................155
4.3.5.36. Reino Unido - GovCertUK (CESGs Incident Response Team).....................................................................155
4.3.5.36.1. Antecedentes ...........................................................................................................................................155
4.3.5.37. Singapur SingCERT (Singapore CERT) .......................................................................................................157
4.3.5.37.1. Antecedentes ...........................................................................................................................................157
4.3.5.37.3. Estructura.................................................................................................................................................157
4.3.5.38. Sri Lanka SLCERT (Sri Lanka Computer Emergency Response Team) ......................................................158
4.3.5.38.1. Antecedentes ...........................................................................................................................................158
4.3.5.39. Tnez - CERT-TCC (Computer Emergency Response Team - Tunisian Coordination Center).....................160
4.3.5.39.1. Antecedentes ...........................................................................................................................................160
4.3.5.39.3. Estructura.................................................................................................................................................163
4.3.5.40. Venezuela CERT.ve (VenCERT Equipo de Respuesta para Emergencias Informticas)............................164
4.3.5.40.1. Antecedentes ...........................................................................................................................................164
4.3.5.40.3. Estructura.................................................................................................................................................165
4.3.6. EXPERIENCIAS O ANTECEDENTES EN COLOMBIA .............................................................................................166
Pgina 8 de 197

4.3.6.1. CIRTISI Colombia (Centro de Informacin y Respuesta Tcnica a Incidentes de Seguridad Informtica de
Colombia) ......................................................................................................................................................................166
4.3.6.1.1. Antecedentes .............................................................................................................................................166
4.3.6.1.3. Estructura...................................................................................................................................................168
4.3.6.2. CSIRT Colombia (COL CSIRT) .........................................................................................................................171
4.3.6.2.1. Antecedentes .............................................................................................................................................171
4.3.6.2.3. Estructura...................................................................................................................................................172
4.3.6.3. Comit Interamericano Contra el Terrorismo de la OEA (CICTE)..................................................................172
4.3.6.3.1. Antecedentes .............................................................................................................................................172
4.4. DIAGNSTICO 4: INICIATIVAS Y PROGRAMAS NACIONALES DE SENSIBILIZACIN A LA COMUNIDAD PARA EL USO ADECUADO DE LOS
SERVICIOS ELECTRNICOS .......................................................................................................................................174
4.4.1. INTRODUCCIN ....................................................................................................................................................174
4.4.2. RELACIN DOCUMENTADA .....................................................................................................................................174
4.4.3. CONCLUSIONES ....................................................................................................................................................175
5. TERMINOLOGA .........................................................................................................................................176
6. APNDICES ................................................................................................................................................191
7. BIBLIOGRAFA............................................................................................................................................197
Pgina 9 de 197

LISTA DE FIGURAS
ILUSTRACIN 1: PASES CON CSIRTS MIEMBROS DE FIRST
ILUSTRACIN 2: ESTRUCTURA DE ENISA
ILUSTRACIN 3: CERT APOYADOS POR EL CENTRO DE COORDINACIN DE LA UNIVERSIDAD CARNEGIE MELLON
ILUSTRACIN 4: ESTRUCTURA CNCERT/CC
ILUSTRACIN 5: SISTEMA DE LA RED PBLICA NACIONAL DE RESPUESTA A EMERGENCIAS DE SEGURIDAD CHINA
ILUSTRACIN 6: ESTRUCTURA CIRTISI COLOMBIA
Pgina 10 de 197
96
103
108
124
125
168

DERECHOS DE AUTOR
Portal www.iso27000.es
http://www.iso27000.es/avisolegal.html
Permisos obtenidos del autor. Respuesta obtenida al correo electrnico enviado 02/10/2008, permitiendo el uso,
reproduccin y traduccin de los contenidos.
CERT-CC, Tomado de http://www.cert.org:
External use and translations: You must request our permission to use our documents or prepare derivative works
for external use, or to make translations. Requests should be addressed to the SEI Licensing Agent through email
to permission@sei.cmu.edu or surface mail to SEI Licensing Agent, Software Engineering Institute,Carnegie
Mellon University, Pittsburgh PA 15213.
Se solicita autorizacin.
SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx:

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se
puede hacer referencia a la fuente.
FIRST. Tomado de: http://www.first.org/
Copyright 1995 - 2006 by FIRST.org, Inc.

ENISA. Tomado de:

http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf.
Reproduction of material published on this web site is authorized, provided the source is acknowledged, unless it
is stated otherwise. Where prior permission must be obtained for the reproduction or use of material published on
this web site the above mentioned permission shall be cancelled and restrictions shall be imposed through a legal
notice as appropriate published on that specific material.
APCERT. http://www.apcert.org/.
Pgina 11 de 197

Copyright(C) 2008 APCERT. All rights reserved

Terena. http://www.terena.org/
Alemania - CERT-Bund. http://www.bsi.bund.de/certbund/
Federal Office for Information Security (BSI). All rights reserved

Arabia Saudita - CERT-SA. http://www.cert.gov.sa/
Copyright 2006 - 2007 | Disclaimer. All Rights Reserved

Argentina ArCERT
Australia AusCERT. http://www.auscert.org.au/
The material on this web site is covered by copyright. Apart from any use permitted under the Copyright Act
1968, no part may be reproduced or distributed by any process or means, without the prior written permission of
AusCERT.
AusCERT acknowledges all instances where copyright is held by, or shared with, another organisation. In such
cases, each copyright owner should be contacted regarding reproduction or use of that material.
Se solicita autorizacin. Respuesta:
Date: Wed, 1 Oct 2008 03:43:58 +0000

CC: auscert@auscert.org.au
Subject: RE: RE: (AUSCERT#200869d4a) Re: Permission to use and to make translations about AusCert
To: fernandogaona@hotmail.com
From: auscert@auscert.org.au
-----BEGIN PGP SIGNED MESSAGE----Pgina 12 de 197

Hash: RIPEMD160
Hi Fernando,
We are happy for you to translate the sections of our website that you have highlighted. Additionally we have in
the last week assisted New Zealand via a workshop to aid them in the creation of a National CERT, and we also
provide training for the purpose of creating National CERT teams.
Please do not hesitate to contact us further regarding the possibility of training and further collaboration.
Regards,
- -- Jonathan Levine
Computer Security Analyst | Hotline: +61 7 3365 4417
AusCERT, Australia's National CERT | Fax: +61 7 3365 7031
The University of Queensland | WWW: www.auscert.org.au
QLD 4072 Australia | Email: auscert@auscert.org.au
Austria - CERT.at. www.cert.at

Brasil - CERT.br. http://www.cert.br

Canad PSEPC. http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp

Chile CSIRT-GOV. http://www.csirt.gov.cl/
La informacin presentada en este portal tiene finalidad informativa, especialmente dirigida a los responsables de
seguridad, administradores de redes y sistemas, personal informtico y en general cualquier individuo que cumpla
labores al interior de la Administracin del Estado. El mal uso de la informacin entregada puede ser sancionado
en conformidad al estatuto administrativo.
Como el acceso a este portal es pblico, en los casos en que se detecte uso malicioso de la informacin, o
intentos de quebrantar la seguridad del sistema, CSIRT Chile se reserva el derecho de ejercer todas las acciones
legales correspondientes contra quien resulte responsable de dichos actos, amparado en la Ley General de
Telecomunicaciones y la Ley de Delito Informtico.
Pgina 13 de 197

Queda estrictamente prohibido utilizar la informacin presentada en este portal sin el conocimiento y
consentimiento formal por parte de CSIRT Chile, en especial para efectos contrarios a los buscados por este
equipo.
Chile CLCERT. http://www.clcert.cl

China - CNCERT/CC. http://www.cert.org.cn/english_web/.

Corea del Sur - KrCERT/CC. http://www.krcert.or.kr/
COPYRIGHT KRCERT.OR.KR. ALL RIGHTS RESERVED.

All materials released by Internet Incident Response Support Center are protected under the copyright law and
copyrights of all released materials are owned by the center. Accordingly, it is prohibited to copy or distribute
them partially and entirely.
If you seek for economic profits or benefits equivalent of it, a prior consultation with the center or prior approval
from the center is required. In case those materials are quoted partially or entirely after prior consent or
approval, it shall clearly state that the source of quoted contents belongs to the center.
The hyperlink from other web sites to the main web page of the center is allowed but not to the other web pages
(sub domain). Also, before setting a hyperlink to the main web page of the Center, it should be notified to the
center in advance.
In case data posted at a web site of the Center is used for the purpose of positing at the other Internet sites in a
due manner, the arbitrary change of data except simple error correction is prohibited. The violation of this act is
subject to criminal punishment.
For the purpose of news report, criticism, education and study activities, data posted in the web page can be
quoted as long as they satisfy fair practices within a legal boundary.
However, in this case, the quotation of materials is limited to less than 10% of the whole contents. The violation
of this act is regarded as infringement on copyright.
As long as the data provided by the center is used for individual purpose (not commercial purpose) or within a
boundary of household and equivalent boundary, it can be copied for use. However, even if a specific company,
non-profit organization, intends to copy them for the purpose of internal use only, it is not allowed to copy
materials.
The illegal copy and distribution of materials provided by the center falls under infringement on copyright
property law and the violator is sentenced to imprisonment not exceeding 5 years and a fine not exceeding 50
Mio.won.
Pgina 14 de 197

For more detailed information, you can contact the Internet Incident Response Support Center
(Tel : 118 / cert@certcc.or.kr;cert@krcert.or.kr).
Dinamarca DK.CERT. https://www.cert.dk/
Informacin sobre estas pginas pueden ser protegidas por los derechos de autor
Emiratos rabes Unidos aeCERT. http://www.aecert.ae/
2007-2008 aeCERT . All rights reserved

Espaa ESCERT. http://escert.upc.edu/index.php/web/es/index.html
Los textos, diseos, imgenes, bases de datos, logotipos, estructuras, marcas y otros elementos de esCERT-UPC,
incluido todo lo referente a ALTAIR, estn protegidos por la normativa de aplicacin respecto a la propiedad
intelectual e industrial. esCERT-UPC autoriza a los usuarios a reproducir, copiar, distribuir, transmitir, adaptar o
modificar exclusivamente los contenidos de la web de esCERT-UPC, siempre que se especifique la fuente y/o los
autores.
Espaa IRIS-CERT. http://www.rediris.es/cert/

RedIRIS 1994-2008
Espaa - CCN-CERT. https://www.ccn-cert.cni.es/
2008 Centro Criptolgico Nacional - C/Argentona s/n 28023 MADRID

Espaa - INTECO-CERT. http://www.inteco.es/rssRead/Seguridad/INTECOCERT
Todos los elementos que forman el sitio Web, as como su estructura, diseo y cdigo fuente de la misma, son
titularidad de INTECO y estn protegidos por la normativa de propiedad intelectual e industrial.
Se prohbe la reproduccin total o parcial de los contenidos de este sitio Web, as como su modificacin y/o
distribucin sin citar su origen o solicitar previamente autorizacin.
Pgina 15 de 197

INTECO no asumir ninguna responsabilidad derivada del uso por terceros del contenido del sitio Web y podr
ejercitar todas las acciones civiles o penales que le correspondan en caso de infraccin de estos derechos por
parte del usuario.
Estados Unidos - US-CERT. http://www.us-cert.gov
You are permitted to reproduce and distribute documents on this web site in whole or in part, without changing
the text you use, provided that you include the copyright statement or "produced by" statement and use the
document for noncommercial or internal purposes. For commercial use or translations, send your email request to
webmaster@us-cert.gov.
Estonia CERT-EE. http://www.ria.ee/?id=28201

Filipinas - PH-CERT. http://www.phcert.org/

Francia-CERTA. http://www.certa.ssi.gouv.fr/
Hong Kong HKCERT. http://www.hkcert.org/

Hungra CERT. http://www.cert-hungary.hu/

India - CERT-In. http://www.cert-in.org.in/

Japan - JPCERT/CC. http://www.jpcert.or.jp/
Copyright 1996-2008 JPCERT/CC All Rights Reserved

Mxico UNAM-CERT. http://www.cert.org.mx/index.html

Pgina 16 de 197

Copyright Todos los derechos reservados, cert.org.mx. DSC/UNAM-CERT DGSCA

Nueva Zelandia CCIP. http://www.ccip.govt.nz/
Except where specifically noted, all material on this site is Crown copyright.
Material featured on this site is subject to Crown copyright protection unless otherwise indicated. The Crown
copyright protected material may be reproduced free of charge in any format or media without requiring specific
permission, provided that the material is reproduced accurately and is not further disseminated in any way, and
on condition that the source of the material and its copyright status are acknowledged.
The permission to reproduce Crown copyright protected material does not extend to any material on this site that
is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained
from the copyright holders concerned.
Holanda - GOVCERT.NL. http://www.govcert.nl/

Polonia - CERT Polska. http://www.cert.pl/
Copyright 2004 NASK

Qatar - Q-CERT. http://www.qcert.orgv

Reino Unido GovCertUK. www.govcertuk.gov.uk
Crown Copyright 2008

Reino Unido GovCertUK. www.govcertuk.gov.uk
The material featured on this site is subject to Crown Copyright protection unless otherwise indicated. The Crown
Copyright protected material (other than CPNI logo and website design) may be reproduced free of charge in any
format or medium provided it is reproduced accurately and not used in a misleading context. Where any of the
Pgina 17 de 197

Crown Copyright items on this site are being republished or copied to others, the source of the material must be
identified and the copyright status acknowledged.
The permission to reproduce Crown protected material does not extend to any material on this site which is
identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from
the copyright holders concerned.
For further information on Crown copyright policy and licensing arrangements, please refer to the guidance on
OPSI's website at www.opsi.gov.uk/advice/crown-copyright/copyright-guidance/index.htm.
Singapur SingCERT. http://www.singcert.org.sg/
1. SingCERT Security Alerts (such as advisories and bulletins): Permission is granted to reproduce and distribute
SingCERT security alerts in their entirety, provided the SingCERT PGP signature or the PGP signature of the
original creator of the alerts is included and provided the alert is used for noncommercial purposes with the intent
of increasing the awareness of the Internet community.
2. All materials produced by SingCERT except as noted in Section 1, "SingCERT security alerts": Requests for
permission to reproduce documents or Web pages or to prepare derivative works or external and commercial use
should be addressed to SingCERT through email to cert@singcert.org.sgThis e-mail address is being protected
from spam bots, you need JavaScript enabled to view it.
Sri Lanka SLCERT. http://www.cert.lk/
Copyright Reserved. Sri Lanka CERT.

Website Material: All material on this website is covered by copyright. No part may be re-produced or distributed
by any process or means. Requests for permission to reproduce documents or Web pages or to prepare derivative
works for external and commercial use should be addressed to Sri Lanka CERT through email to
slcert@slcert.gov.lk.
Security Alerts: Permission is granted to reproduce and distribute Sri Lanka CERT security alerts such as
advisories and bulletins in its entirety, provided the signature of the original creator of the alerts is included and
provided the alert is used for non-commercial purposes.
Tnez - CERT-TCC. http://www.ansi.tn/en/about_cert-tcc.htm
Copyright 2006 ANSI

Venezuela CERT.ve. http://www.cert.gov.ve/
Pgina 18 de 197

CIRTISI COLOMBIA.
http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de
%202007%202.pdf
CSIRT Colombia. http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt

Solicitud de Autorizacin de uso y traduccin presentada a los diferentes organismos que as lo requieren:
Ttulo:
Permission to use and to make translations about CSIRT

Solicitud:
In order to design a CSIRT for the program Gobierno en Lnea (e-government) of Colombia, we want to identify
a documented relation of national and international initiatives and experiences in CSIRTs. Then we request
authorization to translate and to reproduce available information in your web page relating to precedents, offered
services, structure of the CSIRT and area of coverage.
The results will be compiled and presented in a technical paper "Design of a CSIRT for the Program Gobierno en
Linea of Colombia " in the chapter " Documented Relation of National and International Experiences and
Initiatives in CSIRTs ".
Cordial greeting,
Fernando Gaona
Organizations Team Leader
Project "Model of the Computer Security Management for e-Government"
Telephone (+57 3164720780)
Program "Agenda de Conectividad": http://www.agenda.gov.co/
Digiware: http://www.digiware.com.co/Digiware/index1.html
Pgina 19 de 197

1. AUDIENCIA
Este documento est dirigido a todo el equipo que interviene en el proyecto Modelo de Seguridad
Informtica para la Estrategia de Gobierno en Lnea de parte tanto del contratista como del contratante, y
tiene como propsito, lograr la ambientacin y comprensin de los objetivos y expectativas del proyecto en
mencin con la estrategia de Gobierno en Lnea, para que una vez teniendo claro el marco de referencia,
se pueda involucrar a la comunidad nacional e internacional relacionada con el tema de la seguridad de la
informacin, a las entidades pblicas y privadas, as como a la comunicad acadmica en general.
Pgina 20 de 197

2. INTRODUCCIN
El inters y la preocupacin por la seguridad de la informacin se han incrementado durante los ltimos
aos, puesto que nuevas amenazas surgen cada da con el uso de los servicios y tecnologas informticas,
las telecomunicaciones, el acceso a Internet y el comercio electrnico. Es as, como las diferentes
entidades del pas son cada vez ms dependientes del uso de redes pblicas, volviendo crtica la prestacin
de servicios, la estabilidad y productividad de las infraestructuras nacionales que componen esta nueva eeconoma emergente que es necesario de igual forma, urgente proteger.
Bajo la ptica y alcance de los principios definidos en la Estrategia de Gobierno en Lnea, existen dos que
corresponden a: "Proteccin de la informacin del individuo" y "Credibilidad y confianza en el Gobierno en
Lnea". Para lograr el cumplimiento de estos objetivos, se requiere que tanto los Servicios de Gobierno en
Lnea como la Intranet Gubernamental cumplan con los tres elementos fundamentales de la Seguridad de
la Informacin, a saber: disponibilidad de la informacin y los servicios; integridad de la informacin y los
datos; y, confidencialidad de la informacin.
Para la correcta administracin de la Seguridad Informtica, se deben establecer y mantener programas y
mecanismos que busquen cumplir con los tres requerimientos mencionados, no nicamente bajo la
perspectiva tecnolgica de las mejores prcticas y estndares internacionales en seguridad de la
informacin, sino tambin es necesario, abordar la problemtica de la seguridad desde la perspectiva
organizacional y jurdica, con el fin de consolidar una buena prctica en el Estado Colombiano, en lo
referente a la prestacin segura de los Servicios de Gobierno en Lnea.
Todo lo anterior debe estar acompaado de los instrumentos normativos que eliminen las barreras de
implementacin, as como de los elementos de divulgacin y capacitacin que apoyen la implementacin
del proyecto de seguridad para que le den confianza al usuario final y a los prestadores de servicios de
Gobierno en Lnea.
Pgina 21 de 197

3. RESUMEN EJECUTIVO
En materia de seguridad de la informacin existe un amplio panorama de normas tcnicas, estndares y
mejores prcticas que han sido emitidas por entidades gubernamentales, grupos de inters, institutos de
normalizacin, organizaciones independientes y comunidad acadmica, de las cuales se elabor una
relacin documentada, que sin ser exhaustiva, refleja el estado del arte en lo referente a los Sistemas de
Gestin de Seguridad de la Informacin - SGSI.
En Colombia, las normas internacionales en seguridad de la informacin, han sido adoptadas por el
Instituto Colombiano de Normas Tcnicas y Certificacin, ICONTEC, por otra parte, el Gobierno Colombiano
ha generado normativas de control interno como el MECI 1000 y de calidad como la NTCGP 1000 apoyado
por estndares internacionales (COSO, ISO9001 respectivamente).
Las organizaciones de distintos sectores, ven en la implementacin de sistemas de gestin, ventajas
competitivas que apoyan sus procesos misionales.
En el componente jurdico, adems de haber compilado la normatividad existente en seguridad informtica,
habeas data y proteccin de informacin del individuo, se ha logrado un compendio de normas que
vinculan al Estado Colombiano o actualmente estn vigentes en materia de Gobierno en Lnea, comercio
electrnico y manejo legal de la informacin, describiendo una a una cada norma haciendo nfasis en su
vigencia y aplicacin, incluyendo las normas de derecho comparado ms relevantes.
A nivel de Centros de Respuesta a Incidentes de Seguridad Computacional CSIRT (por las siglas en ingls
de Computer Security Incident Response Teams), se incluye una relacin documental de algunas
experiencias nacionales e internacionales relacionadas, considerando sus antecedentes, servicios ofrecidos,
su estructura y rea de influencia, con el fin de identificar mejores prcticas para la constitucin de un
CSIRT para el Estado Colombiano.
En cuanto a las iniciativas y programas nacionales de sensibilizacin a la comunidad para el uso adecuado
de los servicios electrnicos, se incluye una relacin documental de algunas pocas iniciativas en este
sentido y que denotan lo importante que es para Gobierno en Lnea prever esta actividad como una de las
ms importantes a desarrollar para que el modelo de seguridad informtica propuesto sea una realidad.
Pgina 22 de 197

4. DIAGNSTICO SITUACIN ACTUAL

4.1. DIAGNSTICO 1: SEGURIDAD DE LA INFORMACIN ESTNDARES Y
MEJORES PRCTICAS
4.1.1.
Introduccin
El inters y la preocupacin por la seguridad de la informacin se han incrementado durante los

ltimos aos, puesto que nuevas amenazas surgen cada da con el uso de las tecnologas
informticas, las telecomunicaciones, el acceso a Internet y el comercio electrnico. Es as como
organizaciones de diferentes sectores, grupos de inters, organismos gubernamentales,
instituciones de normalizacin y profesionales de diferentes disciplinas, han apoyado e impulsado
la continua creacin y actualizacin de estndares y mejores prcticas para la seguridad de la
informacin. La relacin documentada de estndares y mejores prcticas del numeral 4.1.2
presenta, sin ser una relacin exhaustiva, el estado del arte en estndares, guas y mejores
prcticas para la seguridad de la informacin orientada hacia los requerimientos tanto generales
como a nivel tcnico que todo modelo y sistema de gestin en seguridad de la informacin SGSI
debe tener para ser aceptado a todo nivel, tanto nacional como internacional y que Colombia
debe acoger para cumplir con sus compromisos internacionales en materia de seguridad en la
informacin.
4.1.2.
Relacin documentada de estndares y mejores prcticas nacionales e internacionales en

seguridad de la Informacin
La siguiente tabla hace mencin a los principales estndares y mejores prcticas nacionales e
internacionales organizadas por tipo de organismo: (ltimo acceso = .a; toda la tabla 30/09/2008)
Nombre Documento
NTC ISO-IEC 5411-1 Tecnologa de

la
informacin.
Tcnicas
de
Seguridad. Gestin de la Seguridad
de la Tecnologa de la Informacin y
las
comunicaciones.
Parte
1:
Conceptos y modelos para la
gestin de la tecnologa de la
Resumen
Enlace documento
La parte 1 presenta una visin general http://www.icontec.org/Catalogo.asp

de
los
conceptos
y
modelos
fundamentales usados para describir
la gestin de la seguridad de las TICs.
Es
una
adopcin
idntica
por
traduccin respecto a la norma
Pgina 23 de 197
Vigencia y
Aplicacin
Fuente
2006-03-22
ICONTEC

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
informacin y las comunicaciones.
ISO/IEC 13335-1:2004.
NTC-ISO/IEC 27001 Tecnologa de

la
Informacin.
Tcnicas
de
Seguridad. Sistemas de Gestin de
la Seguridad de la Informacin
(SGSI). Requisitos.
Especifica los requerimientos para http://www.icontec.org/Catalogo.asp

establecer,
implementar,
operar,
monitorear, revisar, mantener y
mejorar un sistema de gestin de
seguridad
de
la
informacin
documentado dentro del contexto de
los riesgos de negocio de las
organizaciones.
Es una adopcin
idntica por traduccin respecto a la
norma ISO/IEC 27001.
2006-03-22
ICONTEC
NTC- ISO/IEC 17799 Tecnologa de

la
Informacin.
Tcnicas
de
Seguridad. Cdigo de Prctica para
la gestin de seguridad de la
informacin.
Establece guas y principios generales http://www.icontec.org/Catalogo.asp

para iniciar, implementar, mantener y
seguridad de la informacin en una
organizacin.
Es
una
adopcin
idntica por traduccin respecto a la
norma ISO/IEC 17799:2005.
2006-09-22
ICONTEC
GTC 176 Sistema de Gestin de Presenta un modelo para establecer, http://www.icontec.org/Catalogo.asp

Continuidad del Negocio
implementar,
operar,
hacer
seguimiento, revisar, mantener y
mejorar un sistema de gestin de la
continuidad del negocio (SGCN).
2008-05-28
ICONTEC
NTC 5244 Gestin del Riesgo
2006-08-30
ICONTEC
Manual Directrices de Gestin del Este manual ayuda a entender la http://www.icontec.org/Catalogo.asp

Riesgo/Complementa
la
NTC forma como se debe interpretar la
5254:2006
NTC 5254 gestin del riesgo.
2008
ICONTEC
The Standard for Good Practice for Enfoca la seguridad de la informacin https://www.isfsecuritystandard.com/
Information Security
desde una perspectiva del negocio y SOGP07/index.htm
proporciona a una base prctica para
evaluar los acuerdos en seguridad de
2007
ISF,
Information
Security
Forum
Presenta unos requisitos generales http://www.icontec.org/Catalogo.asp

para
el
establecimiento
e
implementacin
del
proceso
de
gestin del riesgo, que involucra la
determinacin del contexto y la
identificacin, anlisis, evaluacin,
tratamiento,
comunicacin
y
monitoreo regular de los riesgos.
Pgina 24 de 197

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
2007
ISM3
Consortium
Septiembre
de 1996
NIST
Abril de
1998
NIST
Febrero de
2006
NIST
NIST SP 800 30 Risk Management Presenta definiciones y una gua http://csrc.nist.gov/publications/nistp

Guide for Information Technology prctica para evaluar y mitigar riesgos ubs/800-30/sp800-30.pdf
Systems
identificados en los sistemas de TI.
Julio de
2002
NIST
NIST SP 800 34 Contingency Proporciona

instrucciones, http://csrc.nist.gov/publications/nistp
Planning Guide For Information recomendaciones y consideraciones ubs/800-34/sp800-34.pdf
Technology Systems
para la planeacin de contingencias
en el gobierno de TI.
Junio de
2002
NIST
la informacin de una organizacin.
ISM3,
Information
Security Extiende los principios de gestin de http://www.ism3.com/
Management Maturity Model v2.00
calidad de la ISO9001 a sistemas de
gestin
de
seguridad
de
la
informacin (ISM). Se enfoca no tanto
en controles sino en los procesos
comunes
de
seguridad
de
informacin.
NIST SP 800-14 Generally Accepted Proporciona una base para revisar los http://csrc.nist.gov/publications/nistp
Principles and Practices for Securing programas de seguridad de TI. ubs/800-14/800-14.pdf
Information Technology Systems
Permite ganar un entendimiento de
los
requerimientos
bsicos
de
seguridad para los sistemas de TI.
Describe 8 principios y 14 prcticas de
seguridad.
NIST
SP
800-16
Technology Security
Information Provee un marco de referencia http://csrc.nist.gov/publications/nistp

integrado para identificar necesidades ubs/800-16/800-16.pdf
de entrenamiento para la fuerza de
trabajo y asegurar que se recibe
Training Requirements: A Role- and entrenamiento apropiado.
Performance-Based Model
NIST SP 800 18 Guide

Developing
Security
Plans
Federal Information Systems
for Presenta un conjunto de actividades y http://csrc.nist.gov/publications/nistp

for conceptos para desarrollar un plan de ubs/800-18-Rev1/sp800-18-Rev1final.pdf
seguridad de la informacin.
Pgina 25 de 197

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
Diciembre
de 2007
NIST
2004-02-04
NIST
Esta gua se compone de una serie de http://www.asisonline.org/guidelines/

procesos
y
actividades
inter- inprogress_published.htm
relacionadas para apoyar la creacin,
prueba y mantenimiento de un plan a
nivel de la toda la organizacin que
pueda usarse en el evento de una
crisis que amenace la viabilidad y
continuidad de la organizacin.
2005
Asis
International
General Security Risk Assessment Consiste en una gua de 7 pasos para http://www.asisonline.org/guidelines/
Guideline
evaluar los riesgos de seguridad.
inprogress_published.htm
2003
Asis
International
Chief Security Officer Guideline
Herramienta que permite definir una http://www.asisonline.org/guidelines/

arquitectura
de
seguridad inprogress_published.htm
caracterizada
por
conciencia
apropiada, prevencin, alistamiento y
respuesta a cambios en situaciones de
amenaza.
2008
Asis
International
Protection Proporciona unos principios guas para http://www.asisonline.org/guidelines/

desarrollar una poltica de proteccin inprogress_published.htm
de activos de informacin en una
organizacin.
2007
Asis
International
2007
ITGI e ISACA
NIST SP 800 53 Recommended Proporciona gua para seleccionar y http://csrc.nist.gov/publications/nistp

Security
Controls
for
Federal especificar controles de seguridad ubs/800-53-Rev2/sp800-53-rev2Information Systems
para sistemas de informacin que final.pdf
apoyan las agencias ejecutivas del
Gobierno Federal. Toma como base el
FIPS 200.
System
Protection
Profile
Industrial Control Systems
- Incluye requerimientos funcionales de http://www.isd.mel.nist.gov/projects/

seguridad
y
requerimientos
de processcontrol/SPP-ICSv1.0.pdf
aseguramiento para sistemas de
control industrial (ICS). Est basado
en la ISO15408.
Business Continuity Guideline. A

Practical Approach For Emergency
Preparedness, Crisis Management,
And Disaster Recovery
Information
Guideline
Asset
Cobit 4.1 Control Objectives For Marco de Referencia para el Gobierno http://www.itgi.org/
Information
And
Related y control de TI. Se presenta como un
Technology.
modelo de procesos que se subdivide
en 4 dominios, 34 procesos y 215
objetivos de control. Para cada uno de
los procesos de TI se presenta un
Pgina 26 de 197

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
Proporciona a la Junta Directiva y a www.isaca.org

ejecutivos Senior un enfoque racional
y reconocido para proteger
los
activos vitales de informacin que
apoyan los procesos del negocio.
2006
ISACA
Information Security Governance Discute

cmo
desarrollar
una www.isaca.org
Guidance for Information Security estrategia
de
seguridad
de
la
managers
informacin dentro del marco de
referencia de gobierno de una
organizacin y cmo direccionar la
estrategia mediante un programa de
seguridad de la informacin. Provee
una
gua
para
determinar
los
objetivos de la seguridad de la
informacin y cmo medir el progreso
hacia el logro de los mismos.
2008
ISACA
Cobit
Security
Baseline
An Esta gua de supervivencia se centra www.isaca.org
Information Security Survival Kit
en
los
riesgos
especficos
de
forma
sencilla
de
seguir
e
implementar tanto para el usuario en
casa como para el usuario de
pequeas,
medianas
o
grandes
empresas,
e
igualmente
para
ejecutivos y miembros de juntas
directivas de grandes organizaciones.
2007
ISACA
ITIL
Conjunto de mejores prcticas para la http://www.best-managementadministracin y garanta de alta practice.com/

calidad en la prestacin de los
servicios de TI, independiente de los
proveedores de hardware y software.
2007
OGG(British
Office of
Government
Commerce)
Risk Provee una gua general para el http://www.saiglobal.com/shop/Script

establecimiento y la implantacin de /details.asp?docn=AS0733759041AT
procesos de administracin del riesgo
e involucra establecer el contexto,
identificacin, anlisis, evaluacin,
tratamiento,
comunicacin
y
monitoreo de los riesgos.
2004
Standards
Australia
modelo de madurez cuyo propsito es

identificar
el desempeo actual,
compararse
con
la
industria,
determinar dnde quiere estar y qu
necesita para mejorar.
Information Security Governance

Guidance for Boards of Directors
and
Executive
Management
Second Edition.
ASNZ
4360:
Management
2004:
Pgina 27 de 197

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
Magerit versin 2 Metodologa de Ofrece un mtodo sistemtico para http://www.csi.map.es/csi/pg5m20.h

Anlisis y gestin de Riesgos de los analizar los riesgos de los sistemas de tm
sistemas de Informacin
informacin.
2006-06-20
Consejo
Superior de
Administracin
Electrnica
Directrices De La OCDE Para La Define 9 principios complementarios http://www.csi.map.es/csi/pdf/ocde_

Seguridad De Sistemas Y Redes De entre s y son de inters general tanto directrices_esp.pdf
Informacin. Hacia Una Cultura De en el mbito poltico como tcnico.
Seguridad
2004
OCDE(Organiz
acin de
Cooperacin y
desarrollo
Econmico)
Criterios
de
Seguridad, Proporciona un conjunto de medidas http://www.csi.map.es/csi/criterios/p
Normalizacin y Conservacin
organizativas y tcnicas de seguridad, df/criterios.pdf
normalizacin y
conservacin para
garantizar el cumplimiento de los
requisitos legales para la validez y
eficacia
de
los
procedimientos
administrativos de la Administracin
General del Estado, que utilicen los
medios
2004-06-24
Ministerio de
Administracion
es Pblicas
NFPA 75 Standard for the Protection Establece los requerimientos mnimos http://www.nfpa.org/aboutthecodes/
of
Information
Technology para la proteccin de los equipos de AboutTheCodes.asp?DocNum=75&coo
Equipment, 2009 Edition
tecnologa de informacin y las reas kie%5Ftest=1
de equipos de TI contra daos
causados por el fuego o sus efectos
asociados (humo, corrosin, calor y
agua).
Septiembre
5 de 2008
NFPA(National
Fire Protection
Association)
NFPA 76 Standard
Protection
A partir de
Octubre 10
de 2008
NFPA(National
Fire Protection
Association)
2005
TIA
(Telecommuni
cations
Industry
Association)
electrnicos,
informticos
y
telemticos en el ejercicio de sus
potestades.
for
the
Fire Provee los requerimientos para la http://www.nfpa.org/aboutthecodes/

proteccin contra el fuego de las AboutTheCodes.asp?DocNum=76
instalaciones de telecomunicaciones
que prestan servicios al pblico.
of Telecommunications
Facilities, 2009 Edition
ANSI/CSA/EIA/TIA-942
Telecommunications
Infrastructure
Standard
Define un estndar de infraestructura www.tiaonline.org

de telecomunicaciones para centros
de datos.
for
Data
Pgina 28 de 197

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
Centers
Network Security Model
Provee una forma de ensear e http://www.sans.org/reading_room/w

implementar medidas bsicas de hitepapers/modeling/32843.php
seguridad de red y dispositivos as
como identificar las causas de ataques
exitosos.
2008-08-03
SANS
Programming wireless security
Introduce algunas de las tcnicas de http://www.sans.org/reading_room/w

programacin
necesarias
para hitepapers/wireless/32813.php
construir herramientas inalmbricas
seguras.
2008-06-18
SANS
Developing a security awareness Examina las facetas importantes de http://www.sans.org/reading_room/w

culture
Improving
Security individuos y grupos que toman hitepapers/awareness/1526.php
Decision Making
decisiones
y provee una gua
descriptiva para mejorar la calidad de
los procesos de toma de decisiones
guiando hacia la toma de mejores
decisiones de seguridad.
2004-07-23
SANS
Unique User Identification(GIAC)
Discute
la
implementacin
de http://www.sans.org/score/hipaa/hip
identificacin de usuario nico que es aa1.pdf
parte de la regulacin de seguridad
HIPAA.
2004
SANS
Pgina de listas de chequeo
Permite descargar listas de chequeo http://www.sans.org/score/macosxch

para evaluar la seguridad de algunos ecklist.php
sistemas operativos, bases de datos,
dispositivos inalmbricos, firewall, etc.
Vara segn
el
documento
SANS
ISO/IEC 17799:2005 Information

technology -- Security techniques -Code of practice for information
security management
Establece guas y principios generales http://www.iso.org/iso/iso_catalogue.

para iniciar, implementar, mantener htm
un sistema de gestin de seguridad
en una organizacin.
2005-06-10
ISO
ISO/IEC 27002:2005 Information Establece guas y principios generales http://www.iso.org/iso/iso_catalogue.

technology -- Security techniques -- para iniciar, implementar, mantener htm
Code of practice for information un sistema de gestin de seguridad
en una organizacin. Su contenido es
2005-06-15
ISO
Pgina 29 de 197

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
security management
idntico a la ISO/IEC 17799:2005.
ISO/IEC 27001:2005
Information
technology -- Security techniques -Information security management
systems -- Requirements
especifica
los
requisitos
para http://www.iso.org/iso/iso_catalogue.
implantar, operar, vigilar, mantener, htm
evaluar un sistema de seguridad
informtica explcitamente
2005-10-14
ISO

technology - Security techniques Information
security
risk
management
Proporciona una gua para la gestin http://www.iso.org/iso/iso_catalogue.

de riesgos de seguridad de la htm
informacin. Soporta los conceptos
generales definidos en la ISO/IEC
27001 y apoya en la implementacin
de la seguridad de la informacin
basada en un enfoque de gestin de
riesgos.
2008-06-04
ISO
ISO/IEC 12207:2008 Systems and Establece un marco comn para los http://www.iso.org/iso/iso_catalogue. 2008-03- 18
software engineering - Software life procesos del ciclo de desarrollo del htm
cycle processes
software.
Contiene
procesos,
actividades y tareas a ser aplicadas
en la adquisicin de un producto o
servicio de software y durante el ciclo
de vida de los productos de software.
ISO
ISO/IEC19790:2006
Information Especifica cuatro niveles de seguridad http://www.iso.org/iso/iso_catalogue.
technology -- Security techniques -- para mdulos criptogrficos.
htm
Security
requirements
for
cryptographic
modules
Entre los objetivos funcionales de
seguridad estn:
2006-03-09
ISO
2008-06-26
ISO
Especificacin de mdulo
Puertos e interfaces
Roles, servicios y autenticacin
Modelo de estado finito
Seguridad Fsica
Ambiente Operacional
Administracin
de
llaves
criptogrficas
Auto tests
Aseguramiento del diseo
Mitigacin de otros ataques
ISO/IEC 19790:2006 es derivado del

NIST Federal Information Processing
Standard PUB 140-2 May 25, 2001.
ISO/IEC 24759:2008 Information Especifica los mtodos a ser utilizados http://www.iso.org/iso/iso_catalogue.

technology -- Security techniques -- en las pruebas de laboratorio para
Test requirements for cryptographic probar si un mdulo criptogrfico es
Pgina 30 de 197

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
modules
conforme con los requerimientos htm

especificados
en
la
ISO/IEC
19790:2006.
ISO/IEC 18043:2006
Information
technology -- Security techniques -Selection,
deployment
and
operations of intrusion detection
systems
Describe el cmo
para los http://www.iso.org/iso/iso_catalogue.
administradores
y
usuarios
que htm
desean: entender los beneficios y
limitaciones de los IDS; desarrollar
una estrategia y un
plan de
implementacin para IDS; administrar
efectivamente los IDS; integrar la
intrusin y deteccin en las prcticas
de seguridad de la organizacin;
entender los riesgos y problemas
legales generados con el deployment
de los IDS.
2006-06-19
ISO
ISO/IEC
TR
18044:2004
Information technology -- Security
techniques -- Information security
incident management
Es una gua de administracin de http://www.iso.org/iso/iso_catalogue.

incidentes
de
seguridad
de
la htm
informacin para administradores de
seguridad de la informacin y para
administradores
de
sistemas
de
informacin.
2004-10-12
ISO
ISO/TR 13569:2005
Financial Es una gua para el desarrollo de un http://www.iso.org/iso/iso_catalogue.
services -- Information security programa
de
seguridad
de htm
guidelines
informacin
para
instituciones
financieras. Incluye discusin de
polticas, organizacin y estructura,
componentes legales y normativos.
2005-11-22
ISO
ISO/IEC 18033-2:2006 Information Especifica los sistemas de encriptacin http://www.iso.org/iso/iso_catalogue.

technology -- Security techniques -- (cifrado)
para
propsitos
de htm
Encryption algorithms -- Part 2: confidencialidad de datos.
2006-05-08
ISO
Suministra informacin sobre los

beneficios que se obtienen y los
aspectos claves asociados a un buen
enfoque de gestin de incidentes de
seguridad de informacin.
Presenta ejemplos de incidentes de

seguridad de informacin y posibles
causas.
Presenta una descripcin del proceso

de administracin de incidentes de
seguridad de informacin.
Pgina 31 de 197

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
Asymmetric ciphers
ISO/IEC 27002:2005
Information
technology -- Security techniques -Code of practice for information
security management
Establece guas y principios generales http://www.iso.org/iso/iso_catalogue.

para iniciar, implementar, mantener y htm
organizacin.
2005-06-15
ISO
ISO/IEC 18028-1:2006 Information

technology -- Security techniques -IT network security -- Part 1:
Network security management
Presenta una gua detallada de http://www.iso.org/iso/iso_catalogue.

aspectos
de
seguridad
en
la htm
administracin, operacin y uso de
redes de TI y sus interconexiones.
Amplia las guas de administracin de
seguridad de los estndares ISO/IEC
13335 e ISO/IEC 17799 detallando las
operaciones especficas y mecanismos
necesarios
para
implementar
controles de seguridad de red en
ambientes de red de rango amplio.
2006-07-04
ISO

technology -- Security techniques -Requirements for bodies providing
audit and certification of information
security management systems
Especifica
los
requerimientos
y http://www.iso.org/iso/iso_catalogue.
proporciona gua para las entidades htm
de auditoria y certificacin de los
SGSI.
2007-02-13
ISO
ISO/IEC
27799:2008
Health Presenta una gua de mejores http://www.iso.org/iso/iso_catalogue.
informatics -- Information security prcticas para la seguridad de la htm
management
in
health
using informacin en el rea de la salud.
ISO/IEC 27002
Aplica para la informacin de salud en
todos sus aspectos; en todas las
formas posibles de presentacin de la
informacin
(palabras,
nmeros,
registros de sonidos, dibujos, video,
imgenes, etc.)
2008-06-12
ISO
ISO/IEC 18045:2008
Information
technology -- Security techniques -Methodology
for
IT
security
evaluation
2008-08-19
ISO
Es un complemento al ISO/IEC 15408 http://www.iso.org/iso/iso_catalogue.

Information technology - Security htm
techniques - Evaluation criteria for IT
security.
Define las acciones mnimas que

desarrolla un evaluador al conducir
una evaluacin de la ISO/IEC 15408,
utilizando los criterios y evidencia de
la evaluacin planteado en dicho
estndar.
Pgina 32 de 197

Nombre Documento
Vigencia y
Aplicacin
Fuente
Diseado para confirmar mediante un http://www.iso.org/iso/iso_catalogue.

sistema
de
numeracin
y htm
procedimiento
de
registro,
las
identidades tanto del proveedor de la
aplicacin de salud como del dueo de
la tarjeta de salud para el intercambio
de informacin.
2006-12-01
ISO
ISO 20301:2006 Health informatics Regula la informacin visual escrita en http://www.iso.org/iso/iso_catalogue.

-Health
cards
-General las tarjetas de salud. Se enfoca en htm
characteristics
tarjetas tipo ID-1 definidas en la
ISO/IEC 7810 generadas por los
servicios de salud que se prestan en
un rea que abarca las fronteras
nacionales entre dos o ms pases o
reas.
2006-10-31
ISO
ISO 22857:2004 Health informatics

-- Guidelines on data protection to
facilitate trans-border flows of
personal health information
Proporciona
una
gua
en
los http://www.iso.org/iso/iso_catalogue.
requerimientos de proteccin de los htm
datos para facilitar la transferencia de
los datos de salud entre fronteras
nacionales.
2004-03-17
ISO
ISO/IEC 15444-8:2007 Information Especifica el marco de referencia, los http://www.iso.org/iso/iso_catalogue.

technology -- JPEG 2000 image conceptos
y
metodologa
para htm
coding system: Secure JPEG 2000
asegurar cadenas de datos JPEG
2000.
2007-04-04
ISO
ISO/TR
22221:2006
Health
informatics - Good principles and
practices
for
a
clinical
data
warehouse
Define principios y prcticas para la http://www.iso.org/iso/iso_catalogue.

creacin,
uso,
mantenimiento
y htm
proteccin de una DWH clnica e
incluye
aspectos
ticos;
requerimientos de proteccin de datos
y recomendaciones de polticas para
el gobierno de la seguridad de la
informacin.
2006-10-25
ISO

technology -- Common Biometric
Exchange Formats Framework -Part 2: Procedures for the operation
of
the
Biometric
Registration
Authority
Especifica los requerimientos para la http://www.iso.org/iso/iso_catalogue.

operacin de la Autoridad de Registro htm
Biomtrico dentro del marco de
referencia
de
los
formatos
de
intercambio biomtrico (CBEFF).
2006-05-04
ISO
ISO 20302:2006 Health informatics

-- Health cards -- Numbering
system and registration procedure
for issuer identifiers
Resumen
Enlace documento
Pgina 33 de 197

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
ISO 19092:2008 Financial services Describe el marco de referencia para http://www.iso.org/iso/iso_catalogue.

-- Biometrics -- Security framework el uso de la biometra en la htm
autenticacin de los clientes en el
sector de los servicios financieros.
2008-01-07
ISO
ISO
17090-1:2008
Health
informatics
-Public
key
infrastructure -- Part 1: Overview of
digital certificate services
Define los conceptos bsicos sobre el http://www.iso.org/iso/iso_catalogue.

uso de certificados digitales en el rea htm
de la salud y proporciona un esquema
de
requerimientos
de
interoperabilidad
para
establecer
comunicaciones
seguras
de
la
informacin
de
salud
mediante
certificados digitales.
2008-02-14
ISO

technology -- Security techniques -Key management
-- Part
1:
Framework
Define
un
modelo
general
de http://www.iso.org/iso/iso_catalogue.
administracin
de
claves htm
independiente
del
algoritmo
criptogrfico que se use. Identifica el
objetivo, los conceptos bsicos y los
servicios de la administracin de
claves.
1996-12-26
ISO
ISO/IEC 13888-1:2004 IT security Presenta un modelo general para http://www.iso.org/iso/iso_catalogue.

techniques -- Non-repudiation -- especificar mecanismos de no repudio htm
Part 1: General
utilizando tcnicas criptogrficas.
2004-06-10
ISO
ISO/IEC 9075-1:2008 Information Define en conjunto con las ISO/IEC http://www.iso.org/iso/iso_catalogue.

technology -- Database languages - 9075-2:2008
e
ISO/IEC
9075- htm
- SQL -- Part 1: Framework 11:2008 los requerimientos mnimos
(SQL/Framework)
del lenguaje SQL. Especifica el marco
de referencia conceptual usado en
otras partes de ISO/IEC 9075.
2008-07-17
ISO
ISO/IEC 9075-2:2008 Information Define las estructuras de datos y http://www.iso.org/iso/iso_catalogue.

technology -- Database languages - operaciones bsicas en SQL. Provee htm
- SQL -- Part 2: Foundation capacidades funcionales para crear,
(SQL/Foundation)
acceder,
mantener,
controlar
y
proteger datos en SQL.
2008-07-17
ISO
ISO/IEC 9075-3:2008 Information Define las estructuras y funciones que http://www.iso.org/iso/iso_catalogue.

technology -- Database languages - deben usarse para ejecutar las htm
- SQL -- Part 3: Call-Level Interface declaraciones del lenguaje SQL dentro
de una aplicacin escrita en un
lenguaje estndar de programacin de
2008-07-17
ISO
Pgina 34 de 197

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
(SQL/CLI)
manera que las funciones utilizadas

sean
independientes
de
las
declaraciones SQL a ser ejecutadas.

technology -- Database languages - SQL -- Part 4: Persistent Stored
Modules (SQL/PSM)
Especifica la sintaxis y semntica de http://www.iso.org/iso/iso_catalogue.

las declaraciones para agregar mayor htm
capacidad procedimental al lenguaje
SQL
en
las
funciones
y
procedimientos.
2008-07-17
ISO

technology -- Database languages - SQL -- Part 9: Management of
External Data (SQL/MED)
Define extensiones a SQL para http://www.iso.org/iso/iso_catalogue.

soportar la administracin de datos htm
externos mediante el uso de tipos de
datos wrapper y datalink.
2008-07-17
ISO

technology -- Database languages - SQL -- Part 10: Object Language
Bindings (SQL/OLB)
Define las extensiones al lenguaje http://www.iso.org/iso/iso_catalogue.

SQL para soportar declaraciones de htm
SQL embebidas en programas escritos
en Java.
2008-07-17
ISO
ISO/IEC 9075-11:2008 Information Especifica un esquema de informacin http://www.iso.org/iso/iso_catalogue.

technology -- Database languages - y un esquema de definicin.
htm
- SQL -- Part 11: Information and
Definition Schemas (SQL/Schemata)
2008-07-17
ISO
ISO/IEC9075-13:2008 Information
technology -- Database languages - SQL -- Part 13: SQL Routines and
Types
Using
the
Java
TM
Programming Language (SQL/JRT)
2008-07-17
ISO
Define la capacidad de invocar http://www.iso.org/iso/iso_catalogue.

mtodos
estticos
escritos
en htm
lenguaje JAVA como rutinas invocadas
de SQL y utiliza clases definidas en
JAVA
como
tipos
estructurados
definidos por el usuario en SQL.
ISO/IEC9075-14:2008 Information Define la forma en que el lenguaje http://www.iso.org/iso/iso_catalogue.

technology -- Database languages - SQL puede usarse en conjunto con htm
- SQL -- Part 14: XML-Related XML.
Specifications (SQL/XML)
ISO/IEC 18014-1:2008Information Describe un marco de referencia y http://www.iso.org/iso/iso_catalogue.

technology -- Security techniques -- define
la
nocin
bsica,
las htm
Time-stamping services -- Part 1: estructuras de datos, y protocolos que
deben ser usados por las tcnicas de
time
stamping
o
estampacin
Pgina 35 de 197
ISO
2008-08-26
ISO

Nombre Documento
Vigencia y
Aplicacin
Fuente
ISO/IEC 11770-3:2008 Information Define mecanismos de administracin http://www.iso.org/iso/iso_catalogue.

technology -- Security techniques -- de claves basados en tcnicas htm
Key management
-- Part
3: criptogrficas asimtricas.
Mechanisms
using
asymmetric
techniques
2008-07-02
ISO

technology -- Security techniques -Evaluation criteria for IT security -Part 1: Introduction and general
model
Define dos formas para expresar la http://www.iso.org/iso/iso_catalogue.

seguridad funcional de TI y los htm
requerimientos
de
aseguramiento
(Protection Profile y Security Target).
2005-09-22
ISO

technology -- Security techniques -Evaluation criteria for IT security -Part
2:
Security
functional
components
Define el contenido y presentacin de http://www.iso.org/iso/iso_catalogue.

los requerimientos funcionales de htm
seguridad que van a ser evaluados en
una
evaluacin
de
seguridad
utilizando ISO/IEC 15408. Contiene
un
catlogo
de
componentes
funcionales de seguridad predefinidos
que cubrirn las necesidades ms
comunes de seguridad del mercado.
2008-08-19
ISO

technology -- Security techniques -Evaluation criteria for IT security -Part
3:
Security
assurance
components
Define el contenido y presentacin de http://www.iso.org/iso/iso_catalogue.

los requerimientos de aseguramiento htm
en la forma de clases, familias y
componentes y provee gua en la
organizacin
de
nuevos
requerimientos de aseguramiento.
2008-08-19
ISO
ISO/IEC
TR
19791:2006
techniques -- Security assessment
of operational systems
Provee gua y criterio para evaluar la http://www.iso.org/iso/iso_catalogue.

seguridad
de
los
sistemas htm
operacionales.
Proporciona
un
complemento al alcance
de
la
evaluacin
ISO/IEC
15408
considerando varios aspectos crticos
no contemplado en dicho estndar.
2006-05-15
ISO
ISO/IEC 21827:2002 Information Describe las caractersticas de los http://www.iso.org/iso/iso_catalogue.

technology -- Systems Security procesos de ingeniera de seguridad htm
Engineering -- Capability Maturity de una organizacin.
Model (SSE-CMM)
2002-10-17
ISO
Framework
Resumen
Enlace documento
electrnica.
Pgina 36 de 197

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente

technology -- Security techniques -Management of information and
communications technology security
-- Part 1: Concepts and models for
information and communications
technology security management
Presenta los conceptos y un modelo http://www.iso.org/iso/iso_catalogue.

fundamental para un entendimiento htm
de la seguridad de las TIC y se enfoca
en los aspectos administrativos que
son esenciales para la planeacin, la
implementacin y operacin exitosa
de la seguridad de las TIC.
2004-11-19
ISO
ISO/IEC
TR
15443-2:2005
techniques -- A framework for IT
security assurance -- Part 2:
Assurance methods
Describe una variedad de mtodos http://www.iso.org/iso/iso_catalogue.

para garantizar la seguridad de TI y htm
los relaciona con el marco de
referencia ISO/IEC TR 15443-1. Esta
orientado a los profesionales de
seguridad
de
TI
para
un
entendimiento en como obtener
aseguramiento en el ciclo de vida de
un producto o servicio.
2005-09-19
ISO

technology -- Security techniques -Key management
-- Part
4:
Mechanisms based on weak secrets
Define mecanismos para establecer http://www.iso.org/iso/iso_catalogue.

claves basados en secretos dbiles, htm
que
pueden
ser
fcilmente
memorizados por un humano.
2006-05-04
ISO
ISO/IEC
TR
15443-1:2005
techniques -- A framework for IT
security assurance -- Part 1:
Overview and framework
Es una gua para el profesional de http://www.iso.org/iso/iso_catalogue.

seguridad en la seleccin del mtodo htm
de aseguramiento ms apropiado
cuando
especifica,
selecciona
o
implementa un servicio o producto o
factor de ambiente tal como una
organizacin o el personal.
2005-02-08
ISO
ISO/IEC 24762:2008
Information
technology -- Security techniques -Guidelines for information and
communications technology disaster
recovery services
Proporciona guas para la provisin de http://www.iso.org/iso/iso_catalogue.

los servicios de recuperacin y htm
desastres de las tecnologas de la
informacin y las comunicaciones
como parte de la gestin de
continuidad del negocio aplicable a
proveedores de servicio de facilidades
y
servicios
fsicos
internos
o
contratados.
2008-01-31
ISO
Pgina 37 de 197

4.1.3.
Mapa de interrelacin de estndares y mejores prcticas nacionales e internacionales en

seguridad de la Informacin
Para facilitar la toma de decisiones sobre qu estndares seleccionar, se han generado en la

industria, mapas de interrelacin de un estndar con respecto a otros. Por supuesto, el estndar
de referencia queda mejor librado con respecto a los otros segn los criterios de comparacin
que se seleccionen. No obstante, estos mapas representan una buena ilustracin sobre la
estructura y componentes de los estndares comparados.
Para la estrategia de Gobierno en lnea, es importante identificar y relacionar los principales
estndares de seguridad de la informacin y compararlos con la norma NTCGP 1000:2004 y el
Modelo Estndar de Control Interno, MECI. Surge una pregunta: Qu estndares seleccionar
para la comparacin? En el numeral 4.1.3.3, se especifican los aspectos que se tuvieron en
cuenta para seleccionar los estndares, as como los criterios de comparacin. En el numeral
4.1.3.4, se presenta un mapa de interrelacin de los estndares seleccionados y finalmente, en el
numeral 4.1.3.5, se definen algunas conclusiones del proceso de comparacin realizado.
4.1.3.1. Objetivo
La presente relacin documentada pretende dar una orientacin sobre el grado de alineacin
entre los estndares y mejores prcticas para la seguridad de la informacin y su Interrelacin
con respecto a la norma NTCGP 1000:2004 y el Modelo MECI.
4.1.3.2. Estndares de Seguridad de la Informacin por categora.
A continuacin, se relacionan los principales estndares organizados por categoras:

Normas de gestin de seguridad:
ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security

management systems Requirements. La norma equivalente en Colombia es la NTCISO/IEC 27001 Tecnologa de la Informacin. Tcnicas de Seguridad. Sistemas de
Gestin de Seguridad de la Informacin (SGSI) Requisitos.
ISM3 v2.00 Information Security Management Maturity Model. Fue desarrollada por el
ISM3 Consortium. La versin 2.00 est vigente a partir del 2007. La nueva versin (2.10)
slo est disponible actualmente en forma impresa.
Mejores prcticas para Seguridad de Informacin:
ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for

information security management. La norma equivalente en Colombia es la NTC-ISO/IEC
17799 Tecnologa de la Informacin. Tcnicas de Seguridad. Cdigo de Prctica para la
gestin de la Seguridad de la Informacin, la cual corresponde a una traduccin idntica
de la ISO/IEC 17799:2005.
Pgina 38 de 197

The Standard of Good Practice for Information Security 2007. Ha sido desarrollada por el
Information Security Forum, ISF. La versin disponible actualmente corresponde al ao
2007.
NIST SP 800-14 Generally Accepted Principles and Practices for Securing Information
Technology Systems. Esta gua fue desarrollada por el National Institute of Standards and
Technology, NIST y la fecha de su publicacin corresponde a septiembre de 2006.
Mejores prcticas de Gobierno y Control en Tecnologa de Informacin:
Cobit 4.1 Control Objectives for Information and related Technology (COBIT).
IT Control Objectives for Sarbanes Oxley
CONCT- Control Objectives for Net Centric Technologies.
NIST SP 800 53 Recommended Security Controls for Federal Information Systems
Mejores prcticas para la prestacin de servicios de TI:
Service Management - ITIL Version 3. Conjunto de mejores prcticas para la prestacin

del servicio de TI. Desarrollado por La Oficina de Gobierno de Comercio del Reino Unido.
ISO/IEC 20000-1:2005 Information technology -- Service management -- Part 1:
Specification
ISO/IEC 20000-2:2005 Information technology -- Service management -- Part 2: Code of
practice
Normas de Administracin de Riesgos:
AS/NZ 4360:2004 Risk Management, Standards Australia/Standards New Zealand

ISO/IEC 27005:2008 Information technology - Security techniques - Information security
risk management
NIST SP 800-30 Risk Management Guide for Information Technology Systems
Metodologas de Administracin de Riesgos:
MAGERIT
Octave
General Security Risk Assessment Guidelines, ASIS International.
Normas para planeacin de continuidad del negocio:
BS 25999-1:2006 Gestin de Continuidad de Negocio. Parte 1: Cdigos de Prctica.

BS 25999-2:2007 Especificaciones para la continuidad del negocio.
NFPA 1600:2007 Standard on Disaster/Emergency Management and Business
Continuity Programs
Pgina 39 de 197

ISO/IEC 24762:2008 Information technology -- Security techniques -- Guidelines for

information and communications technology disaster recovery services
NIST SP 800 34 Contingency Planning Guide For Information Technology Systems
GTC 176 Sistema de Planeacin de Continuidad del Negocio
4.1.3.3. Criterios de seleccin de Estndares de Seguridad de la Informacin.
Para seleccionar los estndares o mejores prcticas a ser comparados, se tuvo en cuenta su
propsito primario, el grado de reconocimiento a nivel mundial y la alineacin con la estrategia de
Gobierno en Lnea, adems se tienen presente los principios y ejes de accin de la estrategia de
Gobierno en lnea:
Principios:
o
o
o
o
o
o
Gobierno centrado en el ciudadano;

Visin unificada del Estado;
Acceso equitativo y multi-canal;
Gobierno en Lnea es ms que tecnologa;
Proteccin de la informacin del individuo;
Credibilidad y confianza en el Gobierno en Lnea.
Ejes de Accin:
o Mejores servicios (respuesta a necesidades, calidad, ahorro, atencin unificada,
satisfaccin, simplificacin de trmites, acceso multicanal);
o Transparencia y participacin (visibilidad, conocimiento, confianza, participacin, control
social, interaccin y retroalimentacin);
o Eficiencia del Estado (informacin de calidad, oportuna y estandarizada, racionalizacin y
optimizacin de recursos);
Al analizar los requerimientos de Gobierno en Lnea y considerando fundamental la necesidad de
desarrollar un marco de gestin para el gobierno de la seguridad de la informacin en el Estado
Colombiano, se seleccionaron los siguientes estndares cuyo propsito y principios intrnsecos,
se alinean con la estrategia de Gobierno en Lnea de manera general:

NTC ISO/IEC 27001:2005

ISM3 v 2.00
The Standard of Good Practice for Information Security - ISF-SOGP
COBIT 4.1
ITIL v 3
AS/NZ 4360 Risk Management
Criterios de Comparacin.
Pgina 40 de 197

Para comparar los estndares y mejores prcticas

requerimientos generales y requerimientos tcnicos.
seleccionados,
se
establecieron
Como requerimientos generales se identificaron:
Propsito
Principios
Modelo PHVA
Niveles de Madurez
Establecimiento del Sistema de Gestin
Gestin de riesgos
Requisitos de documentacin
Responsabilidad y compromiso de la direccin
Gestin de recursos
Monitoreo
Mejoramiento
Como requerimientos tcnicos se identificaron:
Poltica de Seguridad
Organizacin de la Seguridad de la Informacin
Gestin de activos
Seguridad de los recursos humanos
Seguridad fsica y del entorno
Seguridad en la operacin y soporte de TI
Seguridad del ciclo de desarrollo de los Sistemas de Informacin
Seguridad de las aplicaciones
Control de acceso
Gestin de incidentes de seguridad de la informacin
Gestin de continuidad del negocio
Cumplimiento
Descripcin de los Estndares y Mejores Prcticas Seleccionados

NTC ISO/IEC 27001
La norma NTC ISO/IEC 27001 fue liberada por el Instituto Colombiano de Normas Tcnicas y
Certificacin, ICONTEC en el ao 2006 y es una copia idntica por traduccin de la norma
ISO/IEC 27001. Esta norma permite disear una herramienta para la implementacin del sistema
de gestin de seguridad de la informacin teniendo en cuenta la poltica, la estructura
organizativa, los procedimientos y los recursos. La norma adopta el modelo de procesos
Planificar-Hacer-Verificar-Actuar (PHVA) para estructurar los procesos del Sistema de Gestin
de Seguridad de la Informacin, SGSI.
Pgina 41 de 197

En el anexo A de la norma se define una tabla detallada de objetivos de control y controles, los
cuales quedan agrupados y numerados de la siguiente forma:
A.5 Poltica de seguridad
A.6 Organizacin de la informacin de seguridad
A.7 Administracin de recursos
A.8 Seguridad de los recursos humanos
A.9 Seguridad fsica y del entorno
A.10 Administracin de las comunicaciones y operaciones
A.11 Control de accesos
A.12 Adquisicin de sistemas de informacin, desarrollo y mantenimiento
A.13 Administracin de los incidentes de seguridad
A.14 Administracin de la continuidad de negocio
A.15 Cumplimiento (legales, de estndares, tcnicas y auditoras)
ISM3 v 2.00
El modelo de madurez para la administracin de la seguridad de la informacin extiende los
principios de gestin de calidad de la norma ISO 9001 para sistemas de gestin de seguridad de
la informacin. ISM3 est orientado a procesos y utiliza niveles de madurez de capacidad y de
cubrimiento. Define los procesos de seguridad organizados por nivel estratgico, tctico y
operativo, e incorpora en su descripcin los siguientes elementos:
El nivel de la organizacin responsable por cada conjunto de procesos (estratgico, tctico

y operacional)
La justificacin del proceso
Entradas del proceso,
Productos del proceso
Dueo del proceso
Mtricas
Pgina 42 de 197

ISM3 alinea los objetivos de negocio con los objetivos de seguridad y requiere que la
organizacin defina sus objetivos de seguridad, los cuales se constituyen en base para el diseo,
implementacin y monitoreo del sistema de gestin de seguridad. ISM3 ha sido desarrollado por
ISM3 Consortium y representa los esfuerzos de profesionales de la seguridad, acadmicos y la
industria para proponer alternativas que procuren una mejor gestin de la seguridad de la
informacin.
The Standard of Good Practice for Information Security
El estndar de buenas prcticas para seguridad de la informacin del Information Security Forum
(ISF) est basado en la investigacin y experiencia prctica de sus miembros. Enfoca la
seguridad de la informacin desde una perspectiva del negocio y proporciona a una base prctica
para evaluar los acuerdos en seguridad de la informacin de una organizacin. El estndar divide
la seguridad en seis componentes:
Administracin de la seguridad
Aplicaciones crticas del negocio
Instalacin de computadores
Redes
Desarrollo de sistemas
Ambiente de usuario final
La primera versin del estndar fue liberada en 1996 y se actualiza y mejora cada 2 aos con la
finalidad de responder a las necesidades de organizaciones lderes internacionales, refinar las
mejores prcticas en seguridad de informacin y mantener alineamiento con otros estndares
relacionados con seguridad de la informacin tales como la ISO 27002 y Cobit 4.1.
Cobit 4.1
Cobit (Objetivos de Control para la Informacin y tecnologa Relacionada) consiste en un conjunto
de documentos clasificados como buenas prcticas generalmente aceptadas para el gobierno de
la tecnologa de informacin, el control y el aseguramiento. La primera versin fue liberada por
Information Systems Audit. And Control Foundation (ISACF) en 1996. En el ao 1998 se liber la
segunda versin con objetivos de control adicionales y las herramientas de implementacin. En el
ao 2000 el IT Governance Institute (ITGI) liber la tercera versin que inclua las guas
administrativas y nuevos objetivos de control. En el 2005 el ITGI public Cobit 4.0 con un enfoque
al gobierno de TI. La versin actual Cobit 4.1 fue liberada en el 2007.
Cobit 4.1 se compone de 4 dominios, 34 procesos y 215 objetivos de control. En la descripcin de
cada proceso adems de los objetivos de control se identifican los criterios de informacin
impactados por el proceso, los recursos de TI utilizados, la alineacin del proceso con las reas
de gobierno de TI, las entradas, salidas y actividades del proceso, el diagrama RACI, las metas y
mtricas de proceso y el modelo de madurez para evaluar el proceso.
Pgina 43 de 197

ITIL v 3
ITIL Service Management versin 3 es una serie de 6 libros considerados como mejores prcticas
para la administracin y garanta de alta calidad en la prestacin de servicios de TI. Los libros se
titulan:
Estrategia del servicio

Diseo del servicio
Transicin del servicio
Operacin del servicio
Mejoramiento continuo del servicio
Introduccin Oficial al ciclo de vida del servicio
La primera versin de ITIL fue creada en los ochentas por la oficina de Gobierno de Comercio del
Reino Unido (OGC). La segunda versin en los 90 y la versin 3 fue liberada a mediados del
2007 con un enfoque orientado al proceso y al ciclo de vida del servicio.
AS/NZ 4360 Risk Management
El estndar australiano AS/NZ 4360 es una gua para el establecimiento e implementacin del
proceso de administracin de riesgos involucrando las siguientes etapas:
Comunicacin y consulta
Establecimiento del contexto
Identificacin de los riesgos
Anlisis de los riesgos
Evaluacin de los riesgos
Tratamiento de los riesgos
Monitoreo y revisin
La primera versin fue liberada en 1999 y posteriormente se liber una nueva versin en el 2004.
4.1.3.4. Mapa de Interrelacin de Estndares de Seguridad de la Informacin
En el anexo 1 se presenta el mapa de interrelacin de estndares seleccionados y su

alineamiento frente a la norma NTCGP 1000:2004 y el Modelo Estndar de Control Interno,
MECI.
4.1.3.5. Conclusiones
El uso de la tecnologa, las comunicaciones e Internet en las prcticas comerciales y las nuevas
amenazas de seguridad que surgen cada da han generado un continuo inters por parte de las
organizaciones, Gobierno, industria y comunidad en general por administrar la seguridad de la
Pgina 44 de 197

informacin, lo cual ha apalancado la continua creacin y actualizacin de estndares y mejores

prcticas para la seguridad de la informacin.
Las organizaciones lderes estn haciendo un uso efectivo de mejores prcticas para optimizar el
uso de los recursos de TI y reducir la ocurrencia de riesgos significativos tales como:
Fallas de los proyectos

Inversiones perdidas
Brechas de seguridad
Fallas de los sistemas crticos
Fallas de los proveedores de servicios para entender y cumplir con los requerimientos de
los clientes
Una forma de entender cmo se alinean e integran los estndares y mejores prcticas se ilustra
en el siguiente grfico:
COSO es un marco de referencia para el control interno en las organizaciones. Las entidades del
estado adoptaron el MECI, modelo de control interno el cual est basado en COSO.
Cobit es un marco de referencia para el Gobierno y control de TI basado en un modelo de
procesos de TI que puede ser adaptado a cualquier tipo de organizacin. Cobit se enfoca en el
qu se necesita hacer no en el cmo, por eso, la audiencia objetivo es la gerencia de negocio
senior, la gerencia senior de TI y los auditores. Cobit est alineado con COSO, con la ISO9000 y
con la ISO27002. El IT Governance Institute, ITGI, ha desarrollado y mantiene actualizados los
Pgina 45 de 197

mapas de Cobit con diferentes estndares y mejores prcticas para identificar armonizacin y
alineamiento,
La ISO 9000 es el estndar para gestin de calidad en las organizaciones. En las entidades del
estado, se adopt la NTCGP1000 el cual representa la norma tcnica de calidad en la gestin
pblica.
ITIL se basa en definir procesos de mejores prcticas para el soporte y la gerencia del servicio de
TI. Provee un contexto estratgico y de negocio para la toma de decisiones sobre TI y describe el
mejoramiento continuo del servicio como una actividad de toda la empresa para mantener la
entrega de valor a los clientes. ITIL tiene gran aplicabilidad para empresas que prestan servicios
de TI.
De la familia ISO27000, el estndar ISO/IEC 27001 especifica los requerimientos para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestin de seguridad.
Este estndar se encuentra alineado con la ISO 9000 y su adopcin en empresas colombianas se
est incrementando cada vez ms por las exigencias de la economa globalizada y necesidades
de certificacin de sus productos y servicios. En las empresas del estado, tambin se ha
incrementado la necesidad de implementar iniciativas para la seguridad de la informacin
basadas en la ISO27001 y utilizando como gua de implementacin los controles para la
confidencialidad, integridad y disponibilidad de la informacin definidos en la ISO27002.
El ISF-SGOP representa una base prctica para evaluar los acuerdos en seguridad de la
informacin de una organizacin. Las prcticas detalladas de este estndar pueden ser
adoptadas en los acuerdos de seguridad de la informacin por parte de: los administradores de
seguridad de la informacin, los administradores de negocio, los administradores de TI, los
auditores de TI, el personal de terceras partes encargado de administrar y soportar la
infraestructura de TI.
El ISM3 representa una buena base para definir, establecer, implementar y monitorear los
procesos de gestin de seguridad de la informacin.
El marco de referencia de NIST para seguridad de computadores que est conformado por una
serie de documentos denominados NIST SP 800, si bien no se incluy en la comparacin de
estndares del Anero 1, representa una valiosa herramienta de mejores prcticas para
implementar seguridad de la informacin.
La comparacin de algunos estndares y mejores prcticas con la norma NTCGP1000:2004 y el
modelo de control interno permite identificar alineamiento entre s. En ese sentido y considerando
que existe una creciente adopcin del modelo de seguridad basado en la ISO27001 por parte de
entidades del estado, para la Estrategia de Gobierno en Lnea se puede recomendar este
estndar como la base para implementar un sistema de gestin de seguridad de la informacin
apoyado con otros estndares que proporcionan mayor nivel de detalle en la implementacin de
los procesos de seguridad de la informacin y los controles y aseguramiento requeridos.
Pgina 46 de 197

4.2. DIAGNSTICO 2: COMPROMISOS Y AVANCES DE COLOMBIA EN MATERIA DE

SEGURIDAD DE LA INFORMACIN NORMATIVA Y PROTECCIN DE
INFORMACIN DEL INDIVIDUO
4.2.1.
Introduccin
Relacin documental, con descripcin temtica, enlace, vigencia y fuente de la normatividad e

iniciativas jurdicas nacionales,
internacionales y extranjeras, en materia de comercio electrnico,
gobierno en lnea, seguridad informtica, proteccin de informacin del individuo y habeas data.
La informacin se encuentra organizada en tablas temticas que albergan un orden cronolgico, acorde a
la entrada en vigencia o en su defecto, a la formulacin del respectivo instrumento.
4.2.1.1. Relacin documentada de compromisos internacionales de Colombia en materia de seguridad
informtica
4.2.1.1.1. Comercio Electrnico
Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Convenio de Pars para la

proteccin de la propiedad
intelectual (Particularmente el
artculo 10bis), aprobada mediante
ley 178 de 1994.
Art. 10bis, Competencia Desleal: 1.

Los pases de la Unin estn
obligados
a
asegurar
a
los
nacionales de los pases de la Unin
una proteccin eficaz contra la
competencia desleal
http://www.secretariasenado.
gov.co/leyes/L0178_94.HTM
A partir de la
fecha de
publicacin de la
ley aprobatoria,
Ley 178 de
1994, esto es
diciembre 29 de
1994.
(.a. 24/09/08).
Fuente
Organizacin
Mundial de la
Propiedad
Intelectual.
2. Constituye acto de competencia

desleal todo acto de competencia
contrario a los usos honestos en
materia industrial o comercial.
De lo cual se concluye que la

informacin secreta de una empresa
no puede ser develada, so pena de
incurrir en un acto de competencia
desleal (En la medida que la
violacin de secretos es un acto
consagrado
como
competencia
desleal en la ley colombiana nmero
256 de 1996 Por la cual se dictan
normas sobre competencia desleal).
RESOLUCIN A/RES/51/162 Ley

modelo sobre comercio electrnico
aprobada por la comisin de las
Naciones Unidas para el derecho
mercantil internacional
Recomendaciones
generales
en
materia de comercio electrnico,
tendientes al logro de su tratamiento
uniforme a nivel internacional.
Aspectos reflejados en la Ley 527 de
http://www.uncitral.org/pdf/sp
anish/texts/electcom/05-
Pgina 47 de 197
A partir de
diciembre 16 de
1996.
Asamblea
General de la
Organizacin

Nombre Documento
Resumen
(CNUDMI), incluye el anexo Gua

para la incorporacin al derecho
interno de la ley modelo de la
CNUDMI sobre comercio
electrnico
agosto 18 de 1999: Por medio de la

cual se define y reglamente el
acceso y uso de los mensajes de
datos, del comercio electrnico y de
las firmas digitales, y se establecen
las entidades de certificacin y se
dictan otras disposiciones.
TRATADO INTERNET DE LA OMPI

SOBRE DERECHOS DE AUTOR
(TODA) Propiamente los artculos
11, 12 y 14-Aprobado mediante
Ley 565 de 2000.
Enlace documento
Faculta a los Estados miembros para

que adopten las medidas jurdicas
tendientes a la proteccin a la
gestin de los derechos de autor, as
como la sancin efectiva sobre las
conductas evasivas de las medidas
tecnolgicas
de
proteccin
establecidas por los autores.
Vigencia y
Aplicacin
89453_S_Ebook.pdf
Fuente
de las
Naciones
Unidas.
(.a. 24/09/08).
http://www.cecolda.org.co/ind
ex.php?option=com_content&t
ask=view&id=193&Itemid=46
A partir de
Febrero 2 de
2000.
Organizacin
Mundial de la
Propiedad
Intelectual.
Diciembre 09 de
1999
Organizacin
para la
Cooperacin y
el Desarrollo
Econmico
Rige a partir de
julio 24 de 2002.
Organizacin
Mundial de la
Propiedad
Intelectual.
A partir de
diciembre 12 de
2001.
Asamblea
General de la
Organizacin
de las
Naciones
Unidas.
A partir de
2005.
Asamblea
General de la
Organizacin
de las
Naciones
(.a. 24/09/08).
Recomendaciones del Consejo de

la Organizacin para la
Cooperacin y el Desarrollo
Econmico, Relativa a los
Lineamientos para la Proteccin al
Consumidor
en el Contexto del Comercio
Electrnico
Estos lineamientos slo aplican al

comercio
electrnico
entre
empresarios y consumidores, y no a
las
transacciones
empresa
empresa.
http://www.oecd.org/dataoecd
/18/27/34023784.pdf
(.a. 29/09/08).
Tratado de la OMPI, Organizacin

Mundial de la Propiedad
Intelectual, sobre Derechos de
Autor (WCT)", promulgado
mediante decreto 1474 de 2002.
RESOLUCIN A/RES/56/80 Ley

modelo sobre las firmas
electrnicas de la comisin de las
Naciones Unidas para el derecho
mercantil internacional, incluye el
anexo Gua para la incorporacin
al derecho interno de la ley
modelo de la CNUDMI para las
firmas electrnicas (2001) al
derecho interno.
Convencin de las Naciones Unidas

sobre la Utilizacin de las
Comunicaciones Electrnicas en
los Contratos Internacionales.
Proteccin en materia de programas

de ordenador (Software), bases de
datos, y derechos de autor en
general, para el entorno tradicional
y
electrnico
(Reconociendo
cabalmente la aplicacin de los
aspectos sustanciales al medio
tecnolgico), en consonancia con el
rgimen de derechos de autor
contenido en el convenio de Berna
para la proteccin de las obras
literarias y artsticas.
Pautas referentes a la firma
electrnica,
analizando
su
funcionalidad, aspectos tcnicos, y
relacin con la Ley modelo sobre
comercio electrnico aprobada por la
comisin de las Naciones Unidas
para
el
derecho
mercantil
internacional (CNUDMI).
Aspectos reflejados en el Decreto
reglamentario 1747 de septiembre
11 de 2000 Por el cual se
reglamenta parcialmente la Ley 527
de 1999, en lo relacionado con las
entidades
de
certificacin,
los
certificados y las firmas digitales.
Aspectos prcticos relativos a las
normas aplicables a los contratos
internacionales,
comerciales
y
civiles, excluyendo los efectuados
con fines personales, familiares, o
domsticos, cuya formacin ha sido
lograda mediante el empleo de
comunicaciones
electrnicas
(Mensajes de datos).
http://www.alcaldiabogota.gov
.co/sisjur/normas/Norma1.jsp
?i=6076#1
(.a. 24/09/08).
anish/texts/electcom/mlelecsig-s.pdf
(.a. 24/09/08).
anish/texts/electcom/0657455_Ebook.pdf
Pgina 48 de 197

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
Unidas.
(.a. 24/09/08).
Decisin comunitaria andina 691

sobre Estadsticas sobre
tecnologas de la informacin y la
comunicacin.
Artculo 1.- Objeto y finalidad

Establecer un marco normativo
comn para la produccin de
estadsticas sobre el uso de las
tecnologas de la informacin y la
comunicacin con la finalidad de
garantizar la armonizacin en la
recopilacin,
procesamiento,
transmisin
y anlisis de
los
principales
indicadores
en
la
Comunidad Andina.
http://www.comunidadandina.
org/normativa/dec/d691.htm
A partir de
agosto 13 de
2008.
Comunidad
Andina de
Naciones.
(.a. 24/09/08).
4.2.1.1.2. Legislacin Interna en Materia de Comercio Electrnico

Nombre Documento
Resumen
Enlace documento
Ley 527 de 1999.
gov.co/leyes/L0527_99.HTM
Norma de aplicacin transversal,
toda vez que se aplica a todos
los mensajes de datos sin
importar su naturaleza, temtica
o sector, Por medio de la cual
se define y reglamente el acceso
y uso de los mensajes de datos,
del comercio electrnico y de las
firmas digitales, y se establecen
las entidades de certificacin y
se dictan otras disposiciones y
el Decreto reglamentario 1747
de septiembre 11 de 2000 Por
el
cual
se
reglamenta
parcialmente la Ley 527 de
1999, en lo relacionado con las
entidades de certificacin, los
certificados
y
las
firmas
digitales.
Sentencia C-662 de 2000

Accin
pblica
de
Constitucionalidad
contra
algunos apartados de la ley 527
de
1999,
declarando
su
exequibilidad.
Decreto 1747 de 2000.

Por el cual se reglamenta
parcialmente la Ley 527 de
1999, en lo relacionado con las
entidades de certificacin, los
certificados
y
las
firmas
digitales
(.a. 24/09/08).
http://web.minjusticia.gov.co/
jurisprudencia/CorteConstituci
onal/2000/Constitucionalidad/
C-662-00.htm
Vigencia y
Aplicacin
Fuente
A partir de su
publicacin, en
el diario oficial,
agosto 21 de
1999.
Congreso de la
Repblica de
Colombia.
Junio 08 de
2000.
Corte
Constitucional
de Colombia.
A partir de su
promulgacin,
septiembre 11
de 2000.
Congreso de la
Repblica de
Colombia.
(.a. 24/09/08).
http://www.mincomercio.gov.
co/eContent/documentos/nor
matividad/decretos/decreto_1
747_2000.pdf
(.a. 24/09/08).
Pgina 49 de 197

Ley 599 de 2000, y sus posteriores
modificaciones, Cdigo Penal
Colombiano
Los delitos consagrados en el

Cdigo Penal Colombiano, tienen
plena
aplicacin,
bajo
el
entendido en que se cumplan las
condiciones establecidas para
cada acto criminal, sin importar
si
se
comete
en
medios
tradicionales o electrnicos.
Ley 598 de 2000.

Por la cual se crean el Sistema
de Informacin para la Vigilancia
de la Contratacin Estatal, SICE,
el Catlogo nico de Bienes y
Servicios, CUBS, y el Registro
nico de Precios de Referencia,
RUPR, de los bienes y servicios
de
uso
comn
en
la
Administracin Pblica y se
.co/sisjur/consulta_tematica.js
p
Congreso de la
Repblica de
Colombia.
A partir de su
promulgacin,
julio 18 de 2000.
Congreso de la
Repblica de
Colombia.
A partir de su
publicacin, en
el diario oficial,
julio 30 de 2002.
Presidencia de
la Repblica
de Colombia.
A partir de su
promulgacin,
diciembre 5 de
2003.
Presidencia de
la Repblica
de Colombia.
(.a. 24/09/08).
?i=6252
(.a. 24/09/08).
http://www.dafp.gov.co/leyes/
D1524002.HTM
Establece
un
rgimen
de
responsabilidades
para
los
proveedores de servicio de
internet
y
prestadores
de
servicio
de
hospedaje
de
contenido en un servidor para
un sitio Web en relacin con el
objeto de la norma, a saber:
Un ao despus
de su
promulgacin,
julio 24 de 2001.
(.a. 24/09/08).
ARTCULO 1o. OBJETO. El presente

decreto tiene por objeto reglamentar
el artculo 5o. de la Ley 679 de
2001, con el fin de establecer las
medidas tcnicas y administrativas
destinadas a prevenir el acceso de
menores de edad a cualquier
modalidad
de
informacin
pornogrfica contenida en Internet o
en las distintas clases de redes
informticas a las cuales se tenga
acceso mediante redes globales de
informacin.
As mismo a propender para que

estos medios no sean aprovechados
con fines de explotacin sexual
infantil u ofrecimiento de servicios
comerciales que impliquen abuso
sexual con menores de edad.

Por el cual se reglamenta la
organizacin, funcionamiento y
operacin
del
Sistema
de
informacin para la Vigilancia de
la Contratacin Estatal, SICE,
creado mediante la Ley 598 de
2000,
y
se
dictan
otras
disposiciones.
?i=10935
(.a. 24/09/08).
Pgina 50 de 197

Decreto 2178 de 2006
Por medio del cual se crea el
Sistema Electrnico para la
Contratacin Directa.
Ley 1065 de 2006.
Seala que la administracin de

registros,
as
como
la
planeacin, regulacin y control,
del nombre de dominio .co
estar a cargo del Estado, por
medio
del
Ministerio
de
Comunicaciones, quien podr
delegarlo, mediante convenio, a
un particular hasta por 10 aos
con posibilidad de prrroga,
involucrando un trmino igual,
por una sola vez, toda vez que
se trata de un recurso del sector
de las telecomunicaciones, de
inters pblico.
?i=20808
A partir de su
promulgacin,
junio 30 de
2006.
Presidencia de
la Repblica
de Colombia.
(.a. 24/09/08).
gov.co/leyes/L1065006.HTM
A partir de su
promulgacin,
julio 29 de 2006.
Congreso de la
Repblica de
Colombia.
(.a. 24/09/08).
Congreso de la
Repblica.
Ley 1150 de 2007.
El artculo tercero de la citada

norma, introduce el tema de la
contratacin pblica electrnica.
?i=25678
Enero 16 de
2008.
(.a. 24/09/08).
Resolucin 999 de 2007.
Crea un Comit de Apoyo para la

implementacin
de
la
administracin del dominio.co
por
el
Ministerio
de
Comunicaciones.
http://www.mincomunicacione
s.gov.co/mincom/src/user_doc
s/Archivos/normatividad/2007
/Resolucion/R999de2007.pdf
28 de marzo de
2007.
Ministerio de
Comunicacione
s.
(.a. 24/09/08).
Presidencia de
la Repblica.
Por el cual se reglamenta la

utilizacin
de
la
factura
electrnica y los documentos
equivalentes a la factura de
venta.
?i=25311
A partir de su
promulgacin,
mayo 29 de
2007.
(.a. 24/09/08).
Se expide el Rgimen
Proteccin de los Derechos
los Suscriptores y/o Usuarios
los
Servicios
de
de
de
de
?i=26684
Pgina 51 de 197
A partir de su
promulgacin,
septiembre 19
de 2007.
Comisin de
Regulacin de
Telecomunicac
iones.

Telecomunicaciones.
(.a. 24/09/08).
Presidencia de
la Repblica.
Por
el
cual
se
modifica
parcialmente el Decreto 1929 de
2007, factura electrnica.
Dicho decreto coexiste con la

Ley 1231 de 2008, en la medida
en que tratan temas distintos
pero
complementarios.
El
decreto permite que los antiguos
contribuyentes
asuman
su
facturacin por el medio que
venan empleando, mientras que
la
ley
consagra
el
pleno
reconocimiento de la factura
electrnica como un ttulo valor.
Por
la
cual
se
modifica
parcialmente la resolucin CRT1732 de 2007, en materia de
proteccin
de
derechos
de
suscriptores y/o usuarios de los
servicios de Telecomunicaciones.
?i=27589
A partir de su
promulgacin,
noviembre 23 de
2007.
(.a. 24/09/08).
?i=27909&iu=0#1
A partir de su
promulgacin,
diciembre 07 de
2007.
Comisin de
Regulacin de
Telecomunicac
iones.
(.a. 24/09/08).
El
artculo
8
del
Decreto
reglamenta
el
Sistema
Electrnico para la Contratacin
Pblica SECOP-.
?i=31185#0
A partir de su
promulgacin,
julio 07 de 2008.
Presidencia de
la Repblica
de Colombia.
(.a. 24/09/08).
Ley 1221 de 2008.
Norma
de
promocin
y
regulacin
al
teletrabajo,
tendiente al reconocimiento de
sus
bondades
y
aplicacin
integral de sus prerrogativas, en
consonancia con el derecho
sustancial preexistente.
A partir de su
promulgacin,
julio 16 de 2008.
Congreso de la
Repblica de
Colombia.
A partir de su
promulgacin,
Septiembre 03
de 2008.
Ministerio de
Comunicacione
s de la
Repblica de
Colombia.
(.a. 24/09/08).
Es importante indicar que el

Gobierno Nacional cuenta con un
plazo de 6 meses a partir de la
promulgacin de la referida ley,
para su reglamentacin.
Resolucin 1652 de 2008

Regula la administracin del
ccTLD .co y se establece la
?i=32350
(.a. 24/09/08).
Pgina 52 de 197

poltica
de
nombres de
ccTLD .co
delegacin
de
dominio bajo el
Ley 1231 de 2008.
Rgimen
de
la
factura
electrnica como ttulo valor,
unificando
los
postulados
existentes
en
el
contexto
tributario y comercial tendientes
a su funcionalidad eficaz y
adecuado
mecanismo
de
financiacin
para
la
micro,
pequea, y mediana empresa.
(.a. 24/09/08).
Tres meses
posteriores a su
promulgacin
(Octubre 17 de
2008).
Congreso de la
Repblica de
Colombia.
El
Gobierno
Nacional
debe
reglamentar
la
puesta
en
circulacin
de
la
factura
electrnica como ttulo valor.
4.2.1.1.3. Compromisos Internacionales de Colombia en Materia de Gobierno en Lnea

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
?i=17079#0
A partir de la
publicacin de la
Ley aprobatoria
970 de 2005, en
el diario oficial,
julio 15 de 2005.
Fuente
Artculo 10
Convencin de las Naciones Unidas
contra la Corrupcin, aprobada
mediante Ley 970 de 2005.
Informacin pblica
Habida cuenta de la necesidad de
combatir la corrupcin, cada Estado
Parte, de conformidad con los
principios fundamentales de su
derecho
interno,
adoptar
las
medidas que sean necesarias para
aumentar la transparencia en su
administracin pblica, incluso en lo
relativo
a
su
organizacin,
funcionamiento
y
procesos
de
adopcin de decisiones, cuando
proceda. Esas medidas podrn
incluir, entre otras cosas:
(.a. 24/09/08).
a)
La
instauracin
de
procedimientos o reglamentaciones
que permitan al pblico en general
obtener,
cuando
proceda,
informacin sobre la organizacin, el
funcionamiento y los procesos de
adopcin de decisiones de su
administracin pblica y, con el
debido respeto a la proteccin de la
intimidad y de los datos personales,
sobre las decisiones y actos jurdicos
que incumban al pblico;
b)
La
simplificacin
de
los
procedimientos
administrativos,
cuando proceda, a fin de facilitar el
acceso del pblico a las autoridades
encargadas de la adopcin de
decisiones, y
c) La publicacin de informacin, lo
que podr incluir informes peridicos
Pgina 53 de 197
Asamblea
General de la
Organizacin
de las
Naciones
Unidas.

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
Vigencia y
Aplicacin
Fuente
sobre los riesgos de corrupcin en

su administracin pblica.
4.2.1.1.4. Legislacin interna en Materia de Gobierno en Lnea

Nombre Documento
Resumen
Enlace documento
Tiene como objeto el ordenamiento

general de las telecomunicaciones y
de las potestades del Estado en
relacin
con
su
planeacin,
regulacin y control, as como el
rgimen de derechos y deberes de
los operadores y de los usuarios.
?i=2581
Rige a partir de
su
promulgacin,
agosto 19 de
1990.
Presidencia de
la Repblica
de Colombia.
Febrero 9 de 2000.
Departamento
Nacional de
Planeacin y
Ministerio de
Comunicacione
s de Colombia.
Un ao despus
de su
promulgacin,
julio 24 de 2000.
Congreso de la
Repblica de
Colombia.
(.a. 24/09/08).
Documento CONPES 3072.
Ley 599 de 2000, y sus posteriores

modificaciones, Cdigo Penal
Colombiano
El Ministerio de Comunicaciones y el
Departamento
Nacional
de
Planeacin ponen a consideracin
del Comit Nacional de Poltica
Econmica y Social el programa
Agenda de Conectividad con la
finalidad de promover las bondades
de las tecnologas de la informacin
(Y actualmente se adhieren las de
comunicacin) en el sector pblico,
as la competitividad del sector
productivo, postulados concebidos
en consonancia con el Plan Nacional
de Desarrollo 1998 2002 Cambio
para Construir la Paz.
http://www.agenda.gov.co/do
cuments/files/CONPES%20307
2.pdf
Es
importante
garantizar
la
veracidad
y suficiencia
de
la
informacin
contenida
en
las
respectivas pginas Web, so pena de
llegar a afectar bienes jurdicos
tutelados tales como el Orden
Econmico-Social.
(.a. 24/09/08).
(.a. 24/09/08).
En ese orden de ideas, el cdigo

penal colombiano consagra el delito
de pnico econmico, a saber:
Artculo 302. Pnico econmico. El

que divulgue al pblico o reproduzca
en un medio o en un sistema de
comunicacin pblico informacin
falsa o inexacta que pueda afectar la
confianza de los clientes, usuarios,
inversionistas o accionistas de una
institucin vigilada o controlada por
Pgina 54 de 197

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
Rige a partir de
su
promulgacin,
julio 06 de 2000
Congreso de la
Repblica de
Colombia.
Rige a partir de
su
promulgacin,
febrero 15 de
2002
Alcalda Mayor
de Bogot
D.C.
Abril 09 de 2003
Congreso de la
Repblica de
Colombia.
Rige a partir de
la fecha de su
promulgacin,
Congreso de la
Repblica de
la Superintendencia Bancaria o por

la Superintendencia de Valores o en
un Fondo de Valores, o cualquier
otro esquema de inversin colectiva
legalmente constituido incurrir, por
ese solo hecho, en prisin de dos (2)
a ocho (8) aos y multa de
cincuenta (50) a quinientos (500)
salarios mnimos legales mensuales
vigentes.
En las mismas penas incurrir el

que utilice iguales medios con el fin
de provocar o estimular el retiro del
pas de capitales nacionales o
extranjeros o la desvinculacin
colectiva de personal que labore en
empresa industrial, agropecuaria o
de servicios.
La pena se aumentar hasta en la

mitad, si como consecuencia de las
conductas anteriores se produjere
alguno de los resultados previstos.
Ley 588 de 2000.
Notarias
y
Consulados
pueden
convertirse
en
entidades
de
certificacin, a la vez que utilizar
todos los medios magnticos o
electrnicos que requieran para el
archivo de la informacin.
(.a. 24/09/08).
Decreto Distrital 055 de 2002
El Sistema de Declaracin y Pago de

Impuestos Distritales a travs de
medios electrnicos.
?i=4604
(.a. 24/09/08).
Permite la realizacin de actos

procesales por medios electrnicos
Ley 794 de 2003
?i=6922
(.a. 24/09/08).
Acto Legislativo 01 de 2003
El artculo 11 del mencionado Acto

Legislativo modific el artculo 258
de la Constitucin Poltica, previendo
que se pueda hacer uso de medios
electrnicos e informticos para el
ejercicio del derecho al sufragio.
Pgina 55 de 197

Nombre Documento
Resumen
Enlace documento
?i=8620#0
Vigencia y
Aplicacin
Fuente
julio 03 de 2003.
Colombia.
Rige a partir de
su
promulgacin,
enero 13 de
2004
Presidencia de
la Repblica
de Colombia.
A partir de su
publicacin, en
el diario oficial,
enero 2 de
2004.
Congreso de la
Repblica de
Colombia.
Rige a partir de
su
promulgacin,
julio 07 de 2004.
Congreso de la
Repblica de
Colombia.
Rige a partir de
su
promulgacin,
septiembre 23
de 2004.
Congreso de la
Repblica.
(.a. 24/09/08).
Crea la Comisin Intersectorial de

Polticas y de Gestin de la
Informacin para la Administracin
Pblica.
?i=11233
(.a. 24/09/08).
Ley 872 de 2003.
Por la cual se crea el sistema de

gestin de la calidad en la Rama
Ejecutiva del Poder Pblico y en
otras entidades prestadoras de
servicios.
(.a. 24/09/08).
Ley 892 de 2004
Por medio del cual se establecen

mecanismos electrnicos de votacin
e inscripcin candidatos
?i=14145
(.a. 24/09/08).
Ley 909 de 2004
Artculo
33. Mecanismos
de
publicidad. La publicidad de las
convocatorias ser efectuada por
cada entidad a travs de los medios
que garanticen su conocimiento y
permitan la libre concurrencia, de
acuerdo con lo establecido en el
reglamento.
?i=14861
La pgina web de cada entidad

pblica,
del
Departamento
Administrativo de la Funcin Pblica
y de las entidades contratadas para
la realizacin de los concursos,
complementadas con el correo
electrnico y la firma digital, ser el
medio preferente de publicacin de
todos los actos, decisiones y
actuaciones relacionadas con los
concursos,
de
recepcin
de
inscripciones,
recursos,
Pgina 56 de 197

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
http://www.ramajudicial.gov.c
o/csj_portal/assets/DECRETO
%204110%20DE%202004.pdf
A partir de la
fecha de
publicacin, en
el diario oficial,
diciembre 13 de
2004.
Presidencia de
la Repblica
de Colombia.
A partir de la
fecha de
publicacin, en
el diario oficial,
mayo 23 de
2005.
Presidencia de
la Repblica
de Colombia.
Rige a partir de
su
promulgacin,
julio 08 de 2005.
Congreso de la
Repblica de
Colombia.
http://www.ram
ajudicial.gov.co/
csj_portal/jsp/fr
ames/index.jsp?i
dsitio=6&idsecci
Consejo
Superior de la
Judicatura
reclamaciones y consultas.
La Comisin Nacional del Servicio
Civil publicar en su pgina web la
informacin
referente
a
las
convocatorias, lista de elegibles y
Registro Pblico de Carrera.
Decreto Reglamentario 4110 de

2004.
Por el cual se reglamenta la Ley

872 de 2003 y se adopta la Norma
Tcnica de Calidad en la Gestin
Pblica.
(.a. 24/09/08).
Por el cual se adopta el Modelo

Estndar de Control Interno para el
Estado Colombiano (MECI)
http://www.anticorrupcion.gov
.co/marco/normas_ci_publico/
D.1599de2005.pdf
Artculo 1. Adptase el Modelo

Estndar de Control Interno para el
Estado
Colombiano
MECI
1000:2005, el cual determina las
generalidades
y
la
estructura
necesaria
para
establecer,
documentar,
implementar
y
mantener un Sistema de Control
Interno en las entidades y agentes
obligados conforme al artculo 5 de
la Ley 87 de 1993.
(.a. 24/09/08).
2 El Modelo Estndar de Control

Interno para el Estado Colombiano
MECI 1000:2005 es parte integrante
del presente decreto.
Ley 962 de 2005
Por medio de la cual se incorpora la

utilizacin de medios tecnolgicos en
el
funcionamiento
de
la
administracin pblica, dentro del
esquema de la racionalizacin de
trmites, mediante la incorporacin
del Sistema nico de Informacin de
Trmites SUIT-.
?i=17004
(.a. 24/09/08).
ACUERDO No. PSAA06-3334 DE

2006
Reglamentan
la
utilizacin
de
medios electrnicos e informticos
en el cumplimiento de las funciones
de administracin de justicia
Marzo 02 de 2006
Pgina 57 de 197

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
on=167
(. a. 30/09/08)
El presente decreto tiene por objeto

establecer un marco reglamentario
que permita la convergencia en los
servicios
pblicos
de
telecomunicaciones y en las redes
de telecomunicaciones del Estado,
asegurando el acceso y uso de las
redes y servicios a todos los
habitantes del territorio, as como
promover la competencia entre los
diferentes operadores, a travs de
ttulos habilitantes convergentes.
?i=26378
A partir de su
promulgacin,
Julio 31 de 2007
Presidencia de
la Repblica
de Colombia.
Rige a partir de
su
promulgacin,
diciembre 28 de
2007.
Alcalda Mayor
de Bogot
D.C.
A partir de su
promulgacin,
abril 18 de
2008.
Presidencia de
la Repblica
(.a. 24/09/08).
Sin embargo, el rgimen de servicios

de telecomunicaciones exceptuados
al interior del mismo menoscaba la
teleologa de la convergencia.
Decreto Distrital 619 de 2007
Establece la estrategia de gobierno

electrnico de los organismos y
entidades de Bogot D.C.
?i=28134#0
(.a. 24/09/08).
Por el cual se establecen los

lineamientos
generales
de
la
Estrategia de Gobierno en Lnea de
la Repblica de Colombia, se
reglamenta parcialmente la Ley 962
de 2005, y se dictan otras
disposiciones.
http://www.superservicios.gov
.co/basedoc/decreto_nacional.
shtml?x=68236
(.a. 24/09/08).
Pgina 58 de 197

4.2.1.1.5. Compromisos Internacionales en Materia de Seguridad Informtica

Nombre Documento
Resumen
Enlace documento
Constitucin de la Unin
Internacional de
Telecomunicaciones, suscrita en
Ginebra, a 22 de diciembre de 1992.
Particularmente el artculo 37,
numeral 1), aprobada mediante Ley
252 de 1995.
Art. 37, num. 2. Compromiso de los

Estados miembro en lo atinente al
SECRETO DE LAS
TELECOMUNICACIONES, adoptando
las medidas que permita el sistema
de comunicacin empleado para
garantizar el secreto de la
correspondencia internacional.
http://www.superservicios.gov
.co/basedoc/leyes.shtml?x=54
979
Vigencia y
Aplicacin
Fuente
A partir de
diciembre 19 de
1995.
Unin
Internacional
de
Telecomunicac
iones
A partir de julio
19 de 2006.
Comunidad
Andina de
Naciones.
A partir de su
aprobacin en la
cuarta sesin
plenaria, junio 8
de 2008.
Organizacin
de los Estados
Americanos
(OEA),
Comisin
Interamerican
a de
Telecomunicac
iones.
(.a. 24/09/08).
Decisin Comunitaria Andina 638

sobre Lineamientos para la
proteccin del usuario de
telecomunicaciones de la comunidad
andina. (Particularmente el artculo
4, numeral 9).
AG/ RES. 2004 XXXXIV-O 04.
Parmetros de proteccin al
consumidor de las
telecomunicaciones que debern
adoptar los Estados Miembros en sus
ordenamientos internos.
Particularmente, se debe hacer
hincapi en las obligaciones de los
operadores y proveedores de
servicios de telecomunicaciones en
lo relativo a seguridad telemtica.
1.
Adoptar el
proyecto de Estrategia
Interamericana Integral de
Seguridad Ciberntica que se
adjunta como anexo.
2.
Instar a los
Estados Miembros a implementar
dicha Estrategia.
3.
Instar a los
Estados Miembros a establecer o
identificar grupos nacionales de
vigilancia y alerta, tambin
conocidos como Equipos de
Respuesta a Incidentes de
Seguridad en Computadoras
(CSIRT).
4.
Dar renovado
nfasis a la importancia de lograr
sistemas seguros de informacin de
Internet en todo el Hemisferio.
5.
Solicitar al
Consejo Permanente que, por medio
de la Comisin de Seguridad
Hemisfrica, siga abordando esta
cuestin y contine facilitando las
medidas de coordinacin para
implementar dicha Estrategia, en
particular los esfuerzos de los
expertos gubernamentales, el
Comit Interamericano contra el
Terrorismo (CICTE), la Comisin
Interamericana de
Telecomunicaciones (CITEL) y el
Grupo de Expertos en Materia de
Delito Ciberntico de la Reunin de
http://www.comunidadandina.
org/normativa/dec/d638.htm
(.a. 24/09/08).
http://www.cicte.oas.org/Rev/
en/Documents/OAS_GA/AGRES.%202004%20(XXXIV-O04)_SP.pdf
(.a. 24/09/08).
Pgina 59 de 197

Nombre Documento
Resumen
Enlace documento
Ministros de Justicia o de Ministros o

Procuradores Generales de las
Amricas (REMJA) y otros rganos
pertinentes de la OEA.
6.
Instar a los
Estados Miembros y a los rganos,
organismos y entidades de la OEA a
que coordinen sus esfuerzos para
incrementar la seguridad
ciberntica.
7.
Solicitar a las
Secretaras del CICTE y la CITEL y al
Grupo de Expertos Gubernamentales
en Materia de Delito Ciberntico de
la REMJA que asistan a los Estados
Miembros, cuando lo soliciten, en la
implementacin de las respectivas
partes de la Estrategia y presenten
un informe conjunto al Consejo
Permanente, por medio de la
Comisin de Seguridad Hemisfrica,
sobre el cumplimiento de esta
resolucin, antes del trigsimo
quinto perodo ordinario de sesiones
de la Asamblea General.
8.
Respaldar la
celebracin de la segunda Reunin
de Practicantes Gubernamentales en
Materia de Seguridad Ciberntica
que convocar el CICTE para el
seguimiento oportuno de las
recomendaciones sobre el
Establecimiento de la Red
Interamericana de Alerta y
Vigilancia, que figuran en el
documento CICTE/REGVAC/doc.2/04
y que forman parte de la Estrategia.
9.
Estipular que
esa Reunin de Practicantes
Gubernamentales en Materia de
Seguridad Ciberntica se celebre con
los recursos asignados en el
programa-presupuesto de la
Organizacin y otros recursos, y
solicitar que la Secretara General y
la Secretara del CICTE proporcionen
el apoyo administrativo y tcnico
necesario para esta reunin.
10.
Instar a los
Estados Miembros a implementar,
segn corresponda, las
recomendaciones de la Reunin
Inicial del Grupo de Expertos
Gubernamentales en Materia de
Delito Ciberntico de la REMJA
(REMJA-V/doc.5/04) y las
recomendaciones relativas a
seguridad ciberntica de la Quinta
Reunin de la REMJA (REMJAV/doc.7/04 rev. 4) como medio de
crear un marco para promulgar
leyes que protejan los sistemas de
informacin, impidan el uso de
computadoras para facilitar
actividades ilcitas y sancionen el
delito ciberntico.
11.
Solicitar al
Consejo Permanente que informe a
la Asamblea General en su trigsimo
quinto perodo ordinario de sesiones
sobre la implementacin de esta
resolucin.
Pgina 60 de 197
Vigencia y
Aplicacin
Fuente

4.2.1.2. Relacin documentada de avances de Colombia en materia de proteccin de informacin del

individuo y Habeas Data
4.2.1.2.1. Legislacin interna en Materia de Proteccin de Informacin del Individuo y Habeas Data
Nombre Documento
Ley 23 de 1981
Resumen
Enlace documento
Cataloga la historia clnica como un

documento privado, sometido a
reserva, que nicamente puede ser
conocido
por
terceros
previa
autorizacin del paciente o en los
casos previstos por la Ley
http://www.mined
ucacion.gov.co/16
21/articles103905_archivo_p
df.pdf
Vigencia y Aplicacin
Fuente
Rige a partir de su
promulgacin, febrero de
1981
Congreso de la
Repblica de
Colombia.
A partir de su promulgacin,
enero 28 de 1982.
Congreso de la
Repblica de
Colombia.
Rige a partir de marzo 1 de

1984.
Presidencia de
la Repblica
de Colombia.
Rige partir de su
promulgacin, noviembre 22
de 1985
Congreso de la
Repblica de
Colombia
(.a. 24/09/08).
Ley 23 de 1982
Sobre derechos de autor
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=3431
()
Artculo 84.- Las cartas y misivas

son propiedad de la persona a quien
se envan, pareo no para el efecto
de su publicacin. Este derecho
pertenece
al
autor
de
la
correspondencia, salvo en el caso de
que una carta deba obrar como
prueba de un negocio judicial o
administrativo y que su publicacin
sea autorizada por el funcionario
competente.
Cdigo Contencioso Administrativo
Reglamenta el ejercicio del derecho

de peticin, Artculo 5, 17 y 19.
(.a. 24/09/08).
http://www.dafp.g
ov.co/leyes/C_CO
NADM.HTM
(.a. 24/09/08).
Ley 96 de 1985.
Tienen
carcter
reservado
las
informaciones que reposen en los
archivos
de
la
Registradura,
referentes a la identidad de las
personas, cmo son sus datos
biogrficos, su filiacin y su frmula
dactiloscpica. De la informacin
reservada slo podr hacerse uso
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=14506
Pgina 61 de 197

Nombre Documento
Resumen
Enlace documento
por orden de autoridad competente.

Con fines investigativos, los jueces y
los funcionarios de polica y de
seguridad tendrn acceso a los
archivos
de
la
Registradura.
Cualquier
persona
podr
inspeccionar en todo tiempo los
censos electorales, pero en ningn
caso se podr expedir copia de los
mismos.
Ley 30 de 1986.
Determina que los temas tratados

en
el
Consejo
Nacional
de
Estupefacientes
son
reservados.
Adicionalmente, que
sus
actas
tendrn el mismo carcter y, por
tanto, solo podrn ser conocidas por
el Seor Presidente de la Repblica
y por los miembros del Consejo.
Fuente
(.a. 28/09/08).
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=2774
Rige a partir de su
promulgacin, enero 31 de
1986.
Congreso de la
Repblica de
Colombia
Rige a partir de su
promulgacin, marzo 30 de
1989.
Congreso de la
Repblica
diciembre 13 de 1990.
Congreso de la
Repblica de
Colombia.
(.a. 28/09/08).
Estatuto Tributario, Decreto 624 de

1989.
El
artculo
583
del
Estatuto
determina
que
la
informacin
tributaria respecto de las bases
gravables y la determinacin privada
de los impuestos que figuren en las
declaraciones tributarias, tendr el
carcter de informacin reservada;
por consiguiente, los funcionarios de
la Direccin General de Impuestos
Nacionales slo podrn utilizarla
para
el
control,
recaudo,
determinacin,
discusin
y
administracin de los impuestos y
para
efectos
de
informaciones
impersonales de estadstica.
http://www.dian.g
ov.co/dian/15servi
cios.nsf/0108fdc36
39d83ff05256f0b0
06abb3d/7ae1155
d8f61bdeb05256f0
d005e587c?OpenD
ocument
(.a. 28/09/08).
El artculo 579 prev lo concerniente

a la presentacin de declaraciones
tributarias electrnicas.
Ley 43 de 1990.
Por la cual se adiciona la ley 145 de

1960, reglamentaria de la profesin
de contador pblico y se dictan otras
disposiciones.
Ttulo Quinto
El
Secreto
Confidencialidad
Profesional
http://www.mined
ucacion.gov.co/16
21/articles104546_archivo_p
df.pdf
ARTICULO 63. El Contador Pblico

est obligado a guardar la reserva
profesional en todo aquello que
conozca en razn del ejercicio de su
profesin, salvo en los casos en que
dicha reserva sea levantada por
disposiciones legales.
(.a. 24/09/08).
ARTICULO 64. Las evidencias del
Pgina 62 de 197

Nombre Documento
Resumen
Enlace documento
Fuente
trabajo de un Contador Pblico, son

documentos privados sometidos a
reservas que nicamente pueden ser
conocidas
por
terceros,
previa
autorizacin del cliente y del mismo
Contador Pblico, o en los casos
previstos por la ley.
deber
tomar
las
medidas
apropiadas para que tanto el
personal a su servicio como las
personas de las que obtenga consejo
y asistencia, respeten fielmente los
principios de independencia y de
confidencialidad.
que se desempee como catedrtico
podr
dar
casos
reales
de
determinados asuntos pero sin
identificar de quien se trata.
esta obligado, a mantener la reserva
comercial de libros, papeles o
informaciones de personas a cuyo
servicio hubiere trabajado o de los
que hubiere tenido conocimiento por
razn del ejercicio del cargo o
funciones pblicas, salvo en los
casos
contemplados
por
disposiciones legales.
PARAGRAFO.
Las
revelaciones
incluidas en los Estados Financieros
y en los dictmenes de los
Contadores
Pblicos
sobre
los
mismos, no constituyen violacin de
la reserva comercial, bancaria o
profesional.
Ley 52 de 1990.
Considera las deliberaciones y actos

del Consejo Nacional de Seguridad
como reservados y sus actas
secretas.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=3428
Rige a partir de su
promulgacin, diciembre 28
de 1990.
Congreso de la
Repblica de
Colombia.
Rige a partir de la fecha de

su promulgacin, 04 de julio
de 1991.
Asamblea
Nacional
Constituyente
(.a. 28/09/08).
Constitucin Poltica de Colombia
Establece el derecho fundamental a

la intimidad personal, familiar y al
buen nombre, radicando en cabeza
del
Estado
la
obligacin
de
respetarlos y hacerlos respetar.
Artculo 15. Todas las personas
tienen derecho a su intimidad
personal y familiar y a su buen
nombre,
y
el
Estado
debe
respetarlos y hacerlos respetar. De
igual modo, tienen derecho a
conocer, actualizar y rectificar las
informaciones
que
se
hayan
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=4125
(.a. 24/09/08).
Pgina 63 de 197

Nombre Documento
Resumen
Enlace documento
Fuente
recogido sobre ellas en bancos de

datos y en archivos de entidades
pblicas y privadas.
En la recoleccin, tratamiento y
circulacin de datos se respetarn la
libertad
y
dems
garantas
consagradas en la Constitucin.
La correspondencia y dems formas
de
comunicacin
privada
son
inviolables.
Slo
pueden
ser
interceptadas
o
registradas
mediante orden judicial, en los casos
y
con
las
formalidades
que
establezca la ley
().
Igualmente, analiza el derecho

fundamental
a
la
informacin,
aspecto que debe ser interpretado
tendiente al logro de un equilibrio
con el artculo 15, a saber:
ARTICULO 20. Se garantiza a toda

persona la libertad de expresar y
difundir su pensamiento y opiniones,
la de informar y recibir informacin
veraz e imparcial, y la de fundar
medios masivos de comunicacin.
Estos
son
responsabilidad
el derecho a
condiciones de
censura.
libres
y
tienen
social. Se garantiza
la rectificacin en
equidad. No habr
Por otra parte, el artculo 23

reconoce como derecho fundamental
el
de
presentar
peticiones
respetuosas a la administracin.
Artculo 74. Todas las personas

tienen derecho a acceder a los
documentos pblicos salvo los casos
que establezca la ley.
Por el cual se reestructura el
Departamento
Administrativo
de
Seguridad (DAS).
()
ARTICULO 81. INFORMACIONES.El Departamento Administrativo de

Seguridad por intermedio de la
Direccin General de Inteligencia
podr solicitar a los funcionarios
superiores y subalternos de la
administracin pblica nacional y de
las
administraciones
regionales,
departamentales,
distritales,
metropolitanas y municipales las
informaciones que, en razn de sus
http://juriscol.ban
rep.gov.co:8080/C
ICPROD/BASIS/inf
juric/normas/norm
as/DDW?W%3DLL
AVE_NORMAS%3D
'DECRETO+2110+
1992+DEPARTAME
NTO+ADMINISTRA
TIVO+DE+SEGURI
DADDAS'%26M%3D1
%26K%3DDECRET
O+2110+1992+D
EPARTAMENTO+A
DMINISTRATIVO+
DE+SEGURIDAD-
Pgina 64 de 197
A partir de la fecha de su
publicacin, en el diario
oficial, abril 7 de 1993.
Presidencia de
la Repblica
de Colombia.

Nombre Documento
Resumen
Enlace documento
funciones oficiales hayan recibido,

relativas a hechos, circunstancias,
actuaciones,
personas
y
organizaciones
que
puedan
menoscabar la seguridad interior o
exterior del
pas, el rgimen
constitucional o la seguridad pblica
o
puedan
ser
causa
de
perturbaciones del orden pblico,
social o econmico de la Nacin, y
ellos
debern
atender
tales
solicitudes.
DAS%26R%3DY%
26U%3D1
Fuente
octubre 20 de 1993.
Congreso de la
Repblica de
Colombia.
(.a. 24/08/08).
()
ARTICULO
85.
SECRETO
O
RESERVA.- Por la naturaleza de las
funciones
que
cumple
el
Departamento
Administrativo
de
Seguridad,
los
documentos,
mensajes, grabaciones, fotografas y
material clasificado de la Direccin
General de Inteligencia, de las
Divisiones que de ella dependen, de
las Unidades Regionales y Grupos de
Inteligencia, tiene carcter secreto o
reservado. Igual carcter tienen las
informaciones originadas en las
dependencias de la Institucin y el
material correspondiente, cuando se
relacionen
con
asuntos
de
competencia de las Unidades de
Inteligencia. En consecuencia, no se
podrn
compulsar
copias
ni
duplicados, ni suministrar datos
relacionados con ellos salvo si
precede autorizacin expresa del
Director del Departamento.
El empleado que indebidamente los

d a conocer incurrir en causal de
mala
conducta
que
implica
destitucin del cargo, sin perjuicio
de la sancin penal a que hubiere
lugar segn lo dispuesto por el
artculo 154 del Cdigo Penal.
Ley 79 de 1993.
Por la cual se regula la realizacin

de los Censos de Poblacin y
Vivienda en todo el territorio
nacional.
ARTCULO
5o.
Las
personas
naturales o jurdicas, de cualquier
orden o naturaleza, domiciliadas o
residentes en el territorio nacional,
estn obligadas a suministrar al
Departamento
Administrativo
Nacional de Estadstica DANE, los
datos solicitados en el desarrollo de
Censos y Encuestas.
http://www.secret
ariasenado.gov.co
/leyes/L0079_93.
HTM
(.a. 24/09/08).
Los
datos
suministrados
al
Departamento
Administrativo
Nacional de Estadstica DANE, en el
desarrollo de los censos y encuestas,
Pgina 65 de 197

Nombre Documento
Resumen
Enlace documento
Fuente
no podrn darse a conocer al pblico

ni a las entidades u organismos
oficiales, ni a las autoridades
pblicas,
sino
nicamente
en
resmenes numricos, que no hagan
posible deducir de ellos informacin
alguna de carcter individual que
pudiera
utilizarse
para
fines
comerciales, de tributacin fiscal, de
investigacin judicial o cualquier
otro diferente del propiamente
estadstico.
Permitiendo
inferir
que
la
informacin
suministrada
al
Departamento
Administrativo
Nacional de Estadstica (DANE) solo
puede ser utilizada para el fin
especfico
de
su
obtencin
(ADQUIRIENDO
INFORMACIN
RELEVANTE,
QUE
OTORGUE
VERDADEROS
INDICADORES,
Y
ACORDE
A
LA
FINALIDAD
PERSEGUIDA), cual es la realizacin
de
los
respectivos
censos
y
encuestas.
Constitucin
de
la
Unin
Internacional
de
Telecomunicaciones,
suscrita
en
Ginebra, a 22 de diciembre de 1992
(Particularmente el artculo 34,
numeral 2), aprobada mediante Ley
252 de 1995.
Art. 34, num. 2. Consagra una

excepcin
al
derecho
a
la
inviolabilidad de las comunicaciones:
Los Miembros, se reservan tambin
el derecho a interrumpir otras
telecomunicaciones privadas que
puedan parecer peligrosas para la
seguridad del Estado o contrarias a
sus leyes, al orden pblico o a las
buenas costumbres.
A partir de diciembre 19 de
1995.
http://www.supers
ervicios.gov.co/ba
sedoc/leyes.shtml
?x=54979
Unin
Internacional
de
Telecomunicac
iones.
(.a. 24/09/08).
Por el cual se reglamenta el servicio

postal.
()
Ley 190 de 1995.
Artculo 10. Inviolabilidad de la

correspondencia. La correspondencia
del servicio postal y dems formas
de
comunicacin
privada
son
inviolables. No se podr atentar
contra el secreto que pudiera
contener
y
slo
puede
ser
interceptada y registrada, mediante
orden judicial, en los casos y con las
formalidades que establezcan la
Constitucin y la ley, sin perjuicio de
las sanciones penales establecidas
por la violacin ilcita de la
correspondencia.
Por la cual se dictan normas
tendientes a preservar la moralidad
en la administracin pblica y se
fijan disposiciones con el fin de
erradicar
la
corrupcin
administrativa.
http://www.adpos
tal.gov.co/secs/no
rmatividad/decret
o_229.htm
58.
Todo
Presidencia de
la Repblica
de Colombia.
(.a. 24/09/08).
junio 6 de 1995.
http://www.dafp.g
ov.co/leyes/L0190
_95.HTM#58
()
ARTCULO
A partir de su publicacin,
en el diario oficial, febrero 3
de 1995.
ciudadano
Pgina 66 de 197
Congreso de la
Repblica de
Colombia.

Nombre Documento
Resumen
Enlace documento
tiene derecho a estar informado

peridicamente
acerca
de
las
actividades que desarrollen las
entidades pblicas y las privadas
que cumplan funciones pblicas o
administren recursos del Estado.
(.a. 24/09/08).
Igualmente,
en
materia
de
intervencin de los medios de
comunicacin ante la gestin de las
autoridades y funcionarios pblicos,
consagra lo siguiente:
ARTCULO 76. Las investigaciones

que
sobre
los actos de
las
autoridades pblicas adelanten los
periodistas
y
los
medios
de
comunicacin
en
general,
son
manifestacin de la funcin social
que cumple la libertad de expresin
e informacin y recibirn proteccin
y apoyo por parte de todos los
servidores pblicos, y debern ser
ejercidas
con
la
mayor
responsabilidad y con el mayor
respeto
por
los
derechos
fundamentales al debido proceso,
honra
y
buen
nombre.
Su
incumplimiento dar lugar a las
acciones correspondientes.
ARTCULO 77. Los periodistas

tendrn
acceso
garantizado
al
conocimiento de los documentos,
actos administrativos y dems
elementos
ilustrativos
de
las
motivaciones de la conducta de las
autoridades
pblicas,
sin
restricciones
diferentes
a
las
expresamente consagradas en la
ley.
ARTCULO
78.
En
las
investigaciones penales la reserva
de la instruccin no impedir a los
funcionarios
competentes
proporcionar a los medios de
comunicacin informacin sobre los
siguientes aspectos:
Existencia de un proceso penal, el

delito por el cual se investiga a las
personas legalmente vinculadas al
proceso, la entidad a la cual
pertenecen las personas si fuere el
caso y su nombre, siempre y cuando
se
haya
dictado
medida
de
aseguramiento, sin perjuicio de lo
dispuesto en el artculo 372 del
Cdigo de Procedimiento Penal.
Si la medida de aseguramiento no
se ha hecho efectiva, el funcionario
podr
no
hacer
pblica
la
Pgina 67 de 197
Fuente

Nombre Documento
Resumen
Enlace documento
Fuente
informacin.
Ley 256 de 1996.
enero 15 de 1996.
Ley por la cual se dictas normas
sobre competencia desleal
Consagra la violacin de secretos

como un acto reprochable. A este
respecto, es menester indicar que el
secreto, en su acepcin general,
goza
de
las
siguientes
caractersticas, a saber:
Voluntad de
detenta para
desconocido a
Adopcin de
(Jurdicas
y
necesarias
mantenerlo
estado.
Informacin
generacin
comunidad en
http://www.secret
ariasenado.gov.co
/leyes/L0256_96.
HTM
(.a. 24/09/08).
quien lo
mantenerlo
terceros.
la medidas
Tcnicas)
para
en
dicho
de
difcil
por
la
general.
En complemento de lo precedente,
el entorno comercial concibe el
secreto empresarial, caracterizado
por:
Que
la
informacin
involucre
una
efectiva
ventaja competitiva para
su legtimo poseedor.
Que sea susceptible de
valoracin econmica.
No se requiere que el
infractor
sea
un
competidor
directo
del
legtimo poseedor.
Susceptible
de
ser
transferido a un tercero,
con deber de reserva. Lo
reprochable no es el
conocimiento del secreto,
sino su acceso por medios
ilegales.
Es
valido
que
los
competidores
intentes
cifrar
el
secreto
empresarial por medios
lcitos.
En consonancia con lo anterior, la

referida norma de competencia
desleal postula:
ARTCULO 16. VIOLACIN DE

SECRETOS. Se considera desleal la
divulgacin
o
explotacin,
sin
autorizacin de su titular, de
secretos industriales o de cualquiera
otra clase de secretos empresariales
a los que se haya tenido acceso
Pgina 68 de 197
Congreso de la
Repblica de
Colombia.

Nombre Documento
Resumen
Enlace documento
Fuente
http://juriscol.ban
rep.gov.co:8080/C
ICPROD/BASIS/inf
juric/normas/norm
as/DDW?W%3DLL
AVE_NORMAS%3D
'DECRETO+300+1
997+MINISTERIO
+DE+JUSTICIA+Y
+DEL+DERECHO'
%26M%3D1%26K
%3DDECRETO+30
0+1997+MINISTE
RIO+DE+JUSTICI
A+Y+DEL+DEREC
HO%26R%3DY%2
6U%3D1
Rige a partir de su
promulgacin, febrero 13 de
1997.
Presidencia de
la Repblica
de Colombia.
legtimamente pero con deber de

reserva,
o
ilegtimamente,
a
consecuencia de algunas de las
conductas previstas en el inciso
siguiente o en el artculo 18 de esta
ley.
Tendr as mismo la consideracin

de desleal, la adquisicin de secretos
por
medio
de
espionaje
o
procedimientos
anlogos,
sin
perjuicio de las sanciones que otras
normas establezcan.
Las acciones referentes a la

violacin de secretos procedern sin
que para ello sea preciso que
concurran los requisitos a que hace
referencia el artculo 2o. de este
ley.
(ARTCULO
2o.
MBITO
OBJETIVO DE APLICACIN. Los
comportamientos previstos en esta
ley tendrn la consideracin de actos
de competencia desleal siempre que
realicen en el mercado y con fines
concurrenciales.
La finalidad concurrencial del acto

se presume cuando ste, por las
circunstancias en que se realiza, se
revela objetivamente idneo para
mantener
o
incrementar
la
participacin en el mercado de quien
lo realiza o de un tercero.
ARTCULO 18. VIOLACIN DE

NORMAS. Se considera desleal la
efectiva realizacin en el mercado de
una ventaja competitiva adquirida
frente a los competidores mediante
la infraccin de una norma jurdica.
La ventaja ha de ser significativa.
Decreto 300 de 1997, Aprobatorio

del Acuerdo No. 0017 de 1996 del
Instituto Nacional Penitenciario y
Carcelario (INPEC).
El artculo 26 determina la existencia

de
cierta
informacin
como
reservada. Y seala que ningn
miembro del Consejo Directivo ni
funcionario del Instituto Nacional
Penitenciario y Carcelario, INPEC,
podr revelar los planes, programas,
proyectos y actos de carcter
reservado que se encuentren en
estudio o en proceso de adopcin y
que
constituyan
informacin
confidencial salvo que el Consejo
Directivo o el Director General lo
autoricen
conforme
a
las
disposiciones existentes al respecto.
Pgina 69 de 197

Nombre Documento
Resumen
Enlace documento
Fuente
(.a. 29/09/08)
Ley 489 de 1998
diciembre 29 de 1998.
Por la cual se dictan normas sobre
la organizacin y funcionamiento de
las entidades del orden nacional, se
expiden las disposiciones, principios
y reglas generales para el ejercicio
de las atribuciones previstas en los
numerales 15 y 16 del artculo 189
de la Constitucin Poltica y se dictan
otras disposiciones.
http://www.dafp.g
ov.co/leyes/L0489
_98.HTM#119
Congreso de la
Repblica de
Colombia.
(.a. 24/09/08).
ARTICULO 119. PUBLICACION EN

EL DIARIO OFICIAL. A partir de la
vigencia de la presente ley, todos los
siguientes actos debern publicarse
en el Diario Oficial:
a) Los actos legislativos y proyectos

de reforma constitucional aprobados
en primera vuelta;
b) Las leyes y los proyectos de ley

objetados por el Gobierno;
c) Los decretos con fuerza de ley,

los
decretos
y
resoluciones
ejecutivas expedidas por el Gobierno
Nacional
y
los
dems
actos
administrativos de carcter general,
expedidos por todos los rganos,
dependencias,
entidades
u
organismos del orden nacional de las
distintas Ramas del Poder Pblico y
de los dems rganos de carcter
nacional que integran la estructura
del Estado.
PARAGRAFO. nicamente con la

publicacin
que
de
los
actos
administrativos de carcter general
se haga en el Diario Oficial, se
cumple con el requisito de publicidad
para efectos de su vigencia y
oponibilidad.
Ley 527 de 1999 (Particularmente

los artculos 30, numeral 6, y 32,
literales c y g).
Artculo 30. Actividades de las

entidades
de
certificacin.
Las
entidades
de
certificacin
autorizadas por la Superintendencia
de Industria y Comercio para prestar
sus servicios en el pas, podrn
realizar, entre otras, las siguientes
actividades:
http://www.secret
ariasenado.gov.co
/leyes/L0527_99.
HTM
(.a. 24/09/08).
Pgina 70 de 197
en el diario oficial, agosto 21
de 1999.
Congreso de la
Repblica de
Colombia.

Nombre Documento
Resumen
Enlace documento
Fuente
http://www.secret
ariasenado.gov.co
/leyes/L0555000.
HTM
en el diario oficial, febrero 7
de 2000.
Congreso de la
Repblica de
Colombia.
()
6. Ofrecer los servicios de archivo y

conservacin de mensajes de datos.
()
Artculo
32.
Deberes
de
las
entidades
de
certificacin.
Las
entidades de certificacin tendrn,
entre otros, los siguientes deberes:
()
c)
Garantizar
la
proteccin,
confidencialidad y debido uso de la
informacin suministrada por el
suscriptor.
()
g) Suministrarla informacin que le

requieran
las
entidades
administrativas
competentes
o
judiciales en relacin con las firmas
digitales y certificados emitidos y en
general sobre cualquier mensaje de
datos que se encuentre bajo su
custodia y administracin.
Ley 555 de 2000
Por la cual se regula la prestacin

de los Servicios de Comunicacin
Personal, PCS y se dictan otras
disposiciones.
()
ARTICULO
17.
REGIMEN
PROTECCION AL USUARIO
DE
(.a. 24/09/08).
()
PARAGRAFO 2o. Los operadores de

todos los servicios mviles de
telecomunicaciones
slo
podrn
almacenar y registrar datos que,
segn las normas o pautas que fije
la Comisin de Regulacin de
Telecomunicaciones,
y
de
conformidad con el artculo 15 de la
Constitucin,
se
consideren
estrictamente
relevantes
para
evaluar el perfil econmico de sus
Pgina 71 de 197

Nombre Documento
Resumen
Enlace documento
Fuente
titulares.
Los datos personales que recojan y

sean objeto de tratamiento deben
ser
pertinentes,
exactos
y
actualizados
de
modo
que
correspondan
verazmente
a
la
situacin real de su titular.
<Aparte
subrayado
CONDICIONALMENTE
exequible>
Cualquier
dao
causado
con
violacin de esta norma dar lugar a
la indemnizacin de perjuicios segn
las
reglas
civiles
de
la
responsabilidad, sin perjuicio de la
procedencia de la accin de tutela
para
proteger
el
derecho
fundamental a la intimidad personal
(Corte
ConstitucionalAparte
subrayado
declarado
CONDICIONALMENTE
EXEQUIBLE
por la Corte Constitucional mediante
Sentencia C-887-02 de 22 de
octubre
de
2002,
Magistrada
Ponente Dra. Clara Ins Vargas
Hernndez, "bajo el entendido que
no excluyen la proteccin de otros
derechos fundamentales mediante el
ejercicio de la accin de tutela).
Ley 594 de 2000
Ley General de Archivos, seala las

polticas
de
retencin
de
documentos,
los
conceptos
relacionados con la labor de archivo,
as como el carcter vinculante del
postulado de unidad documental que
debe reflejar todo archivo.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=4275
en el diario oficial, julio 14
de 2000.
Congreso de la
Repblica de
Colombia.
Rige a partir de su
promulgacin, julio 06 de
2000.
Congreso de la
Repblica
septiembre 11 de 2000.
Congreso de la
Repblica de
Colombia.
(.a. 24/09/08).
Ley 588 de 2000
Notarias
y
Consulados
pueden
convertirse
en
entidades
de
certificacin, a la vez que utilizar
todos los medios magnticos o
electrnicos que requieran para el
archivo de la informacin.
http://www.secret
ariasenado.gov.co
/leyes/L0588000.
HTM
(.a. 24/09/08).
Decreto
1747
de
2000
(Particularmente el artculo 25).
ARTCULO 25. INFORMACIN. Las
entidades de certificacin estarn
obligadas a respetar las condiciones
de confidencialidad y seguridad, de
acuerdo con las normas vigentes
http://www.minco
mercio.gov.co/eCo
ntent/documentos
/normatividad/dec
retos/decreto_174
7_2000.pdf
(.a. 24/09/08).
Pgina 72 de 197

Nombre Documento
Resumen
Enlace documento
Fuente
respectivas.
Salvo la informacin contenida en

el certificado, la suministrada por los
suscriptores a las entidades de
certificacin se considerar privada y
confidencial.
Ley 679 de 2001
Estatuto
para
prevenir
y
contrarrestar
la
explotacin,
pornografa y turismo sexual en
menores de edad, para lo cual se
crea la Comisin de expertos en
redes globales de informacin y
telecomunicaciones.
Prev la posibilidad de que existe un
sistema
de
autorregulacin
y
cdigos de conducta eficaces en el
manejo y aprovechamiento
de
redes.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=18309
Rige a partir de su
promulgacin,
Agosto 04 de 2001.
Congreso de la
Repblica
Rige a partir de su
promulgacin, agosto 05 de
2002.
Congreso de la
Repblica de
Colombia.
Rige a partir de su
publicacin, diciembre 13 de
2004.
Presidencia de
la Repblica
de Colombia.
(.a. 24/09/08).
Establece
un
rgimen
de
prohibiciones
y
deberes
para
proveedores
o
servidores,
administradores y usuarios de redes
globales.
Ley 766 de 2002, por medio de la

cual se aprueba la Convencin sobre
Asistencia en caso de accidente
nuclear.
Artculo
6.
Confidencialidad
Declaraciones Pblicas.
1. El Estado solicitante y la parte

que
preste
asistencia
debern
proteger el carcter confidencial de
toda informacin confidencial que
llegue a conocimiento de cualquiera
de los dos en relacin con la
asistencia en caso de accidente
nuclear o emergencia radiolgica.
Esa
informacin
se
usar
exclusivamente con el fin de la
asistencia convenida.
http://www.secret
ariasenado.gov.co
/leyes/L0766002.
HTM
(.a. 24/09/08).
2. La parte que preste la asistencia

har todo lo posible por coordinar
con el Estado solicitante antes de
facilitar al pblico informacin sobre
la asistencia prestada en relacin
con
un
accidente
nuclear
o
emergencia radio lgica.
Decreto
2004.
Reglamentario
4124
de
Reglamenta parcialmente la Ley 594

de 2000 por medio de la cual se
dicta la Ley General de Archivos y se
dictan otras disposiciones, as como
disposiciones en materia de archivos
privados.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=15442#0
(.a. 24/09/08).
Pgina 73 de 197

Nombre Documento
Ley 964 de 2005
Resumen
Enlace documento
Fuente
El artculo sptimo de la ley crea el

Sistema Integral de Informacin del
Mercado de Valores.
http://web.minjust
icia.gov.co/normas
/2005/l9642005.ht
m
julio 08 de 2005.
Congreso de la
Repblica de
Colombia.
An no ha entrado en
vigencia.
Congreso de la
Repblica.
(.a. 24/09/08).
Proyecto de Ley Estatutaria 221 de

2006 Cmara, 027 de 2006 Senado.
Texto definitivo al proyecto de ley

estatutaria 221 de 2006 cmara,
027 de 2006 senado, por la cual se
dictan las disposiciones generales
del Hbeas Data y se regula el
manejo de la informacin contenida
en bases de datos personales, en
especial la financiera, crediticia
comercial,
de
servicios
y
la
proveniente de terceros pases y se
http://www.habea
sdata.com.co/pdf/
proyectoactual/Te
xtodefinitivo0806-07.pdf
(.a. 24/09/08).
Ley 1236 de 2008, por medio de la

cual se modifican algunos artculos
del Cdigo Penal, relativos a delitos
de abuso sexual.
Mediante el artculo 13 de la
presente
ley,
se
dispuso
la
penalizacin de la conducta consiste
en utilizacin o facilitacin de
medios de comunicacin tales como,
el correo tradicional, las redes
globales de informacin, o cualquier
otro medio de comunicacin para
obtener
contacto
sexual
con
menores o para ofrecer servicios
sexuales con estos.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=31612
La norma se encuentra en la
H. Corte Constitucional
surtiendo el trmite de
control previo de
Constitucionalidad en razn
a su jerarqua de ley
Estatutaria.
Rige a partir de su
promulgacin, julio 23 de
2008.
Congreso de la
Repblica
(.a. 24/09/08).
4.2.1.2.2. Jurisprudencia Colombiana en Materia de Proteccin de Informacin del Individuo y Habeas

Data
Nombre Documento
Sentencia T- 414 de 1992
Resumen
Enlace documento
En cuanto al derecho fundamental al

habeas
data
o
a
la
autodeterminacin informtica, en
diversas
oportunidades
la
jurisprudencia de esta Corporacin
se ha referido a la naturaleza
fundamental de este derecho, el cual
comporta un plexo de facultades
tales como la de disponer de la
http://web.minjust
icia.gov.co/jurispr
udencia/CorteCons
titucional/1992/Tu
tela/T-414-92.htm
Pgina 74 de 197
Junio 16 de 1992
Fuente
Corte
Constitucional

Nombre Documento
Resumen
Enlace documento
informacin sobre s mismo, la de

preservar
la
propia
identidad
informtica, es decir, permitir,
controlar o rectificar los datos
concernientes a la personalidad del
titular de los mismos y que, como
tales, lo identifican e individualizan
ante los dems
Sentencia T-577 de 1992.
Sentencia SU-082 de 1995
La creacin y utilizacin de bancos

de datos - entre ellos los financieros
- es constitucional siempre que
exista
una
adecuada
proporcionalidad entre el medio
empleado y sus efectos reales sobre
los derechos fundamentales del
titular del dato, en particular sobre
los derechos a conocer, actualizar y
rectificar la informacin en ellos
recogida.
Constituye
un
uso
desproporcionado
del
poder
informtico y, en consecuencia, un
abuso del respectivo derecho, el
registro, conservacin o circulacin cualquiera sea la forma en que se
haga - de datos de una persona ms
all
del
trmino
legalmente
establecido para ejercer las acciones
judiciales con miras al cobro de las
obligaciones, causando con ello
ingentes perjuicios al deudor como
resultado de su exclusin indefinida
del sistema financiero, el cual debe
respetar la efectividad de los
derechos
fundamentales
de
la
persona.
La actualizacin a que se tiene
derecho segn la Carta Poltica
significa,
en
casos
como
el
considerado, que una vez producido
voluntariamente el pago, la entidad,
que dispona del dato pierde su
derecho a utilizarlo y, por tanto,
carece de razn alguna que siga
suministrando la informacin en
torno a que el individuo es o fue
deudor moroso.
Cabe la tutela contra particulares
para proteger, entre otros, los
derechos consagrados en el artculo
15 de la Constitucin y de manera
expresa contempla la viabilidad de la
accin cuando la entidad privada sea
aqulla contra quien se hubiere
hecho la solicitud en ejercicio del
"Habeas data".
Analiza la colisin entre el derecho a
la informacin y el derecho al buen
nombre, dejando por sentado que
en ningn momento son antagnicos
pues el buen nombre guarda
estrecha relacin con los actos de la
persona y lo reprochable es que una
vez cesada la situacin fctica, sta
contine en una base de datos.
Fuente
(.a. 24/09/08).
octubre 28 de 1992.
http://web.minjust
icia.gov.co/jurispr
udencia/CorteCons
titucional/1992/Tu
tela/T-577-92.htm
Corte
Constitucional
de Colombia.
(.a. 24/09/08).
marzo 18 de 1993.
Corte
Constitucional
de Colombia.
http://web.minjust
icia.gov.co/jurispr
udencia/CorteCons
titucional/1993/Tu
tela/T-110-93.htm
(.a. 24/09/08).
marzo 1 de 1995.
http://www.adalid
abogados.com/Se
ntenciaNSU08295.
pdf
Igualmente, se analiza el tema de la

caducidad
de
los
datos,
manifestando que es un aspecto que
corresponde
al
legislador.
Sin
embargo,
dada
la
ausencia
Pgina 75 de 197
Corte
Constitucional
de Colombia.

Nombre Documento
Resumen
Enlace documento
normativa actual, se establece un

trmino de 2 aos contados a partir
de la terminacin de la situacin, y
tratndose de procesos ejecutivos
ser de 5 aos ( 2 aos si se
sufrag
la
obligacin
con
el
mandamiento de pago).
Sentencia T-552 de 1997
El derecho a la intimidad es un
derecho
disponible.
Ciertas
personas, segn su criterio, pueden
hacer pblicas conductas que otros
optaran por mantener reservadas.
As mismo, en el desarrollo de la
vida corriente, las personas se ven
impelidas a sacrificar parte de su
intimidad como consecuencia de las
relaciones interpersonales que las
involucran. En otros casos, son
razones de orden social o de inters
general o, incluso, de concurrencia
con otros derechos como el de la
Fuente
(.a. 24/09/08).
Octubre 30 de 1997
http://web.minjust
icia.gov.co/jurispr
udencia/CorteCons
titucional/1997/Tu
tela/T-552-97.htm
Pgina 76 de 197
Corte
Constitucional
de Colombia

Nombre Documento
Resumen
Enlace documento
libertad de informacin o expresin,

las que imponen sacrificios a la
intimidad personal.
Fuente
(. a. 29/08708)
A pesar de que en determinadas

circunstancias el derecho a la
intimidad no es absoluto, las
personas conservan la facultad de
exigir la veracidad de la informacin
que hacen pblica y del manejo
correcto y honesto de la misma.
Este derecho, el de poder exigir el
adecuado manejo de la informacin
que el individuo decide exhibir a los
otros, es una derivacin directa del
derecho a la intimidad, que se ha
denominado como el derecho a la
"autodeterminacin informativa".
Sentencia C-729 de 2000
Sentencia T-729 de 2002
La regulacin de aspectos inherentes

al ejercicio mismo de los derechos y
primordialmente la que signifique
consagracin
de
lmites,
restricciones,
excepciones
y
prohibiciones, en cuya virtud se
afecte el ncleo esencial de los
mismos, nicamente procede, en
trminos constitucionales, mediante
el trmite de ley estatutaria.
Establece los principios en materia

de administracin de las bases de
datos, a saber:
Principio de Libertad: Entendido
como aquel postulado que permite la
exclusin, valida, de una base de
datos.
Principio
de
Finalidad:
La
informacin contenida en una base
de datos solo puede ser concebida
para un fin especfico.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=14517
Corte
Constitucional
de Colombia.
Corte
Constitucional
de Colombia.
(.a. 24/09/08).
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=9903
(.a. 24/09/08).
Principio
de
Integridad:
La
informacin debe ser inalterada en
el proceso comunicativo.
Principio
de
Necesidad:
informacin contenida debe
funcional.
Junio 21 de 2000
La
ser
Clasificacin de la Informacin: La
primera gran tipologa, es aquella
dirigida
a
distinguir
entre
la
informacin
impersonal
y
la
informacin personal. A su vez, en
esta ltima es importante diferenciar
igualmente la informacin personal
contenida en bases de datos
computarizadas
o
no
y
la
informacin personal contenida en
otros medios, como videos o
fotografas, etc.
La segunda gran tipologa que
necesariamente se superpone con la
Pgina 77 de 197

Nombre Documento
Resumen
Enlace documento
anterior, es la dirigida a clasificar la

informacin desde un punto de vista
cualitativo
en
funcin
de
su
publicidad y la posibilidad legal de
obtener acceso a la misma. En este
sentido la Sala encuentra cuatro
grandes tipos: la informacin pblica
o de dominio pblico, la informacin
semi-privada, la informacin privada
y la informacin reservada o
secreta.
As,
la
informacin
pblica,
calificada como tal segn los
mandatos de la ley o de la
Constitucin, puede ser obtenida y
ofrecida sin reserva alguna y sin
importar
si
la
misma
sea
informacin general, privada o
personal. Por va de ejemplo,
pueden
contarse
los
actos
normativos de carcter general, los
documentos pblicos en los trminos
del artculo 74 de la Constitucin, y
las
providencias
judiciales
debidamente
ejecutoriadas;
igualmente sern pblicos, los datos
sobre el estado civil de las personas
o sobre la conformacin de la
familia. Informacin que puede
solicitarse por cualquier persona de
manera directa y sin el deber de
satisfacer requisito alguno.
La informacin semi-privada, ser
aquella que por versar sobre
informacin personal o impersonal y
no estar comprendida por la regla
general anterior, presenta para su
acceso y conocimiento un grado
mnimo de limitacin, de tal forma
que la misma slo puede ser
obtenida y ofrecida por orden de
autoridad
administrativa
en
el
cumplimiento de sus funciones o en
el marco de los principios de la
administracin de datos personales.
Es el caso de los datos relativos a
las relaciones con las entidades de la
seguridad social o de los datos
relativos
al
comportamiento
financiero de las personas.
La
informacin
privada,
ser
aquella que por versar sobre
informacin personal o no, y que por
encontrarse en un mbito privado,
slo puede ser obtenida y ofrecida
por orden de autoridad judicial en el
cumplimiento de sus funciones. Es el
caso
de
los
libros
de
los
comerciantes, de los documentos
privados, de las historias clnicas o
de la informacin extrada a partir
de la inspeccin del domicilio.
Finalmente,
encontramos
la
informacin reservada, que por
versar igualmente sobre informacin
personal
y
sobretodo
por
su
estrecha relacin con los derechos
Pgina 78 de 197
Fuente

Nombre Documento
Resumen
Enlace documento
Fuente
fundamentales del titular - dignidad,

intimidad y libertad- se encuentra
reservada a su rbita exclusiva y no
puede siquiera ser obtenida ni
ofrecida por autoridad judicial en el
cumplimiento de sus funciones.
Cabra
mencionar
aqu
la
informacin gentica, y los llamados
32
"datos sensibles" o relacionados
con la ideologa, la inclinacin
sexual, los hbitos de la persona,
etc.
Sentencia
C-692 de 2003
Derecho a la intimidad, alcance, no

es
absoluto,
disponibilidad,
proteccin
constitucional,
inviolabilidad e interceptacin de
comunicacin privada, clasificacin
de la informacin
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=21852
Agosto 12 de 2003
Corte
Constitucional
de Colombia
octubre 28 de 2005.
Corte
Constitucional
de Colombia.
Mayo 09 de 2007
Corte
Constitucional
de Colombia.
Informacin publica, definicin

(.a. 24/09/08).
Postula que los contratos laborales

deben incluir una clusula en
materia de condiciones en que se
puede recuperar un archivo de
informacin,
debido
a
la
obsolescencia del formato y duracin
del soporte fsico. Es un aspecto que
guarda ntima relacin con el
principio de archivo y conservacin
presente en el comercio electrnico.
http://www.adalid
abogados.com//Se
ntenciat1105%200
5.pdf
(.a. 24/09/08).
Sentencia C-336 de 2007.
La
bsqueda
selectiva
de
informacin confidencial en bases de
datos puede afectar los derechos
fundamentales a la intimidad y al
habeas data.
No obstante la Corporacin ha
reconocido tambin que el derecho a
la intimidad no es absoluto. En este
sentido, la Corte ha establecido que
el
derecho
fundamental
a
la
intimidad "puede ser objeto de
limitaciones" restrictivas de su
ejercicio "en guarda de un verdadero
inters general que responda a los
presupuestos establecidos por el
artculo 1 de la Constitucin", sin
que por ello se entienda que pueda
http://www.alcaldi
abogota.gov.co/sis
jur/consulta_tema
tica.jsp
(.a. 24/09/08).
Pgina 79 de 197

Nombre Documento
Resumen
Enlace documento
Fuente
desconocerse su ncleo esencial.
Sentencia
Corte
Suprema
de
Justicia, Sala de Casacin Civil,
Expediente 05001-22-03-000-2007
00230-01 de septiembre 4 de 2007.
Establece el carcter de herramienta

de trabajo que ostenta el correo
electrnico
corporativo.
Sin
embargo, aclara que la informacin
personal no deja de serlo por estar
all contenida; Razn por la cual
empresario y trabajador deben
tomar las medidas de proteccin
adecuadas.
http://www.adalid
abogados.com/cor
tesuprema.pdf
Corte
Suprema de
Justicia, sala
de Casacin
Civil.
M.P.: Arturo
Solarte
Rodrguez
(.a. 24/09/08).
4.2.1.3. Relacin documentada de avances de Colombia en materia normativa en seguridad informtica

Nombre Documento
Resumen
Enlace documento
Fuente
Ley Estatutaria de la Administracin

de Justicia, 270 de 1996
Mediante el artculo 95 de la
mencionada norma, se establece la
posibilidad para que la tecnologa se
ponga
al
servicio
de
la
administracin de justicia, mediante
su uso adecuado.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=6548
marzo 15 de 1996.
Congreso de la
Repblica
ARTICULO 95. TECNOLOGIA AL

SERVICIO DE LA ADMINISTRACION
DE JUSTICIA El Consejo Superior de
la Judicatura debe propender por la
incorporacin de tecnologa de
avanzada
al
servicio
de
la
administracin de justicia. Esta
accin se enfocar principalmente a
mejorar la prctica de las pruebas,
la
formacin,
conservacin
y
reproduccin de los expedientes, la
comunicacin entre los despachos y
a garantizar el funcionamiento
razonable
del
sistema
de
informacin.
(.a. 24/09/08).
Los
juzgados,
tribunales
y
corporaciones
judiciales
podrn
utilizar cualesquier medios tcnicos,
electrnicos,
informticos
y
telemticos, para el cumplimiento de
sus funciones.
Los documentos emitidos por los
citados medios, cualquiera que sea
su soporte, gozarn de la validez y
eficacia de un documento original
siempre que quede garantizada su
autenticidad,
integridad
y
el
cumplimiento de los requisitos
exigidos por las leyes procesales.
Pgina 80 de 197

Nombre Documento
Resumen
Enlace documento
Fuente
Los procesos que se tramiten con

soporte informtico garantizarn la
identificacin y el ejercicio de la
funcin jurisdiccional por el rgano
que
la
ejerce,
as
como
la
confidencialidad,
privacidad,
y
seguridad de los datos de carcter
personal que contengan en los
trminos que establezca la ley.
Ley 527 de 1999
Mediante esta ley se incorpor al

ordenamiento jurdico interno la ley
modelo de UNCITRAL, en materia de
acceso y uso de mensajes de datos,
comercio
electrnico,
firmas
digitales y el establecimiento de
entidades de certificacin
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=4276
1999
Congreso de la
Repblica
septiembre 14 de 2000
Presidencia de
la Repblica
de Colombia.
octubre 26 de 2000
Superintenden
cia de
Industria y
Comercio
julio 24 de 2002.
Presidencia de
la Repblica
(.a. 24/09/08).
Decreto Nacional 1747 de 2000
Reglamentario de la ley 527 de

1999,
especialmente
en
lo
relacionado
con
entidades
de
certificacin, certificados y firmas
digitales
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=4277#1
(.a. 24/09/08).
Resolucin 26930 de 2000
Establece
estndares
para
la
autorizacin y funcionamiento de las
entidades de certificacin y sus
auditores
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=5793
(.a. 24/09/08).
El presente decreto tiene por objeto

reglamentar el artculo 5 de la Ley
679 de 2001, con el fin de
establecer las medidas tcnicas y
administrativas
destinadas
a
prevenir el acceso de menores de
edad a cualquier modalidad de
informacin pornogrfica contenida
en Internet o en las distintas clases
de redes informticas a las cuales se
tenga
acceso
mediante
redes
globales de informacin.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=5551
(.a. 24/09/08).
As mismo a propender para que

estos medios no sean aprovechados
con fines de explotacin sexual
infantil u ofrecimiento de servicios
Pgina 81 de 197

Nombre Documento
Resumen
Enlace documento
Fuente
comerciales que impliquen abuso

sexual con menores de edad.
Acuerdo Distrital 184 de 2005
Decreto Distrital 317 de 2006.
Plan Maestro de Telecomunicaciones

de Bogot D.C.
Por medio del cual se dictan normas

sobre el funcionamiento de los
establecimientos que prestan el
servicio de internet en Bogot, D.C y
se establece en cabeza de los
mencionados establecimientos la
obligacin de dotar los equipos de
computo
con
los
dispositivos
tecnolgicos requeridos a fin de
proteger la integridad de
los
menores que hacen uso del servicio,
especficamente en cuanto al uso de
material pornogrfico nocivo.
http://www.alcaldi
abogota.gov.co/sis
jur/normas/Norma
1.jsp?i=18557
Polticas,
objetivos,
estrategias,
planes, proyectos, metas, entre
otros asuntos, relacionados con las
TIC en Bogot D.C.
http://www.alcaldi
abogota.gov.co/sis
jur/consulta_tema
tica.jsp
promulgacin, diciembre 15
de 2005.
Concejo de
Bogot D.C.
2006.
Alcalda Mayor
de Bogot
D.C.
(.a. 24/09/08).
(.a. 24/09/08).
4.2.1.4. Relacin documentada de iniciativas y experiencias nacionales e internacionales en proteccin de

informacin del individuo y habeas data
Nombre Documento
Resumen
Enlace documento
Declaracin Universal de Derechos

Humanos
Proscribe en el artculo 12 cualquier

tipo de injerencia en la vida
personal,
familiar,
honra
y
reputacin de todo ser humano.
Estableciendo
la
obligacin
de
proteger tales derechos por medio
de ley
http://daccessdds.
un.org/doc/RESOL
UTION/GEN/NR0/0
46/82/IMG/NR004
682.pdf?OpenElem
ent
Fuente
Diciembre 10 de 1948
Organizacin
de las
Naciones
Unidas ONU-
Noviembre 22 de 1969
Organizacin
de Estados
Americanos
(.a. 24/09/08).
Convencin
Americana
sobre
Derechos Humanos, Pacto de San
Jos de Costa Rica
Estable en el artculo 11 el derecho a

la honra y reconocimiento de la
dignidad humana, estableciendo que
nadie
podr
ser
objeto
de
injerencias arbitrarias en su vida
privada, o en su correspondencia, ni
de ataques ilegales contra su honra
http://www.oas.or
g/Juridico/spanish
/tratados/b32.html
Pgina 82 de 197

Nombre Documento
Resumen
Enlace documento
Fuente
o reputacin.
(.a. 24/09/08).
Pacto Internacional
Civiles y Polticos
de
Derechos
Establece en
el artculo 18 que
nadi
podr
ser
objeto
de
injerencias arbitrarias o ilegales en
su vida privada, su familia, su
domicilio o su correspondencia, ni de
ataques ilegales a su honra y
reputacin.
http://www.unhch
r.ch/spanish/html/
menu3/b/a_ccpr_s
p.htm
Octubre 26 de 1969
Organizacin
de las
Naciones
Unidas ONU-
Abril 25 de 1976
Asamblea
Constituyente
1978.
Asamblea
Constituyente
Diciembre 14 de 1990.
Asamblea
General de la
Organizacin
de las
Naciones
Unidas
(.a. 24/09/08).
Constitucin Portuguesa de 1976
En el artculo 35 de la Carta se
reconoce
el
derecho
a
todo
ciudadano de consultar lo que conste
en registros mecanogrficos acerca
de
ellos,
pudiendo
exigir
la
actualizacin
y rectificacin
de
datos.
http://www.adalid
abogados.com/por
tuguesa.pdf
(.a. 24/09/08).
Constitucin Espaola de 1978
Mediante el artculo 18 de la Carta

se reconoce el derecho al Honor y a
la intimidad personal, y el secreto de
las comunicaciones, estableciendo
en cabeza del legislador la obligacin
de limitar el uso de la informtica
para
garantizar
el
honor,
la
intimidad personal y familiar.
http://www.adalid
abogados.com/esp
anola.pdf
(.a. 24/09/08).
Directrices para la regulacin de los

archivos
de
datos
personales
informatizados, adoptadas mediante
Resolucin 45/95 de la Asamblea
General de la Organizacin de las
Naciones Unidas.
Establece una serie de postulados

aplicables a los archivos, pblicos y
privados,
manuales
y
automatizados, a saber:
Principios relativos a las garantas

mnimas que deben prever las
legislaciones nacionales (principio de
legalidad,
lealtad,
exactitud,
especificacin de la finalidad, acceso
de la persona interesada, no
discriminacin, seguridad).
http://www.adalid
abogados.com/con
venio108.pdf
(.a. 24/09/08).
Aplicacin de la directrices a
archivos
de
datos
personales
mantenidos
por
organizaciones
Pgina 83 de 197

Nombre Documento
Resumen
Enlace documento
Fuente
internacionales gubernamentales.
Convenio 108 del Consejo de Europa
Convenio para la proteccin de las

personas
con
respecto
al
tratamiento automatizado de datos
de carcter personal.
http://www.apdcat
.net/media/246.pd
f
Enero 28 de 1981
Consejo de
Europa
Octubre 24 de 1995.
Parlamento
Europeo y del
Consejo de
Europa
(.a. 24/09/08).
DIRECTIVA
PARLAMENTO
CONSEJO.
95/46/CE
EUROPEO
DEL
DEL
Relativa a la proteccin de las

personas fsicas en lo que respecta
al tratamiento de datos personales y
a la libre circulacin de estos datos
http://eurlex.europa.eu/Lex
UriServ/LexUriSer
v.do?uri=CELEX:3
1995L0046:ES:NO
T
()
Artculo 1. Objeto de la Directiva.

(.a. 24/09/08).
1.
Los
Estados
miembros
garantizarn, con arreglo a las
disposiciones
de
la
presente
Directiva, la proteccin de las
libertades
y
de
los
derechos
fundamentales de las personas
fsicas, y, en particular, del derecho
a la intimidad, en lo que respecta al
tratamiento de los datos personales.
2. Los Estados miembros no podrn

restringir
ni
prohibir
la
libre
circulacin de datos personales entre
los Estados miembros por motivos
relacionados
con
la
proteccin
garantizada en virtud del apartado
1).
Ley de Libertad de Informacin

(Freedom of Information Act FOIA).
Rgimen en materia de prctica de

acceso, uso y preservacin de la
informacin,
a
cargo
de
las
dependencias gubernamentales.
http://mexico.use
mbassy.gov/bbf/bf
dossier_FOIA_acta
.pdf
Noviembre 1 de 1996.
Congreso de
los Estados
Unidos de
Amrica-
(.a. 24/09/08).
Ley 19628 de 1999, Chile.
Tratamiento de datos personales en

registros o bancos de datos por
organismos pblicos o particulares
http://www.adalid
abogados.com/ley
19.pdf
Pgina 84 de 197
Agosto de 1999
Congreso
Nacional de
Chile

Nombre Documento
Resumen
Enlace documento
Fuente
(.a. 24/09/08).
Ley Orgnica 15 de 1999, Espaa.
Ley 25326 de 2000, Argentina.
Tiene por objeto garantizar y

proteger, en lo que concierne al
tratamiento de los datos personales,
las libertades pblicas y los derechos
fundamentales de las personas
fsicas, y especialmente de su honor
e intimidad personal y familiar.
http://www.adalid
abogados.com/Ley
15.pdf
Principios generales relativos a la

proteccin de datos. Derechos de los
titulares de datos. Usuarios y
responsables de archivos, registros y
bancos de datos. Control. Sanciones.
Accin de proteccin de los datos
personales.
http://www.adalid
abogados.com/ley
25326.pdf
Diciembre de 1999
Cortes
Generales
Octubre de 2000
Poder
Legislativo
Enero de 2001
Parlamento
Europeo y
Consejo de la
Unin Europea
Enero de 2002
Congreso de la
Unin.
Marzo 15 de 2006.
Parlamento
Europeo y
Consejo de la
Unin
Europea.
(.a. 24/09/08).
(.a. 24/09/08).
Reglamento 45 de 2001 del

Parlamento Europeo y del Consejo
de la Unin Europea de Diciembre de
2000
Ley para regular las sociedades de

informacin crediticia
Tratamiento de datos personales por

parte de todas las instituciones y
organismos comunitarios y libre
circulacin de los mismos, en la
medida en que dicho tratamiento se
lleve a cabo para el ejercicio de
actividades
que
pertenecen
al
mbito de aplicacin del Derecho
comunitario
http://europa.eu/e
urlex/pri/es/oj/dat/2
001/l_008/l_0082
0010112es000100
22.pdf
Tiene
por
objeto
regular
la
constitucin y operacin de las
sociedades de informacin crediticia.
http://www.adalid
abogados.com/ley
sociedades.pdf
(.a. 24/09/08).
(.a. 24/09/08).
DIRECTIVA 2006/24/CE DEL

PARLAMENTO EUROPEO Y DEL
CONSEJO.
Sobre la conservacin de datos

generados o tratados en relacin con
la prestacin de servicios de
comunicaciones
electrnicas
de
acceso pblico o de redes pblicas
de comunicaciones y por la que se
modifica la Directiva 2002/58/CE.
http://eurlex.europa.eu/Lex
UriServ/LexUriSer
v.do?uri=OJ:L:200
6:105:0054:0063:
ES:PDF
(.a. 24/09/08).
ABREVIATURAS
.a. = ltimo Acceso.

Pgina 85 de 197

4.3. DIAGNSTICO 3: INICIATIVAS

INTERNACIONALES EN CSIRTs
4.3.1.
EXPERIENCIAS
NACIONALES
Introduccin
Con el rpido desarrollo de internet, las diferentes entidades del pas son cada vez ms dependientes del
uso de redes pblicas, volviendo crtica la productividad y estabilidad de las infraestructuras nacionales que
componen esta nueva e-economa emergente y que as mismo, es urgente proteger.
Los ataques contra las infraestructuras computacionales estn aumentando de frecuencia, en sofisticacin
y en escala. Esta amenaza cada vez mayor requiere un acercamiento y colaboracin con las varias
organizaciones pblicas, privadas y la academia, que tomen el papel de liderazgo y coordinacin con el
apoyo total del gobierno tanto a nivel central como territorial.
Para tratar esta necesidad urgente, se propone el establecimiento de un grupo llamado CERT Colombia que
tendra un foco operacional en la atencin de emergencias de seguridad informtica para las transacciones
en lnea del pas, con una permanente colaboracin nacional e internacional.
Cmo consultar este captulo:
Este documento presenta de manera general y prctica como se estructura el CSIRT Colombiano,
incluyendo los siguientes aspectos:
Se incluye un marco de referencia donde se define lo que es un CSIRT, los beneficios que trae contar
con uno y se hace una relacin de algunas iniciativas y experiencias nacionales e internacionales
consideradas para el desarrollo de este documento.
Se presenta la definicin general del CSIRT, el tipo de entidad que se recomienda constituir, su misin,
visin, objeto social, representacin legal, la relacin con otras entidades y el portafolio de potenciales
productos y los objetivos y metas estratgicos definidos para su adecuado control y gestin.
Se considera un potencial portafolio de productos y servicios que hagan auto sostenible la operacin el
CSIT Colombiano.
Se definen las polticas, procesos y procedimientos que sostengan la operacin de la entidad, haciendo
una articulacin del modelo de seguridad con la NTC-GP 1000, MECI e ISO 9000.
Se desarrolla un plan de mercadeo a cinco aos que permita lograr el posicionamiento del CSIRT
Colombiano en la industria de la seguridad informtica tanto a nivel nacional como internacional.
Pgina 86 de 197

Se incluye un plan de gestin humana considerando una estructura organizacional propuesta, las
competencias requeridas para cada rol, el modelo de contratacin y Capacitacin del talento humano
del CSIRT Colombiano.
Se define un plan de tecnologa considerando el software, el hardware, las redes y comunicaciones

necesarios para soportar la operacin de los procesos definidos.
Se establece una estrategia de implementacin considerando los diferentes grupos o universos

objetivos y las fases requeridas para cada grupo con sus incentivos, cronogramas, costos.
Se define el plan financiero donde se considera una poltica de inversiones y de financiacin, una
estrategia de costos, inversiones y funcionamiento y un modelo de ingresos.
Se identifican las oportunidades de exportacin de los productos y servicios establecidos, para afianzar
el posicionamiento internacional y la auto sostenibilidad del negocio.
4.3.2.
QU ES UN CSIRT
El trmino CSIRT significa Computer Security Incident Response Team (Equipo de Respuesta a Incidentes
de Seguridad Informtica), y ha sido acuado respondiendo simultneamente a diferentes abreviaturas
usadas para denotar a nivel mundial este tipo de equipos:
CSIRT (Computer Security Incident Response Team / Equipo de Respuesta a Incidentes de Seguridad
Informtica): Trmino usado en Europa.
CERT o CERT/CC (Computer Emergency Response Team / Coordination Center, equipo de respuesta a
emergencias informticas / Centro de coordinacin): Trmino registrado en los Estados Unidos de
Amrica por el CERT Coordination Center (CERT/CC).
IRT (Incident Response Team / Equipo de respuesta a incidentes).
CIRT (Computer Incident Response Team / Equipo de respuesta a incidentes informticos).
SERT (Security Emergency Response Team / Equipo de respuesta a emergencias de seguridad).
Un CSIRT es un equipo de expertos en seguridad informtica que pretenden responder a los incidentes de
seguridad relacionados con la tecnologa de la informacin y a recuperarse despus de sufrir uno de estos
incidentes. Para minimizar los riesgos tambin se ofrecen servicios preventivos y educativos relacionados
con vulnerabilidades de software, hardware o comunicaciones y se informa a la comunidad sobre los
potenciales riesgos que toman ventaja de las deficiencias de la seguridad.
Pgina 87 de 197

4.3.3.
ANTECEDENTES
Durante la segunda mitad de los aos ochenta se vio la red Arpanet salir de la fase de I&D y convertirse en
una realidad prctica bajo el impulso del mundo universitario y desarrollada por el DoD (el Departamento
de Defensa estadounidense). La eficacia y la constante mejora de los distintos servicios, entre los cuales se
cuenta el correo electrnico, rpidamente hicieron que esta red sea indispensable para numerosos sitios.
En noviembre de 1988, un estudiante de la Universidad de Cornell lanz en esta red un programa que se
propagaba y se replicaba solo. Este programa, conocido con el nombre de gusano de Internet,
aprovechaba distintos fallos de seguridad del sistema Unix (el sistema operativo de la mayora de los
ordenadores conectados en la red). Aunque no fue programado con malas intenciones, este primer virus
informtico, se propag rpidamente obstruyendo al mismo tiempo las mquinas infectadas por mltiples
copias del gusano. En ese entonces, la red constaba de aproximadamente 60.000 ordenadores. Con slo el
3 o 4 % de las mquinas contaminadas, la red estuvo totalmente indisponible durante varios das, hasta
que se tomaron medidas cautelares (incluyendo la desconexin de numerosas mquinas de la red).
Para eliminar este gusano de Internet, se cre un equipo de anlisis ad hoc con expertos del MIT, de
Berkley, Purdue. Se reconstituy y analiz el cdigo del virus, lo cual permiti, por una parte, identificar y
corregir los fallos del sistema operativo, y por otra parte, desarrollar y difundir mecanismos de
erradicacin. Despus de este incidente, el director de obras de Arpanet, la DARPA (Defense Advanced
Research Projects Agency), decidi instalar una estructura permanente, el CERT Coordination Center
(CERT/CC) parecido al equipo reunido para resolver el incidente.
Este incidente actu como una alarma e impuls la necesidad de cooperacin y coordinacin multinacional
para enfrentarse este tipo de casos. En este sentido, la DARPA (Defence Advanced Research Projects
Agency / Agencia de Investigacin de Proyectos Avanzados de Defensa) cre el primer CSIRT: El CERT
Coordination Center (CERT/CC1), ubicado en la Universidad Carnegie Mellon, en Pittsburgh (Pensilvania,
USA).
Poco despus el modelo se adopt en Europa, y en 1992 el proveedor acadmico holands SURFnet puso
en marcha el primer CSIRT de Europa, llamado SURFnet-CERT2. El nmero de CSIRTs continu creciendo,
cada uno con su propio propsito, financiacin, divulgacin y rea de influencia. La interaccin entre estos
equipos experiment dificultades debido a las diferencias en lengua, zona horaria y estndares o
convenciones internacionales. Siguieron otros muchos equipos, y en la actualidad existen ms de 100
CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute -
Carnegie Mellon University. Autor: No determinado

2
SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx. U.A: 2008/09/26. Publicado por: SURFnet
network. Autor: No determinado
Pgina 88 de 197

equipos reconocidos alrededor del mundo. Con el tiempo, los CERT ampliaron sus capacidades y pasaron
de ser una fuerza de reaccin a prestadores de servicios de seguridad completos que incluyen servicios
preventivos como alertas, avisos de seguridad, formacin y servicios de gestin de la seguridad. Pronto el
trmino CERT se consider insuficiente, y a finales de los aos noventa se acu el trmino CSIRT. En
la actualidad, ambos trminos (CERT y CSIRT) se usan como sinnimos.
Internet comenz su vertiginoso crecimiento y muchas compaas comenzaron a confiar en Internet sus
transacciones diarias. As mismo, los CSIRTs continuaron creciendo alrededor del globo, soportando
gobiernos enteros u organizaciones multinacionales.
Desde ese entonces, Internet ha seguido creciendo hasta llegar a ser la red que se conoce actualmente,
con una multiplicacin rpida de las mquinas conectadas (varios millones) y de las fuentes de agresin.
4.3.4.
BENEFICIOS DE CONTAR CON UN CSIRT
Disponer de un equipo dedicado a la seguridad de las TI ayuda a las organizaciones a mitigar y evitar los
incidentes graves y a proteger su patrimonio. Otros posibles beneficios son:
Disponer de una coordinacin centralizada para las cuestiones relacionadas con la seguridad de las TI
dentro de la organizacin (punto de contacto).
Reaccionar a los incidentes relacionados con las TI y tratarlos de un modo centralizado y especializado.
Tener al alcance de la mano los conocimientos tcnicos necesarios para apoyar y asistir a los usuarios
que necesitan recuperarse rpidamente de algn incidente de seguridad.
Tratar las cuestiones jurdicas y proteger las pruebas en caso de pleito.
Realizar un seguimiento de los progresos conseguidos en el mbito de la seguridad.
Fomentar la cooperacin en la seguridad de las TI entre los clientes del grupo atendido
(sensibilizacin).
4.3.5.
ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO
En la actualidad existen mltiples organizaciones que usan el nombre CERT - Computer Emergency
Response Team (Equipo de Respuesta a Emergencias de Computacin) o CSIRT (trmino genrico de
significado equivalente).
A continuacin se presentan algunas de estas experiencias como primer paso fundamental para la
definicin de una propuesta de creacin del CSIRT Colombiano (.a = 30/09/2008).
Pgina 89 de 197

Nombre del Documento

CSIRT Handbook
CSIRT FAQ
Incident Management
Capability Metrics
Incident Management Mission
Diagnostic Method
State of the Practice of
Computer Security Incident
Response Teams
The Real Secrets of Incident
Management
Management
Incident Response SHight
Improving CSIRT
Communication
Through Standardized and
Secured Information
Exchange
Limits to Effectiveness in
Response Teams
eCSIRT.net Deliverable
Common
Language Specification &
Guideline to Application of the
Common Language part (i)
eCSIRT.net Deliverable1
Guideline to Application of the
Common Language part (ii)
Seguridad Informtica para
Administradores de Redes y
Servidores
Seguridad Informtica para
Administradores de Redes
y Servidores
Helping prevent information
security risks in the transition
to integrated operations
State of the Practice of
Response Teams (CSIRTs)
Expectations for Computer
Security Incident Response
Site Security Handbook
Guidelines for Evidence
Collection and Archiving
Why do I need a CSIRT?
General en temas de
Resumen
Enlace
http://www.cert.org/
CSIRT - Handbook.pdf
General en temas de
CSIRT FAQ.doc
General en temas de
General en temas de
Teora General en temas de

CSIRT
Teora
CSIRT
Teora
CSIRT
Teora
CSIRT
Teora
CSIRT
General en temas de
General en temas de
General en temas de
http://www.rediris.es/cert/links/csirt.es.html
07tr008 - Incident Management

Capability Metrics Version 0.1.pdf
08tr007 - Incident Management
Mission Diagnostic Method,
Version 1.0.pdf
State of the Practice of Computer
Teams.pdf
Management.pdf
Management.MP3
Incident_Response_SHight.pdf
General en temas de
http://www.tesink.org/thesis.pdf
Thesis.pdf

CSIRT
https://www.cert.org/archive/pdf/Limits-toCSIRT-Effectiveness.pdf
Limits-to-CSIRT-Effectiveness.pdf

CSIRT
http://www.ecsirt.net/cec/service/documents
/wp2-common-language.pdf
wp2-common-language.pdf

CSIRT
http://www.ecsirt.net/cec/service/documents
/wp2-and-3-guideline.pdf
wp2-and-3-guideline.pdf

CSIRT
http://www.arcert.gov.ar/ncursos/material/S
eg-adm-6p.pdf
Seg-adm-6p.pdf

CSIRT
http://www.arcert.gov.ar/cursos/seguridad_
adm/Seguridad%20para%20Administradore
s.pdf
http://www.telenor.com/telektronikk/volumes
/pdf/1.2005/Page_029-037.pdf
Seguridad%20para%20Administra
dores.pdf

CSIRT
Teora
CSIRT
Teora
CSIRT
Teora
CSIRT
Teora
CSIRT
General en temas de
http://www.ietf.org/rfc/rfc2350.txt
General en temas de
03tr001 - State of the Practice of

Response Teams.pdf
Expectations for Computer
Security Incident Response.doc
Site Security Handbook.doc
General en temas de
General en temas de
http://www.terena.org/activities/tfcsirt/meeting9/jaroszewski-assistancecsirt.pdf
http://www.enisa.europa.eu/cert_guide/pag
es/05_01_04.htm
Teora
CSIRT
Teora
CSIRT
Teora
CSIRT
Teora
CSIRT

CSIRT
Description of the different

kinds of CSIRT environments

CSIRT
Informe del relator del

sptimo perodo ordinario de
sesiones del Comit
Interamericano Contra el
Antecedentes de los CSIRT
http://scm.oas.org/pdfs/2007/CICTE00188E
.pdf
Pgina 90 de 197
Fuente
Page_029-037.pdf
Guidelines for Evidence Collection

and Archiving.doc
jaroszewski-assistance-csirt.pdf
Description of the different kinds
of CSIRT environments.docs
CICTE00188E.pdf

Terrorismo
Adopcin de una estrategia
interamericana integral para
combatir las amenazas a la
seguridad ciberntica:
Un enfoque multidimensional
y multidisciplinario para
la creacin de una cultura de
seguridad ciberntica
Puesta en marcha del CSIRT y
Gestin de Seguridad de la
Informacin de ANTEL
FIRST - Forum for Incident
Response and Security Teams
ENISA - European Network
and Information Security
Agency
APCERT (Asia Pacific
Computer Emergency
Response Team)
CERT Coordination Center de
la Universidad Carnegie
Mellon
Alemania - CERT-Bund
Arabia Saudita - CERT-SA
(Computer Emergency
Response Team - Saudi
Arabia)
Argentina - ArCERT
(Computer Emergency
Response Team of the
Argentine Public)
Australia - AusCERT (Australia
Computer Emergency
Response Team)
Austria - CERT.at (Computer
Emergency Response Team
Austria)
Brasil - CERT.br (Computer
Emergency Response Team
Brazil)
Canad - PSEPC (Public Safety
Emergency Preparedness
Canada)
Chile CSIRT-GOV
Chile - CLCERT
China - CNCERT/CC (National
Computer Network Emergency
Response Technical Team)
Corea del Sur - KrCERT/CC
(CERT Coordination Center
Korea)
Dinamarca DK.CERT (Danish
Computer Emergency
Response Team)
Emiratos rabes Unidos
aeCERT (The United Arab
Emirates Computer
Emergency Response Team)
Espaa - ESCERT (Equipo de
Seguridad para la
Coordinacin de Emergencias
en Redes Telemticas)
Espaa IRIS-CERT
(Universidades)
Resumen
Enlace
Fuente
http://dgpt.sct.gob.mx/fileadmin/ccp1/redes/
doc._472-04.doc
doc._472-04.doc
http://jiap.org.uy/jiap/JIAP2007/Presentacio
nes%20Jiap%202007/ANTEL.pdf
Antel.pdf
Experiencias en el Mundo
http://www.first.org/
Pgina Web
Pgina Web
http://www.enisa.europa.eu/cert_guide/dow
nloads/CSIRT_setting_up_guide_ENISAES.pdf
http://www.apcert.org/
Pgina Web
Pgina Web
http://www.bsi.bund.de/certbund/
http://www.cert.gov.sa/
Pgina Web
Pgina Web
http://www.arcert.gov.ar/
Pgina Web
http://www.auscert.org.au/
Pgina Web
www.cert.at
Pgina Web
http://www.cert.br
Pgina Web
http://www.psepcsppcc.gc.ca/prg/em/ccirc/index-en.asp
Pgina Web
http://www.csirt.gov.cl/
http://www.clcert.cl
http://www.cert.org.cn/english_web/
Pgina Web
Pgina Web
Pgina Web
http://www.krcert.or.kr/
Pgina Web
https://www.cert.dk/
Pgina Web
http://www.aecert.ae/
Pgina Web
http://escert.upc.edu/index.php/web/es/inde
x.html
Pgina Web
http://www.rediris.es/cert/
Pgina Web
Pgina 91 de 197

Espaa - CCN-CERT
(Cryptology National Center Computer Security Incident
Response Team)
Espaa - INTECO-CERT
(Centro de Respuestas a
Incidentes en TI para PYMES
y Ciudadanos)
Estados Unidos - US-CERT
(United States - Computer
Emergency Readiness Team)
Estonia CERT-EE
Filipinas - PH-CERT
(Philippines Computer
Emergency Response Team)
Francia-CERTA (Centre
d'Expertise Gouvernemental
de Rponse et de Traitement
des Attaques informatiques)
Hong Kong - HKCERT (Hong
Kong Computer Emergency
Response Coordination
Centre)
Hungra - CERT-Hungria
India - CERT-In
Japan - JPCERT/CC (JP CERT
Coordination Center)
Mxico UNAM-CERT
Nueva Zelandia CCIP
(Centre for Critical
Infrastructure Protection)
Holanda - GOVCERT.NL
Polonia - CERT Polska
(Computer Emergency
Response Team Polska)
Qatar - Q-CERT (Qatar CERT)
Reino Unido - GovCertUK
Singapur SingCERT
(Singapore CERT)
Sri Lanka SLCERT
Tnez - CERT-TCC (Computer
Emergency Response Team Tunisian Coordination Center)
Venezuela CERT.ve (VenCERT
- Centro de Respuestas ante
Incidentes Telemticos del
Sector Pblico)
EXPERIENCIAS o
antecedentes EN COLOMBIA
Comit Interamericano Contra
el Terrorismo de la OEA
(CICTE)
CSIRT COLOMBIA
Resumen
Enlace
https://www.ccn-cert.cni.es/
Fuente
Pgina Web
http://www.inteco.es/rssRead/Seguridad/IN
TECOCERT
Pgina Web
http://www.us-cert.gov
Pgina Web
http://www.ria.ee/?id=28201
http://www.phcert.org/
Pgina Web
Pgina Web
http://www.certa.ssi.gouv.fr/
Pgina Web
http://www.hkcert.org/
Pgina Web
http://www.cert-hungary.hu/
http://www.cert-in.org.in/
http://www.jpcert.or.jp/
Pgina Web
Pgina Web
Pgina Web
http://www.cert.org.mx/index.html
http://www.ccip.govt.nz/
Pgina Web
Pgina Web
http://www.govcert.nl/
http://www.cert.pl/
Pgina Web
Pgina Web
Experiencias
Experiencias
Experiencias
Experiencias
http://www.qcert.org
www.govcertuk.gov.uk
www.cpni.gov.uk
http://www.singcert.org.sg/
Pgina
Pgina
Pgina
Pgina
http://www.cert.lk/
http://www.ansi.tn/en/about_cert-tcc.htm
Pgina Web
Pgina Web
http://www.cert.gov.ve/
Pgina Web
http://www.udistrital.edu.co/comunidad/grup
os/arquisoft/colcsirt/?q=colcsirt
http://www.cicte.oas.org/Rev/ES/Events/Cy
ber_Events/CSIRT%20training%20course_
Colombia.asp
http://www.udistrital.edu.co/comunidad/grup
os/arquisoft/colcsirt/?q=colcsirt
http://www.securityfocus.com/infocus/1592
Pgina Web
http://www.cic.uiuc.edu/groups/ITSecurityW
orkingGroup/archive/Report/ICAMPReport1
.pdf
http://www.cic.uiuc.edu/groups/ITSecurityW
orkingGroup/archive/Report/ICAMPReport2
.pdf
ICAMPReport1.pdf
en
en
en
en
el
el
el
el
Mundo
Mundo
Mundo
Mundo
Experiencias en Colombia
Developing an Effective
Incident Cost Analysis
Mechanism
Incident Cost Analysis and
Modeling Project
Aspectos Financieros de un
CSIRT
Incident Cost Analysis and

Modeling Project
I-CAMP II
Defining Incident
CSIRT
CSIRT
Procesos de un CSIRT
Pgina 92 de 197
Web
Web
Web
Web
ENISA
work_programme_2006.pdf
CSIRT COLOMBIA.doc
Developing an Effective Incident
Cost Analysis Mechanism.doc
ICAMPReport2.pdf
04tr015 - Defining Incident

Management Processes for
CSIRTs
Benchmarking CSIRT work
Processes
How to Design a Useful
Incident Response Policy
Effectiveness of Proactive
CSIRT Services
Recommended Internet
Service Provider Security
Services and Procedures
CSIRT Services List
ENISA - Possible services that
a CSIRT can deliver
Organizational Models for
Response Teams
Staffing Your Computer
Team
CERT-FI First 12 months
A step-by-step approach
on how to set up a CSIRT
Steps for Creating
National CSIRTs
Action List for Developing a
CSIRT
ENISA - Cmo crear un
CSIRT paso a paso
Resumen
Enlace
http://www.hig.no/index.php/content/downlo
ad/3302/70468/file/Kj%C3%A6rem%20%20Benchmarking%20CSIRT%20work%20
processes.pdf
http://www.securityfocus.com/infocus/1467
Productos y Servicios de un
CSIRT
CSIRT
http://www.first.org/conference/2006/papers
/kossakowski-klaus-papers.pdf
CSIRT
CSIRT
Estructura de un CSIRT
http://www.sei.cmu.edu/publications/docum
ents/03.reports/03hb001/03hb001chap07.ht
ml
Modelo
CSIRT
Modelo
CSIRT
Modelo
CSIRT
Modelo
CSIRT
Modelo
CSIRT
de Negocio de un
de Negocio de un
de Negocio de un
de Negocio de un
de Negocio de un
http://www.enisa.europa.eu/cert_guide/pag
es/05_02.htm
http://www.terena.org/activities/tfcsirt/meeting8/huopio-certfi.pdf
http://www.enisa.europa.eu/doc/pdf/delivera
bles/enisa_csirt_setting_up_guide.pdf
http://www.cert.org/archive/pdf/NationalCSI
RTs.pdf
http://www.enisa.europa.eu/cert_guide/dow
nloads/CSIRT_setting_up_guide_ENISAES.pdf
Fuente
Management Processes for
CSIRTs.pdf
Kjrem - Benchmarking CSIRT
work processes.pdf
How to Design a Useful Incident
Response Policy.doc
kossakowski-klaus-papers.pdf
Recommended Internet Service
Provider Security Services and
Procedures.doc
CSIRT-services-list.pdf
ENISA - Possible services that a
CSIRT can deliver.doc
03hb001 - Organizational Models
for Computer Security Incident
Response Teams.doc
Staffing Your Computer Security
Incident Response Team.doc
huopio-certfi.pdf
enisa_csirt_setting_up_guide.pdf
NationalCSIRTs.pdf
Action List for Developing a
CSIRT.pdf
CSIRT_setting_up_guide_ENISAES.pdf
4.3.5.1. FIRST - Forum for Incident Response and Security Teams3

4.3.5.1.1. Antecedentes
El Foro de Equipos de Seguridad para Respuesta a Incidentes - FIRST es la primera organizacin global
reconocida en respuesta a incidentes, tanto de manera reactiva como proactiva.
FIRST fue formado en 1990 en respuesta al problema del gusano de internet que atac en 1988. Desde
entonces, ha continuado creciendo y desarrollndose en respuesta a las necesidades que cambiaban de los
equipos de la respuesta y de la seguridad del incidente.
Tomado de: http://www.first.org/. U.A: 2008/09/26. Publicado por: FIRST.ORG, Inc. Autor: No determinado.
Pgina 93 de 197

4.3.5.1.2. Servicios Ofrecidos

FIRST rene una variedad de equipos de respuesta de incidentes de seguridad informtica para entidades
gubernamentales, comerciales y acadmicas. FIRST busca fomentar la cooperacin y coordinacin en la
prevencin de incidentes, estimular la reaccin rpida a los incidentes y promover el compartir informacin
entre los miembros y la comunidad.
FIRST proporciona adicionalmente servicios de valor agregado tales como:
Acceso a documentos actualizados de mejores prcticas.
Foros tcnicos para expertos en seguridad informtica.
Clases
Conferencia Anual
Publicaciones y webservices
Grupos de inters especial

4.3.5.1.3. Estructura
FIRST funciona bajo de un marco operacional, que contiene los principios que gobiernan y las reglas de
funcionamiento de alto nivel para la organizacin. Sin embargo, FIRST no ejercita ninguna autoridad sobre
la organizacin y la operacin de los equipos individuales miembros.
Comit de Direccin: El Comit de Direccin es un grupo de individuos responsables de la poltica de
funcionamiento general, de procedimientos y de materias relacionadas que afectan a FISRT en su
totalidad.
Nombre
Derrick Scholl (Chair)
Ken van Wyk (Vice-Chair)
Chris Gibson (Treasurer)
Peter Allor
Yurie Ito
Scott McIntyre
Francisco Jesus Monserrat Coll
Tom Mullen
Steve Adegbite
Arnold Yoon
Entidad
Sun Microsystems, USA
KRvW Associates, LLC, USA
Citigroup, USA/UK
IBM ISS, USA
JPCERT/CC, Japan
KPN-CERT, NL
RedIRIS, Spain
British Telecom, UK
Microsoft, USA
KrCERT/CC, Korea
Pgina 94 de 197
Vigencia
2008-2010
2007-2009
2008-2010
2008-2010
2007-2009
2008-2010
2007-2009
2007-2009
2008-2010
2007-2009

Junta Directiva: La Junta Directiva es un grupo de individuos responsables de la poltica de funcionamiento

general, de procedimientos, y de materias relacionadas que afectan la organizacin FIRST en su totalidad.
Secretara: La secretara sirve como punto administrativo para FIRST y proporciona un contacto general.
Equipos Miembros: Los equipos de la respuesta del incidente que participan en FIRST representan las
organizaciones que asisten a la comunidad de la tecnologa de informacin o a entidades gubernamentales
que trabajan en la prevencin y manipulacin de incidentes de seguridad informtica.
Enlaces: Individuos o representantes de organizaciones con excepcin de los equipos CSIRT que tienen un
inters legtimo en y lo valoran a FIRST.
Comits: El Comit de Direccin de FIRST establece los comits temporales ad hoc requeridos para
alcanzar mejor las metas.
4.3.5.1.4. rea de Influencia
FIRST est una confederacin internacional de los equipos de respuesta a incidente informticos que de
manera cooperativa manejan incidentes de la seguridad y promueven programas de la prevencin del
incidente, anima y promueve el desarrollo de productos, polticas y servicios de la seguridad, desarrolla y
promulga las mejores prcticas de la seguridad y promueve la creacin y expansin de los equipos de
incidente alrededor del mundo.
Los miembros de FIRST desarrollan y comparten informacin tcnica, herramientas, metodologas,
procesos y mejores prcticas y utilizan su conocimiento, habilidades y experiencia combinados para
promover un ambiente electrnico global ms seguro. FIRST tiene actualmente ms de 180 miembros,
extienda por frica, las Amricas, Asia, Europa y Oceana. Los siguientes son los equipos CSIRT
distribuidos alrededor del mundo, donde Colombia an no hace parte:
Pgina 95 de 197

Ilustracin 1: Pases con CSIRTs Miembros de FIRST

CSIRT
AAB GCIRT
ACERT
ACOnet-CERT
AFCERT
ARCcert
ASEC
AT&T
AboveSecCERT
Apple
ArCERT
AusCERT
Avaya-GCERT
BCERT
BELNET CERT
BFK
BIRT
BMO ISIRT
BP DSAC
BTCERTCC
BadgIRT
Bell IPCR
Nombre Oficial del CSIRT

ABN AMRO Global CIRT
Army Emergency Response Team
ACOnet-CERT
Air Force CERT
The American Red Cross Computer Emergency Response Team
AhnLab Security E-response Center
AT&T
Above Security Computer Emergency Response Team
Apple Computer
Computer Emergency Response Team of the Argentine Public
Administration
Australian Computer Emergency Response Team
Avaya Global Computer Emergency Response Team
Boeing CERT
BELNET CERT
BFK edv consulting
BrandProtect IRT
BMO InfoSec Incident Response Team
BP Digital Security Alert Centre
British Telecommunications CERT Co-ordination Centre
University of Wisconsin-Madison
Bell Canada Information Protection Centre (IPC) Response
Pgina 96 de 197

CSIRT
Bunker
CAIS/RNP
CARNet CERT
CC-SEC
CCIRC
CCN-CERT
CERT POLSKA
CERT TCC
CERT-Bund
CERT-FI
CERT-Hungary
CERT-IT
CERT-In
CERT-Renater
CERT-TCC
CERT-VW
CERT.at
CERT.br
CERT/CC
CERTA
CERTBw
CFC
CGI CIRT
CIAC
CLCERT
CMCERT/CC
CNCERT/CC
CSIRT ANTEL
CSIRT Banco Real
CSIRT.DK
CSIRTUK
Cert-IST
Cisco PSIRT
Cisco Systems
Citi CIRT
ComCERT
CyberCIRT
DANTE

The Bunker Security Team
Brazilian Academic and Research Network CSIRT
CARNet CERT
Cablecom Security Team
Canadian Cyber Incident Response Centre
CCN-CERT (Spanish Governmental National Cryptology Center Computer Security Incident Response Team)
Computer Emergency Response Team Polska
TDBFG Computer Security Incident Response Team
CERT-Bund
CERT-FI
Hungarian governmental Computer Emergency Response Team
CERT Italiano
Indian Computer Emergency Response Team
CERT-Renater
Computer Emergency Response Team Tunisian Coordination Center
CERT-VW
CERT.at
Computer Emergency Response Team Brazil
CERT Coordination Center
CERT-Administration
Computer Emergency Response Team Bundeswehr
Cyber Force Center
CGI Computer Incident Response Team
US Department of Energy's Computer Incident Advisory Capability
Chilean Computer Emergency Response Team
China Mobile Computer Network Emergency Response Technical Team
/Coordination Center
National Computer Network Emergency Response Technical Team /
Coordination Center of China
ANTEL's Computer and Telecommunications Security Incident
Response Centre
Real Bank Brazil Security Incident Response Team
Danish Computer Security Incident Repsonse Team
CSIRTUK
CERT France Industries, Services & Tertiaire
Cisco Systems Product Security Incident Response Team
Cisco Systems CSIRT
Citi CIRT
Commerzbank CERT
Cyberklix Computer Incident Response Team
Delivery of Advanced Network Technology to Europe Limited
Pgina 97 de 197

CSIRT
DCSIRT
DFN-CERT
DIRT
DK-CERT
E-CERT
EDS
EMC
ESACERT
ETISALAT-CERT
EWA-Canada/CanCERT
EYCIRT
Ericsson PSIRT
FSC-CERT
FSLabs
Funet CERT
GD-AIS
GIST
GNS-Cert
GOVCERT.NL
GTCERT
Goldman Sachs
GovCertUK
HIRT
HKCERT
HP SSRT
IBM
IIJ-SECT
ILAN-CERT
ILGOV-CERT
ING Global CIRT
IP+ CERT
IPA-CERT
IRIS-CERT
IRS CSIRC
Infosec-CERT
Intel FIRST Team
JANET CSIRT
JPCERT/CC
JPMC CIRT
JSOC

Diageo CSIRT
DFN-CERT
DePaul Incident Response Team
Danish Computer Emergency Repsonse Team
Energis Computer Emergency Response Team
EDS
EMCs Product Security Response Center
ESA Computer and Communications Emergency Response Team
ETISALAT Computer Emergency Response
EWA-Canada / Canadian Computer Emergency Response Team
Ernst & Young Computer Incident Response Team
Ericsson Product Security Incident Response Team
CERT of Fujitsu-Siemens Computers
F-Secure Security Labs
Funet CERT
General Dynamics AIS
Google Information Security Team
GNS-Cert
GOVCERT.NL
Georgia Institute of Technology CERT
Goldman, Sachs and Company
CESGs Government Computer Emergency Response Team
Hitachi Incident Response Team
Hong Kong Computer Emergency Response Team Coordination Centre
HP Software Security Response Team
IBM
IIJ Group Security Coordination Team
Israeli Academic CERT
Israel governmental computer emergency response team
ING Global CIRT
IP-Plus CERT
IPA-CERT
IRIS-CERT
IRS (Internal Revenue Service) Computer Security Incident Response
Team
Infosec Computer Emergency Response Team
Intel FIRST Team
JANET CSIRT
JPCERT Coordination Center
JPMorgan Chase Computer Incident Response Team
Japan Security Operation Center
Pgina 98 de 197

CSIRT
Juniper SIRT
KFCERT
KKCSIRT
KMD IAC
KN-CERT
KPN-CERT
KrCERT/CC
LITNET CERT
MCERT
MCI
MCIRT
MFCIRT
MIT Network Security
MLCIRT
MODCERT
MSCERT
MyCERT
NAB ITSAR
NASIRC
NCIRC CC
NCSA-IRST
NCSIRT
NGFIRST
NIHIRT
NISC
NIST
NN FIRST Team
NORDUnet
NTT-CERT
NU-CERT
NUSCERT
Nokia-NIRT
NorCERT
ORACERT
OS-CIRT
OSU-IRT
OxCERT
PRE-CERT
PSU
Pentest

Juniper Networks Security Incident Response team
Korea Financial Computer Emergency Response Team
Kakaku.com Security Incident Response Team
KMD Internet Alarm Center
Korea National Computer Emergency Response Team
Computer Emergency Response Team of KPN
KrCERT/CC
LITNET CERT
Motorola Cyber Emergency Response Team
MCI, Inc.
Metavante Computer Incident Response Team
McAfee Computer Incident Response Team
Massachusetts Institute of Technology Network Security Team
Merrill Lynch Computer Security Incident Response Team
MOD Computer Emergency Response Team
Microsoft Product Support Services Security Team
Malaysian Computer Emergency Response Team
National Australia Bank - IT Security Assessments and Response
NASA Incident Response Center
NATO Computer Incident Response Capability - Coordination Center
National Center for Supercomputing Applications IRST
NRI SecureTechnologies Computer Security Incident Response Team
Northrop Grumman Corporation FIRST
NIH Incident Response Team
National Information Security Center
NIST IT Security
Nortel FIRST Team
NORDUnet
NTT Computer Security Incident Response and Readiness Coordination
Team
Northwestern University
NUS Computer Emergency Response Team
Nokia Incident Response Team
Norwegian Computer Emergency Response Team
Oracle Global Security Team
Open Systems AG Computer Incident Response Team
The Ohio State University Incident Response Team
Oxford University IT Security Team
PRE-CERT
Pennsylvania State University
Pentest Security Team
Pgina 99 de 197

CSIRT
Q-CERT
Q-CIRT
RBC FG CSIRT
RBSG
RM CSIRT
RU-CERT
RUS-CERT
Ricoh PSIRT
S-CERT
SAFCERT
SAIC-IRT
SAP CERT
SBCSIRT
SGI
SI-CERT
SIRCC
SITIC
SKY-CERT
SLCERT
SUNet-CERT
SURFcert
SWAT
SWITCH-CERT
SWRX CERT
Secunia Research
Siemens-CERT
SingCERT
Sprint
Stanford
Sun
SymCERT
TERIS
TESIRT
TS-CERT
TS/ICSA FIRST
TWCERT/CC
TWNCERT
Team Cymru
Telekom-CERT
ThaiCERT

Qatar CERT
QinetiQ Computer Incident Response Team
RBC Financial Group CSIRT
Royal Bank of Scotland, Investigation and Threat Management
ROYAL MAIL CSIRT CC
Computer Security Incident Response Team RU-CERT
Stabsstelle DV-Sicherheit der Universitaet Stuttgart
Ricoh Product Security Incident Response Team
CERT of the German Savings Banks Organization
Singapore Armed Forces Computer Emergency Response Team
Science Applications International Corporation - Incident Response
Team
SAP AG CERT
Softbank Telecommunications Security Incident Response Team
Silicon Graphics, Inc.
Slovenian CERT
Security Incident Response Control Center
Swedish IT Incident Centre
Skype Computer Emergency Response Team
Sri Lanka Computer Emergency Response Team
SUNet-CERT
SURFcert
A.P.Moller-Maersk Group IT-Security SWAT
Swiss Education and Research Network CERT
SecureWorks Computer Emergency Response Team
Secunia Research
Siemens-CERT
Singapore CERT
Sprint
Stanford University Information Security Services
Sun Microsystems, Inc.
Symantec Computer Emergency Response Team
Telefonica del Peru Computer Security Incidents Response Team
TELMEX Security Incident Response Team
TeliaSoneraCERT CC
TruSecure Corporation
Taiwan Computer Emergency Response Team/Coordination Center
Taiwan National Computer Emergency Response Team
Team Cymru
Telekom-CERT
Thai Computer Emergency Response Team
Pgina 100 de 197

CSIRT
UB-First
UCERT
UGaCIRT
UM-CERT
UNAM-CERT
UNINETT CERT
US-CERT
Uchicago Network Security
VISA-CIRT
VeriSign
YIRD
dCERT
dbCERT
e-Cop
e-LC CSIRT
esCERT-UPC
secu-CERT

UB-First
Unisys CERT
The University of Georgia Computer Incident Response Team
University of Michigan CERT
UNAM-CERT
UNINETT CERT
United States Computer Emergency Readiness Center
The University of Chicago Network Security Center
VISA-CIRT
VeriSign
Yahoo Incident Response Division
debis Computer Emergency Response Team
Deutsche Bank Computer Emergency Response Team
e-Cop Pte Ltd
e-LaCaixa CSIRT
CERT for the Technical University of Catalunya
SECUNET CERT
4.3.5.2. ENISA - European Network and Information Security Agency4

El 10 de marzo de 2004 se cre una Agencia Europea de Seguridad de las Redes y de la Informacin
(ENISA)5. Su objetivo era garantizar un nivel elevado y efectivo de seguridad de las redes y de la
informacin en la Comunidad Europea y desarrollar una cultura de la seguridad de las redes y la
informacin en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector
pblico de la Unin Europea, contribuyendo as al funcionamiento armonioso del mercado interior. Desde
hace varios aos, diferentes grupos europeos dedicados a la seguridad, como los CERT/CSIRT, los equipos
de deteccin y respuesta a abusos y los WARP, colaboran para que Internet sea ms seguro.
Tomado
de:
http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf.
U.A:
2008/09/26. Publicado por: ENISA. Autor: No determinado.

5
Reglamento (CE) n 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la
Agencia Europea de Seguridad de las Redes y de la Informacin. Una agencia europea es un rgano creado por la
UE para realizar una tarea tcnica, cientfica o de gestin muy concreta perteneciente al mbito comunitario de la UE.
Pgina 101 de 197

La ENISA desea apoyar el esfuerzo realizado por estos grupos aportando informacin acerca de las
medidas que garantizan un nivel adecuado de calidad de los servicios. Adems, la Agencia desea potenciar
su capacidad de asesorar a los Estados miembros de la UE y los rganos comunitarios en cuestiones
relacionadas con la cobertura de grupos especficos de usuarios de las TI con servicios de seguridad
adecuados. Por lo tanto, basndose en los resultados del grupo de trabajo ad-hoc de cooperacin y apoyo
a los CERT, creado en 2005, este nuevo grupo de trabajo se encargar de asuntos relativos a la prestacin
de servicios de seguridad adecuados (servicios de los CERT) a grupos de usuarios especficos.
Para asegurar el cumplimiento de sus objetivos segn lo precisado en su regulacin, las tareas de la
agencia se enfocan en:
Asesorar y asistir a los Estados miembro en temas de seguridad de la informacin y a la industria en

problemas de seguridad relacionados con sus productos de hardware y de software.
Recopilar y analizar datos sobre incidentes de la seguridad en Europa y riesgos emergentes.
Promover mtodos de gestin de riesgo de la seguridad de la informacin.
Los principales servicios que promueven son:

Servicios Reactivos
Alertas y
advertencias
Tratamiento de
incidentes
Anlisis de incidentes
Apoyo a la respuesta
a incidentes
Coordinacin de la
respuesta a
incidentes
Respuesta a
incidentes in situ
Tratamiento de la
vulnerabilidad
Anlisis de la
vulnerabilidad
Respuesta a la
vulnerabilidad
Coordinacin de la
respuesta a la
vulnerabilidad
Servicios Proactivos
Comunicados
Observatorio de
tecnologa
Evaluaciones o
auditoras de la
seguridad
Configuracin y
mantenimiento de
la seguridad
Desarrollo de
herramientas de
seguridad
Servicios de
deteccin de
intrusos
Difusin de
informacin
relacionada con la
seguridad
Manejo de Instancias
Anlisis de
instancias
Respuesta a las
instancias
Coordinacin de la
respuesta a las
instancias
Pgina 102 de 197
Gestin de la Calidad de
la Seguridad
Anlisis de riesgos
Continuidad del
negocio y
recuperacin tras un
desastre
Consultora de
seguridad
Sensibilizacin
Educacin /
Formacin
Evaluacin o
certificacin de
productos

Ilustracin 2: Estructura de ENISA

ENISA cubre la Comunidad Econmica Europea y sus pases miembros son: Austria, Blgica, Bulgaria, Chipre,
Repblica Checa, Dinamarca, Estonia, Finlandia, Francia, Alemania, Grecia, Hungra, Irlanda, Italia, Latvia, Lituania,
Luxemburgo, Malta, Pases Bajos, Polonia, Portugal, Rumania, Eslovaquia, Eslovenia, Espaa, Suecia, Reino Unido,
Noruega, Islandia, Liechtenstein.
Pgina 103 de 197

4.3.5.3. APCERT6 - Asia Pacific Computer Emergency Response Team

APCERT ha sido constituida con la misin de mantener una red de contactos de expertos en seguridad
informtica en la regin Pacfica de Asia, para mejorar el conocimiento y la capacidad de la regin en lo
referente a incidentes de la seguridad de la computadora.
Impulsar la cooperacin regional e internacional de Asia pacfica en seguridad de la informacin.
Tomar medidas comunes para atender incidentes de seguridad de la red.
Facilitar compartir informacin e intercambio de tecnologa, relacionada con seguridad de la

informacin, virus informticos y cdigo malvolo, entre sus miembros.
Promover la investigacin y colaboracin en temas del inters en sus miembros.
Asistir a otros CERTs y CSIRTS en la regin para conducir respuestas eficiente y eficaz a emergencia
computacionales.
Generar recomendaciones de ayudar en cuestiones legales relacionadas con la respuesta a incidentes

de seguridad y de emergencias informticas en la regin.
Miembros de pleno derecho

Equipo
AusCERT
BKIS
CCERT
CERT-En
CNCERT/ CC
Nombre oficial del equipo

Australian Computer Emergency Response Team
Bach Khoa Internetwork Security Center
CERNET Computer Emergency Response Team
Indian Computer Emergency Response Team
National Computer network Emergency Response
technical Team / Coordination Center of China
Economa
Australia
Vietnam
Repblica Popular de China
India
Repblica Popular de China
Tomado de: http://www.apcert.org/. U.A: 2008/09/26. Publicado por: APCERT. Autor: No determinado.
Pgina 104 de 197

Equipo
HKCERT
ID-CERT
JPCERT /CC
KrCERT/CC
MyCERT
PHCERT
SingCERT
ThaiCERT
TWCERT /CC
TWNCERT

Hong Kong Computer Emergency Response Team
Coordination Centre
Indonesia Computer Emergency Response Team
Japan Computer Emergency Response Team /
Coordination Center
Korea Internet Security Center
Malaysian Computer Emergency Response Team
Philippine Computer Emergency Response Team
Singapore Computer Emergency Response Team
Thai Computer Emergency Response Team
Taiwan Computer Emergency Response Team /
Coordination Center
Taiwan National Computer Emergency Response Team
Economa
Hong Kong, China
Indonesia
Japn
Corea
Malasia
Filipino
Singapur
Tailandia
Taipei china
Taipei china
Miembros Generales
Equipo
BP DSIRT
BruCERT
GCSIRT
NUSCERT
SLCERT
VNCERT

BP Digital Security Incident Response Team
Brunei Computer Emergency Response Team
Government Computer Security and Incident Response
Team
National University of Singapore Computer Emergency
Response Team
Sri Lanka Computer Emergency Response Team
Vietnam Computer Emergency Response Team

La regin de Asia Pacfico
Pgina 105 de 197
Economa
Singapur
Negara Brunei Darussalam
Filipinas
Singapur
Sri Lanka
Vietnam

4.3.5.4. CERT - Coordination Center de la Universidad Carnegie Mellon7

El equipo del CERT CSIRT ayuda a organizaciones para desarrollar, para funcionar, y para mejorar
capacidades de la gerencia del incidente. Las organizaciones pueden aprovecharse de los productos, del
entrenamiento, de los informes, y de los talleres para la comunidad global del Internet.
El centro de coordinacin del CERT (CERT/CC), es uno de los grupos con mayor reconocimiento en el
campo de los CERTs. Aunque fue establecido como equipo de respuesta a incidente, el CERT/CC se ha
desarrollado ms all, centrndose en identificar las amenazas potenciales, de notificar a los
administradores de sistemas y al personal tcnico acerca de dichas amenazas y de coordinar con los
proveedores y los equipos CERT en todo el mundo para tratar las amenazas.
Las reas en las cuales puede ayudar son:
Anlisis de vulnerabilidades, esperando identificar y atenuar los impactos antes de que se conviertan en
una amenaza significativa de la seguridad. Una vez que se identifica una vulnerabilidad, se trabaja con
los proveedores apropiados de la tecnologa para resolver la accin.
Adems de identificar vulnerabilidades, previenen la introduccin de nuevas amenazas, estableciendo

prcticas que los proveedores pueden utilizar mejorar la seguridad y la calidad de su software.
Promueven el desarrollo de una capacidad global de la respuesta, ayudando a organizaciones y a

pases a establecer los Equipos de Respuesta a Incidente de la Seguridad Informtica (CSIRTs) y
trabajan con los equipos existentes para coordinar la comunicacin y la respuesta durante
acontecimientos importantes de seguridad.
Examinan, catalogan y hacen ingeniera inversa sobre cdigos malvolos. Estas actividades ayudan a
entender mejor cmo el cdigo trabaja y permiten que se identifiquen las tendencias y los patrones
que pueden revelar vulnerabilidades explotables u otras amenazas potenciales.
Promueven el intercambio de informacin referente a los servicios de seguridad:

o
Avisos de prevencin
CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering Institute -
Carnegie Mellon University. Autor: No determinado.
Pgina 106 de 197

Actualizaciones de las actividades de seguridad
Anlisis y entrenamiento en incidentes
Alertas
Investigacin en tendencias, amenazas y riesgos
Generan intercambios Tcnicos

o
Consultora, entrenamiento y desarrollo de habilidades tcnicas.
Intercambios tcnicos de personal o afiliados residentes
Herramienta de desarrollo y ayuda
Anlisis de vulnerabilidad
Anlisis de hardware
Red de supervisin y anlisis
Evalan la madurez y capacidad del CSIRT
Interactan para el patrocinio de FIRST y presentacin a otras organizaciones y socios estratgicos
Hacen anlisis de la infraestructura crtica

El Carnegie Mellon CyLab es una iniciativa universitaria, multidisciplinaria que implica ms de 200
facultades, estudiantes, y personal en Carnegie Mellon que han construido el liderazgo en tecnologa de
informacin de Carnegie Mellon. Los trabajos de CyLab se centran en la coordinacin del CERT (CERT/CC),
el conducir un centro reconocido internacionalmente de seguridad de Internet. A travs de su conexin al
CERT/CC, CyLab tambin trabaja de cerca con US-CERT - una sociedad entre el departamento de la
divisin nacional de la seguridad de la Ciberseguridad del gobierno (NCSD) y del sector privado,
protegiendo la infraestructura nacional de la informacin en Estados Unidos.
Pgina 107 de 197

Ilustracin 3: CERT apoyados por el Centro de Coordinacin de la Universidad Carnegie Mellon

4.3.5.5. TERENA8 - Trans-European Research and Education Networking Association
La Asociacin Trans Europea de Redes de Investigacin y Educacin TERENA (Trans-European Research
and Education Networking Association) ofrece un foro de colaboracin, innovacin y compartir
conocimiento para fomentar el desarrollo de la tecnologa, de la infraestructura y de los servicios del
Internet que se utilizan por la comunidad de Investigacin y educacin.
Los objetivos de TERENA se orientan a promover y participar en el desarrollo de informacin de alta
calidad y de una infraestructura de telecomunicaciones internacionales en beneficio de la investigacin y de
la educacin.
Las principales actividades de TERENA son:
Tomado de: http://www.terena.org/. U.A: 2008/09/26. Publicado por: Terena. Autor: No determinado.
Pgina 108 de 197

Proveer un ambiente de fomento de nuevas iniciativas en la investigacin en la comunidad europea

para el establecimiento de una red de conocimiento.
Empalmar el soporte europeo para evaluar, probar, integrar y promover nuevas tecnologas del
establecimiento de una red de conocimiento.
Organizar conferencias, talleres y seminarios para el intercambio de la informacin en Comunidad

europea para el establecimiento de una red de investigacin y buscar transferencia del conocimiento a
organizaciones menos avanzadas.
Junto con FIRST, TERENA organiza regularmente talleres de entrenamiento para los miembros de los
Equipos de Respuesta al incidente de Seguridad Computacional (CSIRTs), con base en materiales
desarrollados originalmente por el proyecto TRANSITS que funcion entre 2002 y 2005.
TRANSITS era originalmente un proyecto financiado por la Comunidad Econmica Europea para promover
el establecimiento de los equipos de la respuesta del incidente de la seguridad de la computadora (CSIRTs)
tratando el problema de la escasez del personal experto en CSIRTs. Esta meta ha sido tratada
proporcionando cursos de especializacin al personal de CSIRTs en temas organizacionales, operacionales,
tcnicos, de mercado y temas legales implicados en el establecimiento de un CSIRT.
Desde que el proyecto TRANSITS termin en septiembre de 2005, TERENA y FIRST unieron sus fuerzas
para organizar talleres a travs de Europa, con la ayuda de ayuda financiera de varias organizaciones. Los
talleres ms recientes han sido co-organizados y patrocinados por ENISA.
La estructura de TERENA incluye:
Asamblea General de TERENA
Asamblea General Representantes
Comit ejecutivo Tcnico de TERENA
Comit Tcnico de TERENA
Consejo Consultivo Tcnico
Secretara
ACOnet, Austria
FCCN, Portugal
MREN, Montenegro
Pgina 109 de 197
SURFnet, The
Netherlands

AMRES - University of
Belgrade, Serbia
ARNES, Slovenia
BELNET, Belgium
FUNET, Finland
PCSS, Poland
SWITCH, Switzerland
GARR, Italy
GRNET, Greece
RedIRIS, Spain
RENATER, France
UIIP NASB, Belarus

ULAKBIM, Turkey
BREN, Bulgaria
CARNet, Croatia
CESNET, Czech Republic
HEAnet, Ireland
HUNGARNET, Hungary
IUCC, Israel
RESTENA, Luxembourg
RHnet, Iceland
RoEduNet, Romania
UNI-C, Denmark
UNINETT, Norway
Malta, University of
Malta
CYNET, Cyprus
JANET(UK), United
Kingdom
LITNET, Lithuania
MARNET, FYR of
Macedonia
SANET, Slovakia
DFN, Germany
EENet, Estonia
SigmaNet, Latvia
SUNET, Sweden
4.3.5.6. Alemania - CERT-Bund9 (Computer Emergency Response Team fr Bundesbehrden)

La Oficina Federal para la Seguridad en la Tecnologa de Informacin (Bundesamt fr Sicherheit in der
Informationstechnik - BSI) es la central de servicios de seguridad del gobierno y por ende, asume la
responsabilidad de la seguridad de la sociedad, convirtindose en la columna bsica de la seguridad interna
en Alemania.
Mantiene contacto con los usuarios (administraciones pblicas, gobierno y los municipios, as como las
empresas y los usuarios privados) y fabricantes de tecnologa de informacin.
En Septiembre de 2001 se creo el contexto de la reorganizacin del BSI CERT-BUND (Equipo de Respuesta
a Emergencias Computacionales para las autoridades federales). Los ataques de virus computacionales
repetidos a las redes y sistemas, creo la necesidad de contar con un lugar central para la solucin de los
problemas de la seguridad informtica, enfocados en prevenir los agujeros de seguridad en los sistemas
informticos del gobierno, con reaccin siete das la semana.
Entre las tareas del CERT estn:
Generar y publicar recomendaciones preventivas para evitar las acciones que generen daos.
Tomado de: http://www.bsi.bund.de/certbund/. U.A: 2008/09/26. Publicado por: Bundesamt fr Sicherheit in der
Informationstechnik (BSI). Autor: No determinado.
Pgina 110 de 197

Identificar puntos dbiles del hardware y software.
Sugerir medidas de recuperacin de los agujeros de seguridad,
Advertir situaciones especiales de amenaza relacionadas con la tecnologa de informacin.
Recomendar medidas reactivas para delimitar daos.
Investigar riesgos de seguridad con el uso de la tecnologa de informacin as como desarrollar las
medidas de seguridad.
Desarrollar criterios de prueba.
Evaluar la seguridad en sistemas informacin.
Ayudar de las autoridades gubernamentales en temas relacionados con la seguridad en la tecnologa de

informacin.
Alemania
4.3.5.7. Arabia Saudita - CERT-SA10 (Computer Emergency Response Team - Saudi Arabia)
El Equipo de Respuesta a Emergencia Computacionales (CERT-SA) es un organismo sin nimo de lucro
establecido para desempear un papel importante en la creacin de conocimiento, la administracin, la
deteccin, la prevencin, la coordinacin y la respuesta a los incidentes de seguridad de la informacin a
nivel nacional en Arabia Saudita.
Su misin se establece en torno a los siguientes objetivos orientados a Arabia Saudita:
Incrementar el nivel de conocimiento acerca de la seguridad de la informacin.
Coordinar a nivel nacional los esfuerzos para promover las mejores prcticas de la seguridad y crear
confianza entre la comunidad del ciberespacio.
10
Tomado de: http://www.cert.gov.sa/. U.A: 2008/09/26. Publicado por:CERT-SA. Autor: No determinado.
Pgina 111 de 197

Ayudar a manejar ataques e incidentes de la seguridad de la informacin.
Ser la referencia en seguridad de la informacin para la comunidad de Ciberespacio.
Construir talento y capacidad humana en el campo de la seguridad de la informacin.
Proporcionar un ambiente de confianza para las e-transacciones.
Fomentar la confianza, cooperacin y colaboracin entre los componentes y la ciber-comunidad de

Arabia Saudita.
Gerencia de la calidad de la seguridad

o
Construccin de conocimiento: Proporciona conocimiento y direccin en temas de seguridad de

la informacin para una mejor adecuacin a las prcticas aceptadas en seguridad informtica,
va portal, campaa y seminarios.
Educacin / Entrenamiento: Provee educacin en seguridad de la informacin con el

entrenamiento interno ajustado para requisitos particulares y en colaboracin con instituciones
de entrenamiento.
o
Aviso: Genera alarmas de seguridad de la informacin que incluye pero no se limitado a la

intrusin, advertencias de vulnerabilidad y asesoras en la seguridad a travs del portal.
Difunde informacin relacionada con la seguridad.
Servicios reactivos
o
Alarmas y advertencia: Difunde informacin que describe intrusos, vulnerabilidades de la

seguridad, alarmas de intrusin, virus informticos, bromas y establece la lnea de conducta
relevante para enfrentar problemas especficos.
Ayuda de la respuesta del incidente: Asiste en la recuperacin de incidentes va telfono, email,

fax, o documentacin. Puede implicar asistencia tcnica en la interpretacin de los datos y
orienta en estrategias de mitigacin y recuperacin.
Anlisis del incidente: Examina la informacin disponible y evidencia de soporte relacionados

con un incidente, con el fin de identificar el alcance del incidente, el grado del dao causado por
el incidente, la naturaleza del incidente y las estrategias de respuesta.
Pgina 112 de 197


Arabia Saudita
4.3.5.8. Argentina - ArCERT11 (Coordinacin de Emergencias en Redes Teleinformticas)
En el ao 1999, la Secretara de la Funcin Pblica de la Jefatura de Gabinete de Ministros de Argentina
dispuso la creacin de ArCERT, unidad de respuesta ante incidentes en redes que centraliza y coordina los
esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informticos de la
Administracin Pblica Nacional, es decir cualquier ataque o intento de penetracin a travs de sus redes
de informacin.
Adicionalmente difunde informacin con el fin de neutralizar dichos incidentes, en forma preventiva o
correctiva, y capacita al personal tcnico afectado a las redes de los organismos del Sector Pblico
Nacional. ArCERT comenz a funcionar en mayo de 1999 en el mbito de la Subsecretara de la Gestin
Pblica, siendo sus principales funciones:
Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administracin Pblica Nacional y
facilitar el intercambio de informacin para afrontarlos.
Proveer un servicio especializado de asesoramiento en seguridad de redes.
Promover la coordinacin entre los organismos de la Administracin Pblica Nacional para prevenir,
detectar, manejar y recuperar incidentes de seguridad.
Actuar como repositorio de toda la informacin sobre incidentes de seguridad, herramientas y tcnicas
de defensa
ArCERT cumple funciones de naturaleza eminentemente tcnica. No pretende investigar el origen de los
ataques ni quienes son sus responsables. Corresponde al responsable de cada organismo efectuar las
denuncias para iniciar el proceso de investigacin
11
Tomado de: http://www.arcert.gov.ar/. U.A: 2008/09/26. Publicado por:Subsecretara de Tecnologa de Gestin,
Secretara de la Gestin Pblica, Argentina . Autor: No determinado.
Pgina 113 de 197


Servicios: Todos los servicios que el ArCERT brinda a los Usuarios son gratuitos y no implican erogacin
alguna para el Organismo representado.
Acceso al Sitio Privado de ArCERT
Anlisis y seguimiento de los incidentes de seguridad reportados
Difusin de informacin sobre las principales fallas de seguridad en productos
Recomendacin de material de lectura
Asesoras sobre seguridad informtica
Acceder a la utilizacin del Producto SiMoS (Sistema de Monitoreo de Seguridad)
Acceso a la Base de Conocimiento de Seguridad del ArCERT
Acceso a las Herramientas de Seguridad seleccionadas por el ArCERT
Servicios por Pedidos de Asistencia Especficos
Instalacin y configuracin de Firewall de libre disponibilidad
Instalacin y configuracin de IDS de libre disponibilidad
Anlisis de la topologa de red
Anlisis perimetrales y visibilidad de la red
Bsqueda de vulnerabilidades en los servidores de red
Recomendaciones para robustecer los Sistemas Operativos y las Aplicaciones
Productos
SIMOS - Sistema de Monitoreo de Seguridad: Permite detectar las vulnerabilidades conocidas de los
servidores, que brinden servicio a travs de Internet, de los organismos de la Administracin Pblica
FW-APN - Firewall de libre disponibilidad para la Administracin Pblica Nacional: Solucin basada en
software de libre disponibilidad, eficiente, robusta y de bajos requerimientos que cubre las necesidades
Pgina 114 de 197

de Firewall en la mayora de las redes de la Administracin Pblica Nacional. Funciona directamente

desde CD-ROM.
DNSar - Sistema de Anlisis de Servidores y Dominios DNS: DNSar es un software desarrollado por
ArCERT para analizar los servidores y dominios DNS en busca de posibles errores de configuracin y
funcionamiento.
CAL - Coordinacin y Anlisis de Logs (En desarrollo): CAL es un conjunto de software, de fcil
instalacin, que los organismos pueden instalar en una mquina dedicada para la deteccin de alertas
de seguridad en su red. Adems, estas alertas son reenviadas a ArCERT para una visin macro de
estado de seguridad de la administracin pblica.
ArCERT est sustentado por un grupo de especialistas, que hoy conforman el equipo de seguridad en
redes, dedicado a investigar sobre incidentes, hacking, herramientas de proteccin y deteccin, etc., con
conocimientos y experiencia entre otras, en las siguientes reas: tecnologas informticas, Firewalls,
seguridad en Internet Intranet, deteccin y erradicacin de intrusos, polticas y procedimientos de
seguridad, administracin de riesgos, etc.
Funciona en la Oficina Nacional de Tecnologas de Informacin de la Subsecretara de Tecnologas de
Gestin de la Secretara de Gabinete y Gestin Pblica de la Jefatura de Gabinete de Ministros de
Argentina.
Argentina
4.3.5.9. Australia - AusCERT12 (Australia Computer Emergency Response Team)
AusCERT es el Equipo de Respuesta a Emergencias Computacionales nacional para Australia y proporciona
asesora en temas de seguridad de la informacin de la computadora, a la comunidad australiana y a sus
miembros, como punto nico de contacto para ocuparse de dichos incidentes de seguridad que afectan o
que implican redes australianas.
12
Tomado de: http://www.auscert.org.au/. U.A: 2008/09/26. Publicado por: AusCERT, The University of Queensland,
Brisbane QLD 4072, Australia. Autor: No determinado.
Pgina 115 de 197

AusCERT supervisa y evala amenazas globales de la red de ordenadores y las vulnerabilidades. AusCERT
publica boletines de seguridad, incluyendo estrategias recomendadas de prevencin y mitigacin.
AusCERT ofrece servicios de administracin de incidentes que puede ser una manera eficaz de parar un
ataque en curso de la computadora o proporcionar la asesora prctica en la respuesta y recuperacin de
un ataque.
Las organizaciones del miembro de AusCERT gozan de un nmero de servicios no disponibles al pblico en
general. Estos servicios incluyen:
Servicio de la deteccin temprana.
Acceso va Web site a contenidos exclusivos.
Entrega va email de boletines de seguridad.
Acceso a Foros.
Servicios de gerencia del incidente: incluyen la coordinacin del incidente y la direccin del incidente.
Supervisin, evaluacin y asesora acerca de la vulnerabilidad y amenazas.
Los miembros de AusCERT reciben boletines de la seguridad va email. Los no miembros pueden
suscribir al servicio de alerta libre nacional.
AusCERT investiga el ambiente de la seguridad del Internet para el gobierno y la industria dentro de
Australia. Estructura
AusCERT es una organizacin independiente, sin nimo de lucro, con base en la Universidad de
Queensland, como parte del rea de Servicios de Tecnologa de la Informacin.
AusCERT cubre sus gastos con una variedad de fuentes incluyendo suscripciones de miembros y el
entrenamiento y educacin en seguridad informtica.
Es miembro activo del Foro FIRST y del Equipo de Respuesta a Emergencia Informtica de Asia Pacfico
(APCERT), AusCERT tiene acceso a la informacin sobre amenazas y vulnerabilidades de la red de
ordenadores que surgen de manera regional y global.
Australia y Asia en la regin pacfica
Pgina 116 de 197

4.3.5.10.
Austria - CERT.at13 (Computer Emergency Response Team Austria)
4.3.5.10.1.
Antecedentes
CERT.at es el CERT austraco nacional que comenz como un ensayo en marzo de 2008. Como el CERT
nacional, CERT.at es el punto de contacto primario para la seguridad informtica en el contexto nacional.
CERT.at coordina otro CERT que funciona en el rea de la infraestructura crtica o de la infraestructura de
la comunicacin. En el caso de ataques en lnea significativos contra la infraestructura austraca, CERT.at
coordina la respuesta de los operadores y de los equipos locales de la seguridad.
4.3.5.10.2.
Servicios Ofrecidos
Respuesta al incidente: CERT.at asiste al equipo de seguridad en el manejo de los aspectos tcnicos y
de organizacin de incidentes. Particularmente, proporciona ayuda o asesora con respecto a los
aspectos siguientes de la administracin del incidente:
Determina si un incidente es autntico y define la prioridad requerida.
Coordinacin del incidente: Investiga el incidente y toma las medidas apropiadas. Facilita el
contacto con otros participantes que puedan ayudar a resolver el incidente.
Resolucin del incidente. Recomienda las acciones apropiadas.
Actividades Proactivas:
Recopila informacin de contacto de los equipos locales de seguridad.
Publica avisos referentes a amenazas serias de la seguridad.
Informa acerca de tendencias en tecnologa y distribuyen conocimiento relevante.
Ofrece foros para construir la comunidad e intercambiar informacin.
4.3.5.10.3.
rea de Influencia
Austria
13
Tomado de: www.cert.at. U.A: 2008/09/26. Publicado por: Computer Emergency Response Team Austria. Autor: No
determinado.
Pgina 117 de 197

4.3.5.11.
4.3.5.11.1.
Brasil - CERT.br14 (Computer Emergency Response Team Brazil)

Antecedentes
El CERT.br es el equipo de respuesta a los incidentes de seguridad para el Internet brasileo, responsable
de recibir, analizar y responder a dichos incidentes.
Ms all del proceso de respuesta a los incidentes en s mismo, el CERT.br tambin acta sobre los
problemas de la seguridad, la correlacin entre los acontecimientos en el Internet brasileo y de ayuda al
establecimiento de nuevos CSIRTs en el Brasil.
4.3.5.11.2.
Servicios Ofrecidos
Los servicios dados para el CERT.br incluyen:
Ser un nico punto para las notificaciones de los incidentes de seguridad, para proveer la coordinacin
y la ayuda necesaria en el proceso de respuesta a los incidentes, contactando las piezas implicadas
cuando sea necesario.
Establecer un trabaje colaborativo con otras entidades, como el gobierno, los proveedores de acceso y
servicios y de Internet;
Dar apoyo al proceso de recuperacin y al anlisis de sistemas.
Entrenar en la respuesta a los incidentes de seguridad, especialmente a los miembros de CSIRTs y de

las instituciones que estn creando sus propios grupos.
4.3.5.11.3.
rea de Influencia
Brasil
14
Tomado de: http://www.cert.br. U.A: 2008/09/26. Publicado por: Comit Gestor da Internet no Brasil (CGI.br).
Autor: No determinado.
Pgina 118 de 197

4.3.5.12.
4.3.5.12.1.
Canad - PSEPC15 (Public Safety Emergency Preparedness Canada)

Antecedentes
El Centro Canadiense de Respuesta a Ciberincidentes (CCIRC) es responsable de supervisar amenazas y de

coordinar la respuesta nacional a cualquier incidente de la seguridad del ciberespacio. Su foco es la
proteccin de la infraestructura crtica nacional contra incidentes.
El centro es una parte del Centro de Operaciones del Gobierno y un componente importante en la
preparacin de la seguridad nacional para atender emergencias en los peligros que acechan al gobierno.
Las iniciativas actuales incluyen:
Coordinacin de la respuesta del incidente a travs de jurisdicciones.
Fomentar el compartir la informacin entre las organizaciones y las jurisdicciones
Generar las advertencias en torno a la seguridad.
Divulgacin de incidentes
Desarrolla estndares operacionales de seguridad de la tecnologa de informacin y documentacin

tcnica en temas tales como supervisin del sistema y software malvolo.
Servicios de inteligencia canadienses de la seguridad: Investiga y analiza amenazas del ciberespacio a

la seguridad nacional. Tambin proporciona asesora en la seguridad e inteligencia, incluyendo
amenazas y la informacin de riesgos.
Establecimiento de la seguridad de comunicaciones: Proporciona asesora y direccin en la proteccin

del gobierno acerca de la informacin electrnica de Canad y de las infraestructuras de la informacin.
Tambin ofrece ayuda tcnica y operacional a las agencias federales en la aplicacin de la Ley de
Seguridad.
4.3.5.12.2.
Servicios Ofrecidos
CCIRC le proporciona los servicios a los profesionales y los encargados de la infraestructura crtica y de
otras industrias relacionadas. Estos servicios se hacen sin cargo alguno:
15
Tomado de: http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp. U.A: 2008/09/26. Publicado por: Gobierno
de Canad. Autor: No determinado.
Pgina 119 de 197

Coordinacin 7*24 y ayuda a la respuesta del incidente.
Supervisin 7*24 y anlisis del ambiente de la amenaza del ciberespacio.
Asesora tcnica 7*24 relacionada con seguridad de la tecnologa de informacin
Construccin de la capacidad nacional (estndares, mejores prcticas, conocimiento, educacin)

4.3.5.12.3.
rea de Influencia
Canad
4.3.5.13.
4.3.5.13.1.
Chile CSIRT-GOV16
Antecedentes
Tiene como propsito contribuir a asegurar el ciberespacio del Gobierno de Chile, en conformidad con lo
sealado en el artculo 17 de la Agenda Digital. Su misin es constituirse como referente en materias de
seguridad informtica para todos los servicios que forman parte de la administracin del Estado.
CSIRT Chile es dirigido por la jefatura de la Divisin Informtica del Ministerio del Interior.
4.3.5.13.2.
Servicios Ofrecidos
El equipo de trabajo CSIRT Chile ofrece a los sistemas y redes gubernamentales los siguientes servicios:
Monitoreo de actividades y deteccin de anomalas.
Apoyo forense en respuesta a incidentes computacionales.
Asesora en la generacin e implementacin de polticas y sistemas de seguridad.
Boletines de alertas adecuadamente traducidos y adaptados a las necesidades nacionales.
16
Tomado de: http://www.csirt.gov.cl/. U.A: 2008/09/26. Publicado por: Ministerio del Interior, Palacio de la Moneda,
Santiago de Chile. Autor: No determinado.
Pgina 120 de 197

Asesora en la implementacin del decreto supremo 83/2004 del Ministerio Secretara General de la
Presidencia.
4.3.5.13.3.
Estructura
El CSIRT Chile es una unidad dependiente de la Divisin de Informtica del Ministerio del Interior.
4.3.5.13.4.
rea de Influencia
Chile
4.3.5.14.
4.3.5.14.1.
Chile - CLCERT17 (Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional)

Antecedentes
El Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional CLCERT, tiene como misin
monitorear y analizar los problemas de seguridad de los sistemas computacionales en Chile, y reducir la
cantidad de incidentes de seguridad perpetrados desde y hacia stos.
Desde comienzos de 2004, el CLCERT se auto-financia a travs de su rea de capacitacin, asesoras en la
generacin de polticas pblicas concernientes a seguridad de sistemas informticos y proyectos de
colaboracin con el sector productivo.
Para ello, CLCERT se constituye como un punto nacional de encuentro, contacto y coordinacin entre
instituciones y personas relacionadas del medio local.
4.3.5.14.2.
Servicios Ofrecidos
El CLCERT tiene como principales objetivos:
Entregar en forma oportuna y sistemtica informacin sobre vulnerabilidades de seguridad y amenazas
Divulgar y poner a disposicin de la comunidad informacin que permita prevenir y resolver estos
incidentes de seguridad
17
Tomado de: http://www.clcert.cl. U.A: 2008/09/26. Publicado por: FCFM Ingeniera, Universidad de Chile. Autor: No
determinado.
Pgina 121 de 197

Educar a la comunidad en general sobre temas de seguridad, promoviendo las polticas que permiten
su implementacin.
CLCERT promueve el uso de Internet, los sistemas computacionales abiertos, y las tecnologas de la
informacin, haciendo sus usos ms seguros y que por lo tanto gocen de la confianza de la comunidad
que los utiliza.
4.3.5.14.3.
Estructura
El origen del CLCERT (fines de 2001) est estrechamente ligado al del Laboratorio de Criptografa Aplicada
y Seguridad (CASLab). Surge como una forma en que el CASLab se vincula con el medio local.
El CLCERT y el CASLab conforman una misma unidad y comparten financiamiento, pero los mbitos de
accin son distintos. El CASLab prioriza las actividades de investigacin, formacin de capital humano
altamente especializado y tiene por mbitos de accin el medio acadmico principalmente internacional. El
CLCERT prioriza actividades de formacin profesional, extensin, transferencia tecnolgica y tiene por
principal mbito de accin el medio local.
4.3.5.14.4.
rea de Influencia
Chile
4.3.5.15.
4.3.5.15.1.
China - CNCERT/CC18 (National Computer Network Emergency Response Technical Team)

Antecedentes
El Equipo Tcnico Nacional de Respuesta a Emergencias de Redes Computacionales / Centro de

Coordinacin de China CNCERT/CC (National Computer Network Emergency Response Technical Team /
Coordination Center of China) es una organizacin funcional que opera en la Oficina de Coordinacin de
Respuesta a Emergencia de Internet del Ministerio de la Industria de Informacin de China y que es
responsable de la coordinacin de actividades entre todos los equipos de Respuesta a Emergencias
Computacionales de China relacionadas con incidentes en las redes pblicas nacionales.
CNCERT/CC fue fundado en octubre de 2000 y se hizo miembro de FIRST en agosto de 2002. CNCERT/CC
form parte activa en el establecimiento de APCERT como miembro del comit de direccin de APCERT. As
CNCERT/CC est parado para una nueva plataforma para una cooperacin internacional mejor y un interfaz
prestigioso de la respuesta del incidente de la seguridad de la red de China.
18
Tomado de: http://www.cert.org.cn/english_web/. U.A: 2008/09/26. Publicado por: CNCERT/CC. Autor: No

determinado.
Pgina 122 de 197

4.3.5.15.2.
Servicios Ofrecidos
Proporciona servicios de seguridad de la red de ordenadores y brinda orientacin para el manejo de los
incidentes de seguridad para las redes pblicas nacionales, los sistemas nacionales importantes y las
principales organizaciones, incluyendo la deteccin, prediccin, respuesta y prevencin. Recopila, verifica,
acumula y publica la informacin relacionada con la seguridad del Internet. Es tambin responsable del
intercambio de la informacin y la coordinacin de acciones con organizaciones de la seguridad
internacional.
Recopila informacin oportuna sobre acontecimientos de seguridad.
Supervisin de Incidentes: Detecte los problemas y acontecimientos severos de la seguridad a tiempo,

y entrega prevenciones y apoyo a las organizaciones relacionadas.
Direccin del Incidente.
Anlisis de datos de los incidentes de seguridad.
Recopila y mantiene la informacin bsica pertinente, incluyendo vulnerabilidades, correcciones,

herramientas y las ltimas tecnologas de seguridad.
Investigacin sobre las tecnologas de seguridad.
Entrenamiento en seguridad: Proporciona los cursos en respuesta de la emergencia, las tecnologas

requeridas, la orientacin y la construccin del CERT.
Ofrece servicios de consultora tcnica en el manejo de incidentes de seguridad.
Promueve el intercambio internacional, organizando CERTs locales para orientar la cooperacin y el

intercambio internacionales.
Pgina 123 de 197

4.3.5.15.3.
Estructura
Ilustracin 4: Estructura CNCERT/CC

El CNCERT/CC hace parte del Sistema de la Red Pblica Nacional de Respuesta a Emergencias de
Seguridad China:
Pgina 124 de 197

Ilustracin 5: Sistema de la Red Pblica Nacional de Respuesta a Emergencias de Seguridad China

4.3.5.15.4.
rea de Influencia
China
Pgina 125 de 197

4.3.5.16.
Corea del Sur - KrCERT/CC19 (CERT Coordination Center Korea)
4.3.5.16.1.
Antecedentes
Para hacer frente a los ataques informticos, prevenir los casos de infraccin de seguridad informtica y
reducir al mnimo los posibles daos en Corea, el Centro de Seguridad del Internet de Corea ha dedicado
su energa a definir las medidas y metodologa eficaces para dar respuesta tcnica a los ataques, para la
proteccin de la red de comunicaciones, de la infraestructura de la red y para el refuerzo del sistema de la
prediccin y de alarmas.
Desde julio de 1996 se establece el equipo coreano de respuestas a la emergencia computacional llamado
CERTCC-KR.
En junio de 1997 se establece la Organizacin de Respuesta al Incidente en el Asia Pacfico
En febrero de 1998 se establece como el primer miembro coreano en el FIRST (foro de Equipos de la
Respuesta y de la Seguridad del Incidente).
En diciembre de 2003 se establece el KISC (Korea Internet Security Center), con su centro de operaciones
KrCERT/CC's.
4.3.5.16.2.
Servicios Ofrecidos
Administracin del Centro de Respuesta y Asistencia a Incidentes
Anlisis de incidentes y tecnologa de soporte
Establecimiento del sistema de coordinacin para respuesta a incidentes de internet.

4.3.5.16.3.
Estructura
Equipo de Anlisis de Incidentes:

o
Investigacin sobre nuevas vulnerabilidades de la red y tendencias de nuevos virus.
Verificacin y anlisis en vulnerabilidades de la red
19
Tomado de: http://www.krcert.or.kr/. U.A: 2008/09/26. Publicado por: Korea Internet Security Center. Autor: No
determinado.
Pgina 126 de 197

Anlisis en virus.
Recopilacin de muestras de virus.
Establecimiento y gerencia de la base de datos de vulnerabilidades.
Equipo de Monitoreo de la Red:

o
Supervisin del trafico de ISPs y los Web site ms importantes nacionales o internacionales.
Respuesta temprana a los incidentes, pronstico y mensajes de alerta al pblico.
Atencin de respuestas y direccionamiento de incidentes que ocurren de manera local o

internacional.
Publicacin de reportes mensuales con estadstica y anlisis del virus
Equipo de Respuesta a Hacking:

o
Investigacin sobre tcnicas y tendencias de hacking.
Anlisis de casos de hacking en redes piloto.
Establecimiento y gerencia de investigaciones de incidentes y del sistema del anlisis.
Desarrollo y distribucin de tecnologas para enfrentar ocurrencias de hacking.
Respuesta de la emergencia contra incidentes y ayuda tecnolgica
Equipo de Coordinacin de Respuestas:

o
Muestras incrementales para recopilar y compartir informacin.
Cooperacin con FIRST para el CERT.
Operacin de la oficina administrativa para APCERT y CONCERT.
Recepcin de correos electrnicos de incidentes y manipulacin de ellos.
Activacin del CERT nacional y establecimiento del sistema cooperativo.
Participacin en la estandarizacin con respecto a incidentes del Internet.

Pgina 127 de 197

4.3.5.16.4.
rea de Influencia
Corea del Sur

4.3.5.17.
4.3.5.17.1.
Dinamarca DK.CERT20 (Danish Computer Emergency Response Team)

Antecedentes
DK CERT es el equipo dans de Respuestas a Emergencias Computacionales y es de los pioneros alrededor

del mundo, cuando a inicios de los aos noventa FIRST tom la iniciativa de establecer la cooperacin
internacional basada en el concepto original de CERT en los E.E.U.U. Como parte del trabajo cooperativo
internacional DK CERT supervisa la seguridad en Dinamarca.
El objetivo de DK CERT es recopilar informacin y conocimientos tcnicos va la cooperacin en FIRST
permitiendo a DK CERT publicar alarmas y otra informacin relacionada con riesgos potenciales de la
seguridad. As mismo recibe informacin sobre incidentes de seguridad y coordina esfuerzos en el campo.
DK CERT es un miembro del Foro de los Equipos de Respuesta y Seguridad del Incidente (FIRST).
4.3.5.17.2.
Servicios Ofrecidos
Consulta con respecto a incidentes de la seguridad
DK CERT analiza notificaciones de las personas que se han expuesto a los incidentes de seguridad,
propone soluciones a los problemas y advierte a otros que pudieron ser blancos potenciales para
incidentes similares.
DK CERT coordina la informacin entre las partes implicadas y otras organizaciones, tales como
equipos extranjeros de respuesta y la polica.
DK CERT tiene un papel consultivo y no tiene ninguna autoridad para ordenar realizar tareas.
DK CERT puede actuar como intermediario de la informacin entre diversas partes que desean
mantener el anonimato
20
Tomado de: https://www.cert.dk/. U.A: 2008/09/26. Publicado por: DK.CERT - Danish Computer Emergency
Response Team. Autor: No determinado.
Pgina 128 de 197

DK CERT proporciona asesora con respecto a riesgos potenciales de seguridad y ofrece la ayuda por
ejemplo, para identificar el mtodo de ataque. Adems da instruccin en cmo los sistemas pueden ser
restaurados y como se pueden remediar los daos posibles.
4.3.5.17.3.
Estructura
DK CERT fue establecido en 1991 por el Centro para la Educacin y la Investigacin Danes UNI-C, bajo el
Ministerio Dans de la Educacin, por uno de los primeros casos del hacker en Dinamarca. DK CERT
coordina aproximadamente 10.000 incidentes de seguridad por ao.
4.3.5.17.4.
rea de Influencia
Dinamarca
4.3.5.18.
Emiratos rabes Unidos aeCERT21 (The United Arab Emirates Computer Emergency
Response Team)
4.3.5.18.1.
Antecedentes
El Equipo de Respuesta a Emergencias Computacionales (aeCERT) es el centro de coordinacin de la

seguridad del ciberespacio en los Emiratos rabes Unidos. Ha sido establecido por la Autoridad Reguladora
de Telecomunicaciones (TRA) como iniciativa para facilitar la deteccin, la prevencin y la respuesta de los
incidentes de la seguridad del ciberespacio en Internet.
Su misin es sostener una infraestructura vigilante de las ciber amenazas de la seguridad y construir una
cultura de la seguridad del ciberespacio en los Emiratos rabes Unidos.
4.3.5.18.2.
Servicios Ofrecidos
Ayudar en la creacin de nuevas leyes para la seguridad del ciberespacio.
Recopilar conocimiento de la seguridad de la informacin de los Emiratos rabes Unidos.
Construir experiencia nacional en seguridad de la informacin, administracin del incidente y la

computacin forense.
Proporcionar a punto central confiable de contacto para el manejo de incidentes de la seguridad del
ciberespacio en los Emiratos rabes Unidos.
21
Tomado de: http://www.aecert.ae/. U.A: 2008/09/26. Publicado por: aeCERT. Autor: No determinado.
Pgina 129 de 197

Establecer un centro nacional para divulgar la informacin sobre las amenazas, vulnerabilidades e
incidentes de la seguridad del ciberespacio.
Fomentar el establecimiento de nuevos CSIRTs.
Coordinar las operaciones entre CSIRTs domstico, internacionales y organizaciones relacionadas.

4.3.5.18.3.
Estructura
Ha sido establecido por la Autoridad Reguladora de Telecomunicaciones (TRA) de los Emiratos rabes
Unidos como un cuerpo consultivo que debe recomendar buenas prcticas, polticas, procedimientos y
tecnologas, sin embargo sin ejercer ninguna autoridad sobre su adopcin ni responsabilidad sobre la
administracin de los riesgos de la ciberseguridad.
4.3.5.18.4.
rea de Influencia
Emiratos rabes Unidos

4.3.5.19.
Espaa - ESCERT22 (Equipo de Seguridad para la Coordinacin de Emergencias en Redes
Telemticas)
4.3.5.19.1.
Antecedentes
A principios de la dcada de los noventa surge en Europa una iniciativa dispuesta a crear Equipos de
Respuestas a Incidentes de Seguridad en Ordenadores. Gracias al apoyo del programa tcnico TERENA se
empiezan a crear CSIRT europeos, es entonces cuando aparece, concretamente a finales de 1994, esCERTUPC (Equipo de Seguridad para la Coordinacin de Emergencias en Redes Telemticas - Universidad
Politcnica de Catalua) como primer centro espaol dedicado a asesorar, prevenir y resolver incidencias
de seguridad en entornos telemticos.
esCERT - UPC ayuda y asesora en temas de seguridad informtica y gestin de incidentes en redes
telemticas.
Los principales objetivos son:
Informar sobre vulnerabilidades de seguridad y amenazas.
22
Tomado de: http://escert.upc.edu/index.php/web/es/index.html. U.A: 2008/09/26. Publicado por: Equipo de
Seguridad para la Coordinacin de Emergencias en Redes Telemticas. Autor: No determinado.
Pgina 130 de 197

Divulgar y poner a disposicin de la comunidad informacin que permita prevenir y resolver incidentes
de seguridad.
Realizar investigaciones relacionadas con la seguridad informtica.
Educar a la comunidad en general sobre temas de seguridad.
De esta forma esCERT pretende mejorar la seguridad de los sistemas informticos y a su vez aumentar el
nivel de confianza de las empresas y de los usuarios en las redes telemticas.
4.3.5.19.2.
Servicios Ofrecidos
Para llevar a cabo sus objetivos esCERT-UPC ofrece a la comunidad una serie de servicios que van desde la
respuesta a incidentes a la definicin de una poltica de seguridad para las empresas, pasando por la
formacin.
Respuesta a Incidentes
Altair (Servicio de Avisos de Vulnerabilidades)
Formacin
4.3.5.19.3.
Estructura
esCERT es miembro de TF-CSIRT (Task Force-Collaboration of Incident Response Teams) y junto con otros
equipos de seguridad como los de las compaas Telia o British Telecom.
Forma parte de EPCI (European Private CERT Initiative) una agrupacin de CERTs europeos privados.
Dentro de EPCI se encuentran compaas como BT, Alcacel o Siemens.
esCERT en el mbito mundial participa en el FIRST, principal foro de coordinacin de los diferentes CERTs
de todo el mundo.
4.3.5.19.4.
rea de Influencia
Espaa
Pgina 131 de 197

4.3.5.20.
Espaa IRIS-CERT23 (Servicio de seguridad de RedIRIS)
4.3.5.20.1.
Antecedentes
El servicio de seguridad de RedIRIS (IRIS-CERT) tiene como finalidad la deteccin de problemas que
afecten a la seguridad de las redes de centros de RedIRIS, as como la actuacin coordinada con dichos
centros para poner solucin a estos problemas. Tambin se realiza una labor preventiva, avisando con
tiempo de problemas potenciales, ofreciendo asesoramiento a los centros, organizando actividades de
acuerdo con los mismos, y ofreciendo servicios complementarios.
IRIS-CERT es miembro del FIRST desde el 11 de Febrero de 1997. Adems ha sido contribuidor al piloto
EuroCERT desde el 25 de Marzo de 1997 hasta la finalizacin del mismo en Septiembre de 1999.
Actualmente participa activamente en el Task Force auspiciado por TERENA, TF-CSIRT, para promover la
cooperacin entre CSIRTs en Europa.
Los usuarios del servicio de seguridad son de tres tipos:
Instituciones afiliadas a RedIRIS: Incluye universidades y otros centros de investigacin. Estos usuarios
tienen derecho a todos los servicios (por definicin) y pueden participar en la coordinacin de los
mismos.
Otros servicios de seguridad nacionales e internacionales: IRIS-CERT acta como punto de contacto y
de coordinacin de incidentes para otros servicios de seguridad. El mbito de coordinacin es toda
Espaa. El mbito de representacin es todo el mundo. IRIS-CERT es miembro de FIRST, fue
contribuyente del proyecto EuroCERT y actualmente participa en el Task Force de TERENA TF-CSIRT,
para promover la cooperacin entre CSIRTs en Europa. IRIS-CERT tambin puede actuar de enlace con
las fuerzas de seguridad del Estado (Polica y Guardia Civil), aunque no tomar accin judicial en
nombre de terceros, y limitar su participacin en tales procesos a la asesora tcnica.
Proveedores y usuarios de Internet en Espaa: El servicio ofrecido a stos, fuera de las instituciones de
RedIRIS, se limita a lo siguiente:
o
Uso de los recursos pblicos de IRIS-CERT (Servidor web, FTP, listas de correo).
Atencin de incidentes de seguridad. El servicio de atencin de incidentes se ofrece a todos por

igual, segn los criterios y prioridades establecidos aqu.
23
Tomado de: http://www.rediris.es/cert/. U.A: 2008/09/26. Publicado por: IRIS - CERT. Autor: No determinado.
Pgina 132 de 197

4.3.5.20.2.
Servicios Ofrecidos
IRIS-CERT ofrece una serie de servicios principalmente orientados a las instituciones afiliadas a RedIRIS.
Algunos de estos servicios se ofrecen, as mismo, a la comunidad de Internet.
Comunidad RedIRIS
o
Asesoramiento instituciones afiliadas
Auditora en lnea
Comunidad de Internet
o
Gestin de incidentes.
Listas de Seguridad de RedIRIS
Otros Servicios de Seguridad (Servicios no especficos de IRIS-CERT)

o
Infraestructura de Clave Pblica para la comunidad RedIRIS (RedIRIS-PKI)
Servidor de claves pblicas PGP
Red de Sensores AntiVirus de la Comunidad Acadmica (RESACA)
EL servicio no tiene costo para quien tenga derecho a usar el servicio. No se presta servicio a nadie ms. El
Plan Nacional de I+D financia una red para los investigadores, y un servicio de seguridad que garantice la
integridad de la misma. La coordinacin de incidentes ajenos a RedIRIS es una tarea adicional, necesaria
para llevar a cabo ese servicio.
4.3.5.20.3.
Estructura
IRIS-CERT funciona bajo el auspicio y con la autoridad delegada del director de RedIRIS.
El IRIS-CERT espera trabajar cooperativo con los administradores y los usuarios de sistema en las
instituciones conectadas RedIRIS, evitando relaciones autoritarias.
4.3.5.20.4.
rea de Influencia
Espaa
Pgina 133 de 197

4.3.5.21.
Espaa - CCN-CERT24 (Cryptology National Center - Computer Security Incident Response
Team)
4.3.5.21.1.
Antecedentes
Este servicio se creo a principios de 2007 como CERT gubernamental espaol y est presente en los
principales foros internacionales en los que se comparte objetivos, ideas e informacin sobre la seguridad
de forma global.
Su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de informacin de las
tres administraciones pblicas existentes en Espaa (general, autonmica y local).
Su misin es convertirse en el centro de alerta nacional que coopere y ayude a todas las administraciones
pblicas a responder de forma rpida y eficiente a los incidentes de seguridad que pudieran surgir y
afrontar de forma activa las nuevas amenazas a las que hoy en da estn expuestas.
4.3.5.21.2.
Servicios Ofrecidos
Para contribuir a esta mejora del nivel de seguridad, el CCN-CERT ofrece sus servicios a todos los
responsables de Tecnologas de la Informacin de las diferentes administraciones pblicas a travs de
cuatro grandes lneas de actuacin:
Soporte y coordinacin para la resolucin de incidentes que sufra la Administracin General,

Autonmica o Local. El CCN-CERT, a travs de su servicio de apoyo tcnico y de coordinacin, acta
rpidamente ante cualquier ataque recibido en los sistemas de informacin de las administraciones
pblicas.
Investigacin y divulgacin de las mejores prcticas sobre seguridad de la informacin entre todos los
miembros de las administraciones pblicas. En este sentido, las citadas Series CCN-STIC elaboradas por
el CCN ofrecen normas, instrucciones, guas y recomendaciones para garantizar la seguridad de los
Sistemas TIC en la Administracin.
Formacin a travs de los cursos STIC, destinados a formar al personal de la Administracin

especialista en el campo de la seguridad de las TIC e impartidos a lo largo de todo el ao. Su principal
objetivo, aparte de actualizar el conocimiento del propio equipo que forma el CCN-CERT, es el de
permitir la sensibilizacin y mejora de las capacidades del personal para la deteccin y gestin de
incidentes.
24
Tomado de: https://www.ccn-cert.cni.es/. U.A: 2008/09/26. Publicado por: Centro Criptolgico Nacional. Ministerio
de Defensa de Espaa. Autor: No determinado.
Pgina 134 de 197

Informacin sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de

informacin, recopiladas de diversas fuentes de reconocido prestigio (incluidas las propias)
El CCN-CERT ofrece informacin, formacin y herramientas para que las distintas administraciones puedan
desarrollar sus propios CERTs, permitiendo a este equipo actuar de catalizador y coordinador de CERTs
gubernamentales.
4.3.5.21.3.
Estructura
El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Informacin del Centro

Criptolgico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI).
4.3.5.21.4.
rea de Influencia
Espaa
4.3.5.22.
Espaa - INTECO-CERT25 (Centro de Respuestas a Incidentes en TI para PYMES y
Ciudadanos)
4.3.5.22.1.
Antecedentes
El Centro de Respuesta a Incidentes en Tecnologas de la Informacin para PYMEs y Ciudadanos sirve de

apoyo al desarrollo del tejido industrial nacional y ofrece los servicios clsicos de un Centro de Respuesta a
Incidentes, dando soluciones reactivas a incidentes informticos, servicios de prevencin frente a posibles
amenazas y servicios de informacin, concienciacin y formacin en materia de seguridad a la PYME y
ciudadanos espaoles. Para todo el proceso de definicin y creacin de INTECO-CERT se han seguido las
directrices propuestas por ENISA (European Network and Information Security Agency, Agencia Europea
de Seguridad de las Redes y de la Informacin).
El centro de respuesta surge como iniciativa pblica con los siguientes objetivos:
Proporcionar informacin clara y concisa acerca de la tecnologa, su utilizacin y la seguridad que

mejore su comprensin.
Concienciar a las PYMEs y ciudadanos de la importancia de contemplar y abordar adecuadamente todos

los aspectos relacionados con la seguridad informtica y de las redes de comunicacin.
25
Tomado de: http://www.inteco.es/rssRead/Seguridad/INTECOCERT. U.A: 2008/09/26. Publicado por: Instituto
Nacional de Tecnologas de la comunicacin S.A.. Autor: No determinado.
Pgina 135 de 197

Proporcionar guas de buenas prcticas, recomendaciones y precauciones a tener en cuenta para

mejorar la seguridad.
Proporcionar mecanismos y servicios de divulgacin, formacin, prevencin y reaccin ante incidencias

en materia de seguridad de la informacin.
Actuar como enlace entre las necesidades de PYMEs y ciudadanos y las soluciones que ofertan las
empresas del sector de la seguridad de las tecnologas de la informacin.
4.3.5.22.2.
Servicios Ofrecidos
Para llevar a cabo la misin de concienciacin, formacin, prevencin y reaccin en materia de seguridad
en tecnologas de la informacin, INTECO-CERT ofrece un catlogo de servicios a los usuarios:
Servicios de informacin sobre Actualidad de la Seguridad:

o
Suscripcin a boletines, alertas y avisos de seguridad.
Actualidad, noticias y eventos de relevancia.
Avisos sobre nuevos virus, vulnerabilidades y fraude. Estadsticas.
Servicios de Formacin en seguridad y en la legislacn vigente para Pyme y ciudadanos,

proporcionando guas, manuales, cursos online y otros recursos a los usuarios.
Servicios de Proteccin y prevencin: catlogo de tiles gratuitos y actualizaciones de software.
Servicios de Respuesta y Soporte:
Gestin y soporte a incidentes de seguridad.
Gestin de malware y anlisis en laboratorio del INTECO-CERT.
Lucha contra el fraude.
Asesora Legal en materia de seguridad en las tecnologas de la informacin.
Foros de Seguridad.
Cooperacin y coordinacin con otras entidades de referencia en el sector, tanto a nivel nacional como
internacional.
Pgina 136 de 197

INTECO-CERT como servicio pblico e intermediario INTECO-CERT tiene vocacin de servicio

nimo de lucro. El Centro surge con la vocacin de servir de apoyo preventivo y reactivo en
seguridad en tecnologas de la informacin y la comunicacin a una tipologa de usuarios, la
Mediana Empresa (PYME) y ciudadanos, que no disponen de la formacin, sensibilizacin
suficientes en dicho campo.
pblico sin
materia de
Pequea y
y recursos
INTECO-CERT no vende soluciones tecnolgicas o de consultora. Si en su labor de apoyo a PYME y

ciudadanos, entiende que debe aconsejar alguno de ellos, facilita un directorio de entidades que prestan
esos servicios, para que el usuario elija segn su criterio.
El Centro de Respuesta quiere, en este contexto, erigirse como un puente entre las necesidades de la
demanda (PYMEs y ciudadanos) y las soluciones de la oferta (entidades del sector de la seguridad de las
tecnologas de la informacin).
4.3.5.22.3.
rea de Influencia
Espaa
4.3.5.23.
4.3.5.23.1.
Estados Unidos - US-CERT26 (United States - Computer Emergency Readiness Team)

Antecedentes
Establecido en 2003 para proteger la infraestructura del Internet de la nacin, US-CERT coordina la
defensa contra y respuestas a los ataques del ciberespacio a travs de la nacin.
US-CERT es cargado con la proteccin de la infraestructura del Internet coordinando la defensa y la
respuesta a los ataques del ciberespacio.
4.3.5.23.2.
Servicios Ofrecidos
US-CERT es responsable de
Analizar y reducir amenazas y vulnerabilidades del ciberespacio.
Divulgar informacin y advertencias de amenaza del ciberespacio.
Coordinar la respuesta a incidente.
26
Tomado de: http://www.us-cert.gov. U.A: 2008/09/26. Publicado por: Department of Homeland Security - USA.
Pgina 137 de 197

US-CERT obra recprocamente con las agencias federales, industria, la comunidad de investigacin, el
estado y los gobiernos locales, y otros para divulgar la informacin de la seguridad del ciberespacio
entre el pblico.
4.3.5.23.3.
Estructura
El equipo de la Preparacin para Emergencias Computacionales de Estados Unidos (US-CERT) es una

sociedad entre Departamento de la seguridad de la patria y los sectores pblicos y privados
4.3.5.23.4.
rea de Influencia
Estados Unidos
4.3.5.24.
4.3.5.24.1.
Estonia CERT-EE 27 (Computer Emergency Response Team of Estonia)

Antecedentes
El Equipo de la Respuesta a Emergencias Computacionales de Estonia (CERT Estonia), se establece en

2006. Su tarea es asistir a usuarios estonios del Internet en la puesta en prctica de medidas preventivas
para reducir los daos posibles de incidentes de la seguridad y ayudarles a responder a las amenazas de la
seguridad. El CERT Estonia se ocupa de los incidentes de la seguridad que ocurren en redes estonias.
Los incidentes de la seguridad se atienden acorde con una prioridad definida segn su severidad y alcance
potenciales considerando el nmero de usuarios afectados, el tipo de un incidente, la blanco del ataque,
as como el origen del ataquey los recursos requeridos para manejar el incidente. Los incidentes prioritarios
incluyen, por ejemplo: ataques que pueden comprometer la vida de la gente, ataques en la infraestructura
del Internet (servidores de nombres, nodos de red importantes y ataques automticos en grande en los
servidores de la red), etc.
4.3.5.24.2.
Servicios Ofrecidos
El CERT Estonia ofrece los servicios siguientes:
Orientacin en el incidente
Recepcin de informes de incidente
27
Tomado de: http://www.ria.ee/?id=28201. U.A: 2008/09/26. Publicado por: Department for Handling Information
Security Incidents - Estonia. Autor: No determinado.
Pgina 138 de 197

Asignacin de prioridades a los incidentes segn su nivel de la severidad
Anlisis del incidente
Respuesta a los incidentes.

4.3.5.24.3.
rea de Influencia
Estonia
4.3.5.25.
4.3.5.25.1.
Filipinas - PH-CERT28 (Philippines Computer Emergency Response Team)

Antecedentes
El Equipo de Respuesta a Emergencias Computacionales de Filipinas (PH-CERT) es una organizacin sin

nimo de lucro que pretende brindar un punto confiable de contacto para emergencias computacionales,
de internet y otras emergencias relacionadas de la tecnologa de informacin.
4.3.5.25.2.
Servicios Ofrecidos
Proporcione ayuda legal y consultiva.
Opera como punto central para divulgar vulnerabilidades de la seguridad computacional y

proporcionar ayuda coordinada en respuesta a tales informes.
Genera informes tcnicos de anlisis referentes a cdigo malvolo.
Proporciona informacin sobre la futura tecnologa que puede plantear amenazas de la seguridad.
Proporciona entrenamiento para promover el conocimiento de la seguridad.
Genera alarmas sobre medidas a tomar contra amenazas existentes o prximas de la seguridad.
Proporciona pautas en el uso y la combinacin eficaces de las herramientas de la seguridad para

deteccin y prevencin del incidente.
28
Tomado de: http://www.phcert.org/. U.A: 2008/09/26. Publicado por: Philippines Computer Emergency Response
Team. Autor: No determinado.
Pgina 139 de 197

4.3.5.25.3.
rea de Influencia
Filipinas
4.3.5.26.
Francia-CERTA29 (Centre d'Expertise Gouvernemental de Rponse et de Traitement des
Attaques informatiques)
4.3.5.26.1.
Antecedentes
El Primer Ministro anunci la creacin del CERTA, tras la decisin del Comit Interministerial para la
Sociedad de la Informacin (CISI), en enero de 1999 e inaugurado en febrero de 2000, con el fin de
reforzar la proteccin de las redes del Estado contra los ataques. A fin de reforzar y coordinar la lucha
contra las intrusiones en los sistemas informticos de las administraciones del Estado, el Gobierno decide la
creacin de una estructura de alerta y de asistencia en la Internet encargada de la misin de vigilar y
responder a los ataques informticos.
Los dos principales objetivos del CERTA son:
Garantizar la deteccin de las vulnerabilidades y la resolucin de incidentes relativos a la seguridad de

los sistemas de informacin
Asistir en la instalacin de medios que permitan prevenir futuros incidentes.
Para alcanzar estos dos objetivos, deben llevarse a cabo en paralelo las tres misiones siguientes:
Llevar a cabo una vigilancia tecnolgica;
Organizar la instalacin de una red de confianza;
Administrar la resolucin de un incidente (si es necesario en relacin con la red mundial de los CERT).
El CERTA es miembro del FIRST desde el 12 de setiembre de 2000 y participa en la actividad TF-CSIRT
(Computer Security Incident Response Team) que es la coordinacin de los CERT europeos.
En la actualidad existen varios CERT en Francia. Esta es la lista de los equipos miembros del FIRST o de la
TF-CSIRT:
29
Tomado de: http://www.certa.ssi.gouv.fr/. U.A: 2008/09/26. Publicado por: Premier Ministre / Secrtariat Gnral
de la Dfense Nationale / Direction centrale de la scurit des systmes d'information. Autor: No determinado.
Pgina 140 de 197

El CERTA es el CERT dedicado al sector de la administracin francesa;
El Cert-IST es el CERT dedicado al sector de la Industria, de los Servicios y del Terciario (IST). Fue
creado a finales del ao 1998 por cuatro socios: ALCATEL, el CNES, ELF y France Tlcom;
El CERT-RENATER es el CERT dedicado a la comunidad de los miembros del GIP RENATER (Red
Nacional de telecomunicaciones para la tecnologa, la Enseanza y la Investigacin).
4.3.5.26.2.
Servicios Ofrecidos
Las tareas prioritarias del CERT son las siguientes:
Centralizacin de las solicitudes de asistencia tras los incidentes de seguridad (ataques) en las redes y
sistemas de informaciones: recepcin de las solicitudes, anlisis de los sntomas y eventual correlacin
de los incidentes;
Tratamiento de las alertas y reaccin a los ataques informticos: anlisis tcnico, intercambio de
informaciones con otros CERT, contribucin a estudios tcnicos especficos;
Establecimiento y mantenimiento de una base de datos de las vulnerabilidades;
Prevencin por difusin de informaciones sobre las precauciones que tomar para minimizar los riesgos
de incidente o, por lo menos, sus consecuencias;
Coordinacin eventual con las dems entidades (fuera del campo de accin): centros de competencia
en redes, operadores y proveedores de acceso a Internet, CERT nacionales e internacionales.
4.3.5.26.3.
Estructura
Dicha estructura depende de la Secretara General de la Defensa Nacional y trabajar en red con los
servicios encargados de la seguridad de la informacin en todas las administraciones del Estado.
Participar en la red mundial de los CERT (Computer Emergency Response Team).
El CERTA depende de la Direccin Central de la Seguridad de Sistemas de Informacin (DCSSI) en la
Secretara General de la Defensa Nacional (SGDN), y se encarga de asistir a los organismos de la
administracin en la instalacin de medios de proteccin y en la resolucin de los incidentes o las
agresiones informticas de las cuales son vctimas. Constituye el complemento indispensable para las
acciones preventivas ya aseguradas por la DCSSI y que son anteriores en el procedimiento de seguridad de
los sistemas de informacin.
4.3.5.26.4.
rea de Influencia
Francia
Pgina 141 de 197

4.3.5.27.
4.3.5.27.1.
Hong Kong - HKCERT30 (Hong Kong Computer Emergency Response Coordination Centre)
Antecedentes
En respuesta a las necesidades de hacer frente a amenazas de la seguridad, el gobierno ha financiado al

consejo de la productividad de Hong Kong para poner a funcionar el Centro de Coordinacin del Equipo de
Respuesta a Emergencias Computacionales de Hong Kong (HKCERT). El objetivo de HKCERT es
proporcionar un contacto centralizado en la divulgacin de incidentes y seguridad computacionales y de la
red y brindar la respuesta para las empresas locales y los usuarios del Internet en el caso de los incidentes
de la seguridad. Coordinar las acciones de respuesta y recuperacin para los incidentes divulgados, ayuda
a supervisar y a divulgar la informacin sobre seguridad y proporciona asesora en medidas preventivas
contra amenazas de la seguridad. El HKCERT tambin organiza seminarios del conocimiento y cursos de en
asuntos relacionados seguridad de la informacin.
4.3.5.27.2.
Servicios Ofrecidos
Respuesta a Incidentes: HKCERT proporciona respuesta durante 24 horas al da, 7 das a la semana.
Acepta incidentes por telfono, fax y e-mail. HKCERT asiste y coordina las acciones de recuperacin
para los incidentes.
Alarma de la Seguridad: HKCERT supervisa de cerca la informacin sobre temas relacionadas con la
seguridad tales como ltimos virus, debilidades de la seguridad y divulga la informacin al pblico.
Publicacin: HKCERT publica pautas, listas de comprobacin, alarmas y artculos relacionados con la
seguridad. Estos documentos incluyen la informacin sobre vulnerabilidades de la seguridad,
estrategias de defensa y deteccin temprana de ataques probables. HKCERT tambin publica un boletn
de noticias mensual que proporciona la informacin ms reciente en seguridad computacional y de la
red.
Entrenamiento y educacin: Para elevare el conocimiento de la seguridad de la informacin y para

mejorar la comprensin pblica, HKCERT organiza seminarios libres y brinda a los informes a las
asociaciones comerciales regularmente. HKCERT tambin organiza los cursos que proporcionan
conocimiento profundizado en asuntos del especfico de la seguridad de la informacin.
Investigacin y desarrollo: HKCERT conduce estudios en asuntos seleccionados seguridad de la

informacin y la situacin en Hong Kong referente ataques de la computadora, prdida, contramedidas,
etc.
30
Tomado de: http://www.hkcert.org/. U.A: 2008/09/26. Publicado por: HKCERT. Autor: No determinado.
Pgina 142 de 197

4.3.5.27.3.
rea de Influencia
Hong Kong
4.3.5.28.
4.3.5.28.1.
Hungra - CERT31 (CERT-Hungary)

Antecedentes
CERT-Hungra es el centro hngaro de la seguridad de la red y de la informacin del gobierno. Su tarea es

proporcionar la ayuda de la seguridad de la red y de la informacin al pblico hngaro entero, a los
negocios y a los sectores privados. El centro tiene un papel vital en la proteccin crtica de la
infraestructura de la informacin de Hungra. CERT-Hungra tambin acta como base de conocimiento
para profesionales y pblico hngaro.
CERT-Hungra fue fundada en 2004 en la fundacin de Theodore Puskas con la ayuda del Ministerio de la
Informtica y de las Comunicaciones.
Los servicios pblicos de la organizacin se ofrecen al gobierno, a los municipios, y a los negocios
hngaros, con la atencin especial a la proteccin de los sistemas informticos del gobierno hngaro.
CERT-Hungra es lista abordar problemas de la seguridad 24 horas al da 365 das al ao. Proporciona
alarmas sobre amenazas nuevamente que emergen. Es responsable de manejar compromisos de la
seguridad en los sistemas informticos del gobierno hngaro. Proporciona la direccin para reducir
boquetes de la seguridad, y aumenta conocimiento social sobre la informacin y seguridad de la
computadora a travs de varios foros.
4.3.5.28.2.
Servicios Ofrecidos
CERT-Hungra ofrece los servicios siguientes:

Alarmas y advertencias: Este servicio implica que CERT-Hungra divulgue la informacin que describe
los ataques de intrusos, vulnerabilidades de la seguridad, alarmas de intrusin, virus informticos,
bromas, proporcionando una lnea de conducta recomendada a corto plazo para ocuparse del
problema. La alarma, la advertencia o la asesora se envan como reaccin a un problema existente
para notificar los componentes de la actividad y para proporcionar la orientacin para proteger los
sistemas o recuperar cualquier sistema que fuera afectado.
31
Tomado de: http://www.cert-hungary.hu/. U.A: 2008/09/26. Publicado por: CERT Hungary. Autor: No determinado.
Pgina 143 de 197

Avisos: Los avisos incluyen, pero no se limitan a las alarmas de la intrusin, las advertencias de la
vulnerabilidad y las recomendaciones de seguridad. Los avisos permiten proteger sistemas y redes
contra problemas encontrados antes de que puedan explotar.
Difusin de la informacin relacionada con la Seguridad: Este servicio provee una recopilacin de
informacin til para mejorar la seguridad. Tal informacin puede incluir:
Informacin de contactos para CERT-Hungra y pautas de divulgacin.
Archivos de alarmas, de advertencias y de otros avisos
Documentacin sobre mejores prcticas actuales
Orientacin general de la seguridad computacional
Polticas, procedimientos y listas de comprobacin
Informacin del desarrollo y distribucin de correcciones
Ajustes de proveedores
Estadstica y tendencias actuales en la divulgacin del incidente
Otra informacin que puede mejorar seguridad total
Direccin del incidente: CERT-Hungra se ocupa solamente de incidentes de la seguridad informtica.

Estos incidentes de la seguridad pueden ser acceso desautorizado a los datos sobre un sistema
informtico, negacin de los ataques del servicio, virus contra un sistema informtico, las
vulnerabilidades, o cualquier otra actividad o programa que amenacen la seguridad de un sistema
informtico. Durante su incidente los expertos de CERT-Hungra reciben, dan la prioridad, y responden
a los incidentes y a los informes y analizan incidentes y acontecimientos. Las actividades particulares de
la respuesta pueden incluir:
o
Accin a tomar para proteger los sistemas y las redes afectadas o amenazadas por el intrusos
Proveer soluciones y estrategias de mitigacin de o de alarmas relevantes
Filtracin de trfico de la red
Direccin de la vulnerabilidad: Las vulnerabilidades estn basadas en errores de la configuracin que

crean los agujeros de seguridad en los sistemas informticos y redes. La direccin de la vulnerabilidad
implica recibir informacin sobre vulnerabilidades del hardware y del software. CERT-Hungra analiza la
naturaleza, mecanismos y efectos de las vulnerabilidades y desarrollan las estrategias de la respuesta
para detectar y reparar las vulnerabilidades.
Pgina 144 de 197

Manejo de artefactos: Un artefacto es cualquier archivo u objeto encontrado en un sistema que

impacta en sistemas y redes, que atacan o que se est utilizando para destruir medidas de seguridad.
CERT-Hungra analiza la naturaleza, mecanismos, versin y el uso de los artefactos y desarrolla (o
sugiere) las estrategias de respuesta para detectar, quitar y defender contra estos artefactos.
Educacin y entrenamiento: Con seminarios, los talleres, los cursos y clases particulares, CERT-Hungra
educa sobre soluciones de seguridad computacional. Los temas pueden ser:
o
Incidente y pautas
Mtodos apropiados de respuesta
Herramientas de respuesta del incidente
Mtodos para la prevencin del incidente
Otra informacin necesaria para proteger, detectar, divulgar y responder a los incidentes de la
seguridad computacional.
4.3.5.28.3.
rea de Influencia
Hungra
4.3.5.29.
India - CERT-In32 (Indian Computer Emergency Response Team)
4.3.5.29.1.
Antecedentes
El propsito del CERT-In es convertirse en la agencia de confianza de la comunidad india para responder a
los incidentes de la seguridad de computacional. CERT-In asiste a los miembros de la comunidad india para
ejecutar medidas proactivas para reducir los riesgos de los incidentes de la seguridad informtica.
4.3.5.29.2.
Servicios Ofrecidos
Servicios Reactivos
Proporciona un solo punto del contacto para divulgar problemas locales.
32
Tomado de: http://www.cert-in.org.in/. U.A: 2008/09/26. Publicado por: Department of Information Technology.
Ministry of Communications & Information Technology, Government of India. Autor: No determinado.
Pgina 145 de 197

Asiste al gobierno y a la comunidad general en la prevencin y la manipulacin de incidentes de

la seguridad computacional.
Comparte la informacin y las lecciones aprendidas con el CERT/CC, otros CERTs y las
organizaciones.
Respuesta del incidente
Proporciona el servicio de una seguridad 24 x 7.
Procedimientos de recuperacin
Anlisis de artefactos
Trazo del incidente
o
Publica las pautas de la seguridad, las recomendaciones y consejos oportunos.
Anlisis y respuesta de la vulnerabilidad
Anlisis del riesgo
Evaluacin de producto relacionados con la seguridad
Colaboracin con los proveedores
Perfilar atacantes.
Entrenamiento, investigacin y desarrollo de la conducta.
Funciones
o
Divulgacin
Punto central para divulgar incidentes
Base de datos de incidentes
Anlisis
Pgina 146 de 197

Anlisis de tendencias y patrones de la actividad del intruso
Desarrollo de las estrategias preventivas
Respuesta
La respuesta del incidente es un proceso dedicado a restaurar sistemas afectados a la operacin
Envo de recomendaciones para la recuperacin y la contencin del dao causada por los
incidentes.
Ayuda a los administradores de sistemas a tomar la accin de seguimiento para prevenir la

repeticin de incidentes similares
4.3.5.29.3.
Estructura
CERT-In funciona bajo auspicios y con la autoridad delegada del Departamento de Tecnologa de
Informacin, del Ministerio de Comunicaciones y Tecnologa de Informacin, del gobierno de la India.
CERT-In trabaja cooperativamente con los oficiales de informacin y los administradores de sistema de
varias redes sectoriales y de gobierno.
4.3.5.29.4.
rea de Influencia
India
4.3.5.30.
4.3.5.30.1.
Japan - JPCERT/CC33 (JP CERT Coordination Center)

Antecedentes
JPCERT/CC es el primer CSIRT establecido en Japn. Se coordina con los proveedores de servicios de red,
vendedores de productos de seguridad, agencias estatales, as como las asociaciones gremiales de la
industria. En la regin Pacfica de Asia, JPCERT/CC ayud a formar APCERT (Equipo de Respuesta a
Emergencias Computacionales de Asia Pacfico) y ejerce la funcin de secretara para APCERT. Es miembro
del Foro de Equipos de Respuesta y Seguridad del Incidente (FIRST).
Los objetos de JPCERT/CC son:
33
Tomado de: http://www.jpcert.or.jp/. U.A: 2008/09/26. Publicado por: JPCERT/CC. Autor: No determinado.
Pgina 147 de 197

Proporcionar respuestas a incidente de seguridad computacionales.
Coordinar la accin con CSIRTs locales e internacional y organizaciones relacionadas.
Ayudar al establecimiento de nuevos CSIRTs y promover la colaboracin entre CSIRTs
Divulgar informacin tcnica sobre incidentes de seguridad computacional y las vulnerabilidades y

ajustes a la seguridad, generar alarmas y advertencias.
Generar investigacin y anlisis de incidentes de la seguridad computacional.
Conducir investigaciones sobre tecnologas relacionadas con la seguridad.
Aumentar el entendimiento de la seguridad de la informacin y del conocimiento tcnico, con

educacin y entrenamiento.
4.3.5.30.2.
Servicios Ofrecidos
Incidente Respuesta y anlisis: JPCERT/CC proporciona ayuda tcnica para divulgar problemas de la
seguridad de la siguiente manera:
o
Con base en informacin proporcionada por los sitios afectados, JPCERT/CC determina los
daos.
Identifica las vulnerabilidades.
Proporciona informacin tcnica relevante.
Adicionalmente genera un informe semanal y trimestral sobre respuestas y anlisis de incidentes y otra
informacin relevante a la seguridad computacional.
Alertas de Seguridad: JPCERT/CC recopila la informacin relacionada con seguridad computacional y

genera alarmas y mensaje para prevenir ataques contra redes locales de las organizaciones, as como
para evitar que el impacto de tales ataques llegue a ser extenso. Un informe semanal, contiene
amenazas potenciales y mensajes de cmo evitarlos o reducir al mnimo el dao causado por incidentes
o las vulnerabilidades.
Coordinacin con otros CSIRTs: Siendo el primer CSIRT formado en Japn, mantiene relaciones
cercanas establecidas con mucho CSIRTs no slo en la Asia y la regin pacfica, sino tambin en otras
regiones. La coordinacin y la colaboracin con esos CSIRTs es crucial para el uso seguro de la
tecnologa del Internet en todo el mundo.
Coordinacin de Proveedores: Con el fin de evitar, reduce al mnimo o recupera del dao con eficacia y
eficiencia, la coordinacin con los proveedores que pudieron afectar la seguridad del Internet es
Pgina 148 de 197

importante. JPCERT/CC comparte la informacin con los proveedores locales y distribuyen la

informacin de la vulnerabilidad de manera oportuna.
Educacin y entrenamiento: JPCERT/CC proporciona la educacin y el entrenamiento relacionados con

la seguridad de la red, incidentes de seguridad, vulnerabilidad y las tendencias y ayudas de seguridad a
partir de seminarios y talleres. Adems, vario informes tcnicos y otros documentos estn disponibles
en el web site.
Investigacin y anlisis: Los incidentes de la computadora se estn convirtiendo en un problema cada

vez ms difcil de identificar. JPCERT/CC ejerce investigacin y anlisis para encontrar mejores maneras
de prevenir ataques o de limitar su dao.
4.3.5.30.3.
rea de Influencia
Japn
4.3.5.31.
4.3.5.31.1.
Mxico UNAM-CERT34 (Equipo de Respuesta a Incidentes de Seguridad en Cmputo)

Antecedentes
El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cmputo) es un equipo de

profesionales en seguridad en cmputo localizado en el Departamento de Seguridad en Cmputo (DSC) de
la Direccin General de Servicios de Cmputo Acadmico (DGSCA), de la UNAM.
El UNAM-CERT se encarga de proveer el servicio de respuesta a incidentes de seguridad en cmputo a
sitios que han sido vctimas de algn "ataque", as como de publicar informacin respecto a
vulnerabilidades de seguridad, alertas de la misma ndole y realizar investigaciones de la amplia rea del
cmputo y as ayudar a mejorar la seguridad de los sitios.
El DSC (Departamento de Seguridad en Cmputo) de la DGSCA, UNAM, es un punto de encuentro al cual
puede acudir la comunidad de cmputo para obtener informacin, asesoras y servicios de seguridad, as
como para intercambiar experiencias y puntos de vista, logrando con ello, establecer polticas de seguridad
adecuadas, disminuir la cantidad y gravedad de los problemas de seguridad y difundir la cultura de la
seguridad en cmputo.
34
Tomado de: http://www.cert.org.mx/index.html. U.A: 2008/09/26. Publicado por: UNAM-CERT. Autor: Jefe del
Departamento de Seguridad en Cmputo: Juan Carlos Guel. Lder del Proyecto: Alejandro Nez Sandoval.
Pgina 149 de 197

4.3.5.31.2.
Servicios Ofrecidos
El DSC pone a la disposicin de los Institutos, Facultades y organizaciones externas su portafolio de

servicios de Seguridad en Tecnologas de la Informacin:
Anlisis de Riesgos.
Test de Penetracin.
Anlisis Forense.
Auditorias de Seguridad.
Administracin de Infraestructura de Seguridad en TI.
Tecnologas de Seguridad.
Desarrollo de Soluciones.
Asesoras.
4.3.5.31.3.
Estructura
El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cmputo) es un equipo de

profesionales en seguridad en cmputo localizado en el Departamento de Seguridad en Cmputo (DSC) de
la Direccin General de Servicios de Cmputo Acadmico (DGSCA), de la UNAM.
4.3.5.31.4.
rea de Influencia
Mxico
Pgina 150 de 197

4.3.5.32.
4.3.5.32.1.
Nueva Zelandia CCIP35 (Centre for Critical Infrastructure Protection)

Antecedentes
El Centro para la Proteccin de la infraestructura Crtica (CCIP) es la agencia de estatal dedicada al trabajo
con las organizaciones, la industria y el gobierno relacionados con la infraestructura crtica de Nueva
Zelandia, para mejorar la proteccin y la seguridad computacional de amenazas.
4.3.5.32.2.
Servicios Ofrecidos
Proporcionar un servicio de asesora 7*24 hacia dueos y operadores de la Infraestructura Crtica

Nacional y del gobierno de Nueva Zelandia.
Investigar y analizar los incidentes del ciberespacio que ocurren contra la Infraestructura Crtica
Nacional.
Trabajar con las agencias de proteccin de la Infraestructura Crtica Nacional tanto de manera local
como internacionalmente para mejorar el conocimiento de la seguridad del ciberespacio en Nueva
Zelandia.
4.3.5.32.3.
Estructura
El Centro para la Proteccin de la Infraestructura Crtica (CCIP) es una unidad de negocio dentro de la
oficina de Seguridad de Comunicaciones del Gobierno (GCSB).
La persona responsable del CCIP y de GCSB es el Primer Ministro de Nueva Zelandia.
4.3.5.32.4.
rea de Influencia
Nueva Zelandia
35
Tomado de: http://www.ccip.govt.nz/. U.A: 2008/09/26. Publicado por: Centre for Critical Infrastructure Protection.
Pgina 151 de 197

4.3.5.33.
4.3.5.33.1.
Holanda GOVCERT.NL36
Antecedentes
GOVCERT.NL es el Equipo de Respuesta a Emergencias Computacionales para el gobierno holands. Desde

2002 apoya al gobierno en la prevencin y atencin de incidentes relacionados con la seguridad.
4.3.5.33.2.
Servicios Ofrecidos
Coordinacin: Acta como punto central de la emergencia de incidentes relacionados con la seguridad,
tales como virus informticos y deteccin de vulnerabilidades.
Informacin: Proporciona la informacin correspondiente a temas de seguridad a las partes apropiados.
Asiste a oficiales del gobierno en la prevencin de incidentes de seguridad.
Intercambio internacional del conocimiento: mantiene la cooperacin e intercambio de informacin a

nivel internacional.
Banco de datos: GOVCERT. NL es un centro de informacin. Proporciona acceso al conocimiento y a la

experiencia de su personal y organizaciones que participan. Adems, promueve el intercambio de
informacin entre estas organizaciones. El banco de datos facilita el intercambio por medio de listas de
distribucin, de archivos de documentos relevantes y de mejores prcticas.
Paneles: Organizamos reuniones peridicas para dar la oportunidad de intercambiar conocimiento e

ideas en temas de actualidad.
Ayuda en caso de incidentes: Ofrece ayuda haciendo frente a todas las clases de incidentes,
extendindose al correo Spam, a los ataques de la red de la escala grande, con un soporte 7*24.
4.3.5.33.3.
rea de Influencia
Holanda
36
Tomado de: http://www.govcert.nl/. U.A: 2008/09/26. Publicado por: GOV-CERT.NL. Autor: No determinado.
Pgina 152 de 197

4.3.5.34.
4.3.5.34.1.
Polonia - CERT Polska37 (Computer Emergency Response Team Polska)

Antecedentes
El CERT Polska es el nombre oficial del equipo desde el enero de 2001. Era conocido antes como CERT
Nask. Desde el febrero de 1997 el CERT Polska ha sido un miembro del Foro Mundial de Equipos de
Respuesta y Seguridad del Incidente - FIRST. El CERT Nask fue establecido en marzo de 1996 segn la
disposicin del director de Nask (Red Acadmica y de Investigacin en Polonia).
Sus objetivos son constituir un nico punto confiable de atencin a incidentes y prevencin en Polonia para
los clientes de la comunidad Nask y otras redes en Polonia, responder por los incidentes de seguridad,
proveer informacin referente a la seguridad y advertencias de los ataques en cooperacin con otros
equipos de respuesta a incidentes por todo el mundo
4.3.5.34.2.
Servicios Ofrecidos
El CERT Polska registra las peticiones, alertas y proporcionar datos e informes estadsticos de
incidentes.
Proporciona ayuda a los sitios que tienen problemas de seguridad.
El CERT Polska brinda informacin actual sobre problemas de seguridad y su solucin (va web y lista
de suscripcin).
4.3.5.34.3.
Estructura
El equipo lo conforma la Red Acadmica y de Investigacin en Polonia, con la ayuda de expertos de

universidades polacas.
4.3.5.34.4.
rea de Influencia
Polonia
37
Tomado de: http://www.cert.pl/. U.A: 2008/09/26. Publicado por: CERT Polska. Autor: No determinado.
Pgina 153 de 197

4.3.5.35.
4.3.5.35.1.
Qatar - Q-CERT38 (Qatar CERT)

Antecedentes
Como Equipo Nacional de Respuesta a Incidente de Seguridad Computacional de Qatar, Q-CERT coordinar
el sistema de actividades de la ciber - seguridad necesarias para mejorar la proteccin de infraestructuras
crticas en la nacin y en la regin.
Para alcanzar esta meta, Q-CERT trabajar con las agencias y la industria estatal para formar una
estrategia de la gerencia de riesgo para la seguridad del ciberespacio que incluye los siguientes frentes:
Planeamiento, medicin y evaluacin
Disuasin
Proteccin
Supervisin, deteccin y anlisis
Respuesta
Reconstitucin y recuperacin
Investigacin y desarrollo
Q-CERT cubre todas las organizaciones autorizadas para utilizar el dominio del cdigo de pas.qa, as como
la poblacin en general de Qatar que utiliza el Internet. Incluye al gobierno de Qatar, a los negocios e
instituciones educativas que utilizan el Internet para sus operaciones. Los socios estratgicos incluyen la
industria petrolera del aceite, la industria de servicios financieros, la industria de las telecomunicaciones, y
los ministerios del estado de Qatar. Q-CERT trabajar con los institutos educativos en Qatar para aumentar
conocimiento de la seguridad de la informacin y para mejorar prcticas de seguridad de la informacin.
4.3.5.35.2.
Servicios Ofrecidos
Talleres, seminarios, y cursos diseados para aumentar el conocimiento acerca de la seguridad del
ciberespacio.
38
Tomado de: http://www.qcert.org. U.A: 2008/09/26. Publicado por: Supreme Council of Information &
Comunication Technology. Autor: No determinado.
Pgina 154 de 197

Provee un Web site para brindar informacin sobre las amenazas que emergen, nuevas
vulnerabilidades y otros temas de seguridad.
Explorar la informacin de la seguridad de sistemas de fuente abierta para prevenir amenazas

emergentes.
Genera nuevas alarmas y estrategias de mitigacin.
Analiza vulnerabilidades y cdigo malvolo para desarrollar estrategias de la mitigacin.
Analizar incidentes de la seguridad e identifica contramedidas.
Coordina a travs de las organizaciones internacionales el manejo de atencin a incidentes e

investigaciones.
Ayuda en la determinacin del alcance y de la magnitud de incidentes de seguridad e identifica

estrategias de la recuperacin
4.3.5.35.3.
Estructura
Q-CERT es un organismo nacional patrocinado del Consejo Supremo para la Tecnologa de Informacin y
de Comunicaciones (ictQATAR) del estado de Qatar en asocio con el programa CERT que es parte de
Instituto de Ingeniera de Software de la Universidad Carnegie - Mellon en Pittsburgh, Estados Unidos.
4.3.5.35.4.
rea de Influencia
Gobierno y sector privado en Qatar y en la regin cercana del golfo.

4.3.5.36.
4.3.5.36.1.
Reino Unido - GovCertUK39 (CESGs Incident Response Team)

Antecedentes
GovCertUK nace en febrero de 2007, como la autoridad tcnica nacional para el aseguramiento de la
informacin y proporciona la funcin de CERT al gobierno britnico. Asiste a organizaciones del sector
pblico en la respuesta a los incidentes de seguridad computacional y proporciona asesora para reducir la
exposicin a la amenaza.
39
Tomado de: www.govcertuk.gov.uk. U.A: 2008/09/26. Publicado por: CESG GovCertUK Incident Response Team.
Pgina 155 de 197

Este papel incluye disponer de una capacidad de respuesta a emergencias de las organizaciones del sector
pblico que pueden requerir la ayuda tcnica y la asesora durante perodos de ataque electrnico o de
otros incidentes de la seguridad de la red.
El equipo GovCertUK presta ayuda tcnica y asesora al Centro para la Proteccin de la Infraestructura
Nacional (Centre for the Protection of National Infrastructure CPNI40), que proporcionar un papel similar
de ayuda a la infraestructura nacional crtica, a las organizaciones del sector pblico y privado, protegiendo
la seguridad nacional ayudando as a reducir la vulnerabilidad de la infraestructura nacional al terrorismo y
a otras amenazas.
4.3.5.36.2.
Servicios Ofrecidos
Publicaciones orientadas a la proteccin general de la seguridad.
Informes de seguridad de la informacin destacando los riesgos frente a la infraestructura nacional.
Notas tcnicas de la Seguridad de la Informacin.
Vulnerabilidades de la Seguridad de la Informacin.
Investigacin en vulnerabilidades computacionales para determinar las amenazas, identificar problemas

y se trabaja de la mano con proveedores de tecnologa para suministrar patches de software.
Promueven las mejores prcticas entre los operadores de la infraestructura nacional, compartiendo la
informacin.
Descripcin de tecnologas emergentes.
Intercambios de informacin sobre los riesgos.

4.3.5.36.3.
rea de Influencia
Reino Unido e Irlanda del Norte
40
Tomado de: www.cpni.gov.uk. U.A: 2008/09/26. Publicado por: Centre for the Protection of National Infrastructure
CPNI. Autor: No determinado.
Pgina 156 de 197

4.3.5.37.
4.3.5.37.1.
Singapur SingCERT41 (Singapore CERT)

Antecedentes
El Equipo de Respuesta a Emergencias Computacionales de Singapur (SingCERT) fue instalado para

facilitar la deteccin, la resolucin y la prevencin de incidentes relacionados con la seguridad en Internet.
Sus objetivos son:
Ser un punto de contacto confiable.
Facilitar la resolucin de las amenazas de la seguridad.
Aumente la capacidad nacional en seguridad.

4.3.5.37.2.
Servicios Ofrecidos
Genera alarmas, recomendaciones y patches de seguridad.
Promueve el conocimiento de la seguridad a travs de cursos, seminarios y talleres de seguridad.
Colabora con los proveedores y otros CERTs para encontrar soluciones a los incidentes de la seguridad
4.3.5.37.3.
Estructura
SingCERT fue establecido inicialmente en octubre de 1997 como programa de la autoridad del desarrollo
de Infocomm de Singapur, en colaboracin con el Centro para la Investigacin del Internet de la
Universidad Nacional de Singapur.
4.3.5.37.4.
rea de Influencia
Singapur
41
Tomado de: http://www.singcert.org.sg/. U.A: 2008/09/26. Publicado por: Singapur SingCERT. Autor: No
determinado.
Pgina 157 de 197

4.3.5.38.
Sri Lanka SLCERT42 (Sri Lanka Computer Emergency Response Team)
4.3.5.38.1.
Antecedentes
El Equipo de Respuesta a Emergencia Computacionales de Sri Lanka (SLCERT) es el centro para la

seguridad del ciberespacio, designado por mandato para proteger la infraestructura de la informacin de la
nacin y para coordinar medidas protectoras y respuestas a las amenazas y a las vulnerabilidades de la
seguridad informtica.
Un CERT nacional acta como punto focal para la seguridad de Ciberespacio para una nacin. Es la nica
fuente confiable para asesorar sobre las amenazas y las vulnerabilidades ms recientes que afectan los
sistemas informticos y las redes y para asistir al gobierno en responder y recuperarse de Ataques
computacionales.
4.3.5.38.2.
Servicios Ofrecidos
SLCERT ofrece tres categoras de servicio:

Servicios de Respuesta: Son los servicios que son activados por los acontecimientos que son capaces
de causar efectos nocivos sobre los sistemas de informacin. Los ejemplos son ataques de Spam, virus
y acontecimientos inusuales de intrusos.
Direccin en incidentes: Este servicio implica responder a una peticin o a una notificacin
asociada a la deteccin de un acontecimiento inusual, que puede afectar el funcionamiento, la
disponibilidad o la estabilidad de los servicios o sistemas informticos.
SLCERT realizar pasos para identificar el incidente y para clasificar la severidad del incidente,
asesorando en cmo contener el incidente y suprimir la causa. Una vez los sistemas se
recuperan completamente, SLCERT genera un informe de incidente detallando su naturaleza,
medidas tomadas para recuperarse de incidente y medidas preventivas recomendadas para el
futuro.
Servicios del Conocimiento: Se disean para educar en la importancia de la seguridad de la informacin

y de los asuntos relacionados y las mejores prcticas.
Alarmas: Este servicio se utiliza para divulgar la informacin en relacin con virus informticos,
bromas y vulnerabilidades de la seguridad, y en lo posible, para proporcionar recomendaciones
a corto plazo para ocuparse de las consecuencias de tales ataques.
42
Tomado de: http://www.cert.lk/. U.A: 2008/09/26. Publicado por: Sri Lanka SLCERT. Autor: No determinado.
Pgina 158 de 197

Seminarios y conferencias: Estos servicios tienen la intencin de aumentar el conocimiento

sobre la seguridad de la informacin, seguridad estndares y mejores prcticas. Se busca
ayudar a reducir perceptiblemente la probabilidad de ser atacado.
Talleres: Estos servicios son dirigido para aumentar el conocimiento acerca de la seguridad de
la informacin. Se orientan a los profesionales ms tcnicos, que realizan tareas diarias
relacionadas con la seguridad de la informacin.
Base de Conocimiento: La base de conocimiento es un servicio pasivo ofrecido por SLCERT a los
interesados con documentos, artculos, noticias, etc., publicado en el Web site de SLCERT y los
medios. Se busca proporcionar una gama de recursos del conocimiento que permitan a
cualquier persona encontrar informacin til para ayudar a aumentar su comprensin de la
Servicios de la Consulta: Estos servicios se orientan a proveer medios de toma de decisiones con
respecto a la seguridad de la informacin, y para tomar las medidas necesarias para consolidar las
defensas.
o
Soporte Tcnico: Este servicio de revisin y anlisis est dirigido a la infraestructura y

procedimientos de la seguridad adoptados dentro de las organizaciones, de acuerdo con la
experiencia en seguridad de la informacin del SLCERT y de ciertos parmetros predefinidos. El
resultado final es un identificacin detallada de las debilidades de la infraestructura, las mejoras
que deben llevarse a cabo y cmo tales las mejoras deben ser puestas en ejecucin.
Soporte Consultivo para Poltica Nacional: ste es un servicio realizado por SLCERT como
obligacin con la nacin. Como autoridad primaria en seguridad de la informacin en Sri Lanka,
SLCERT es responsable de generar y de hacer cumplir estndares de seguridad de la
informacin a nivel nacional.
4.3.5.38.3.
rea de Influencia
Sri Lanka
Pgina 159 de 197

4.3.5.39.
4.3.5.39.1.
Tnez - CERT-TCC43 (Computer Emergency Response Team - Tunisian Coordination Center)

Antecedentes
A partir de 2002 se establece el ncleo de un CSIRT en Tnez, que condujo en 2004 al lanzamiento oficial
del CERT-TCC (Computer Emergency Response Team - Centro Tunecino de Coordinacin), un CSIRT
pblico gestionado por la Agencia Nacional para la Seguridad Computacional.
El CERT-TCC tiene los siguientes objetivos:
Aumentar el conocimiento y entendimiento acerca de la seguridad de la informacin y de la seguridad

de la computadora a travs de medidas proactivas.
Proporcionar un soporte confiable7*24, con un solo punto de contacto para las emergencias, para
ayudar a manejar incidentes de la seguridad y para asegurar la proteccin del Ciberespacio nacional y
la continuidad de servicios crticos nacionales a pesar de ataques.
Proporcionar el entrenamiento y la certificacin de alto nivel para los aprendices y los profesionales.
Informar sobre las mejores prcticas y sobre aspectos de organizacin de la seguridad, con un foco
especial en la gerencia de la intervencin y de riesgo.
Informar sobre vulnerabilidades y respuestas correspondientes y sirve como un punto confiable de

contacto para recopilar e identificar vulnerabilidades en sistemas informticos.
Informar sobre mecanismos y herramientas de la seguridad y asegurar que la tecnologa apropiada y

las mejores prcticas de gerencia sean utilizadas.
Poner en ejecucin los mecanismos que permitan alertar y dar respuesta a organizaciones y a
instituciones, para desarrollar sus propias capacidades de la gerencia del incidente
Facilitar la comunicacin entre el profesional y los expertos que trabajan en estructuras de seguridad y
estimular la cooperacin entre y a travs de los negocios pblicos y privados de las agencias estatal y
de las organizaciones acadmicas.
Colaborar con la comunidad internacional y nacional en incidentes de deteccin y de resolucin de la

seguridad computacional.
43
Tomado de: http://www.ansi.tn/en/about_cert-tcc.htm. U.A: 2008/09/26. Publicado por: National Agency for
Computer Security - Tunez. Autor: No determinado.
Pgina 160 de 197

Promover o emprende el desarrollo de los materiales educativos, de conocimiento y de entrenamiento

apropiados para mejorar las habilidades y el conocimiento tcnico de los usuarios y los profesionales de
la seguridad.
4.3.5.39.2.
Servicios Ofrecidos
Actividades del conocimiento

o
Publicaciones: Como material del conocimiento, se desarrollan y distribuyen folletos y guas que
explican a los usuarios de una manera simple y clara las amenazas y cmo proteger sus
sistemas. Tambin distribuyen libremente los CDs con las herramientas de seguridad y de
control parental, libres para el uso domstico, pero tambin los patches.
Presentaciones: Co-organizan e intervienen en conferencias nacionales y talleres relacionados

con la seguridad, con demostraciones en vivo de ataques, para sensibilizar a la gente con la
realidad de los riesgos y la importancia de las mejores prcticas.
Juventud y padres: Referente a conocimiento de la juventud y de los padres, preparan material

del conocimiento. Un manual Pasaporte de la seguridad para la familia incluyendo concursos,
historietas y juego pedaggico, que explican a los nios de una manera divertida, los riesgos
(pedofilia, virus, etc) y las reglas bsicas de proteccin.
Prensa: Participa en emisiones semanales en medios nacionales, creando un posicionamiento.
Informacin y actividades de alertas: Una de las principales tareas es detectar y analizar amenazas y
transmitir esa informacin a los administradores de sistema y a la comunidad de usuarios. CERT-TCC
divulga regularmente informacin y alarmas sobre vulnerabilidades crticas y actividades malvolas a
travs de sus listas de distribucin y con su web site. Analiza las vulnerabilidades potenciales,
recogiendo la informacin, trabajando con otros CSIRTs y proveedores de software para conseguir las
soluciones a estos problemas.
Entrenamiento y educacin: CERT-TCC est actuando para la construccin de un grupo de trabajo de

los multiplicadores y e la creacin de diplomados especializados en seguridad, junto con el estmulo de
los profesionales para obtener certificacin internacional. Para solucionar eficientemente el problema de
la carencia del entrenamiento especializado en seguridad, el CERT-TCC organiza entrenamientos para
los multiplicadores que estarn en cargo de reproducir esos cursos en una escala mayor. Los primeros
asuntos identificados son los siguientes :
o
Tcnicas de seguridad del permetro de la red: Arquitecturas seguras, cortafuegos,

identificaciones, servidores de marcado manual seguros.
Organizacin y tcnicas internas: Desarrollo de poltica de la seguridad, desarrollo del plan de

seguridad, herramientas de seguridad de la red (Cortafuegos, entradas distribuidos contra-virus,
PKI.).
Pgina 161 de 197

Tecnologas de supervivencia de la informacin: Planes de recuperacin de desastres.
Base tcnica para la prevencin de la intrusin: Identifica y previene intrusiones y defectos de

seguridad.
Fundamentos en la orientacin del manejo del incidente.
Metodologas de la autovaloracin de la seguridad.
ISO 17799 e ISO 27000.
Curso de CBK, para la preparacin a la certificacin de CISSP.
Cursos especializados para el personal judicial y de investigacin.
Tambin desarrollan un programa de entrenamiento para la certificacin de personas del sector

privado, que permite la obtencin de la certificacin nacional de interventor de la seguridad,
adems, al entrenamiento para los administradores de los sistemas de e-gobierno, y como
motivacin para la certificacin de CISSP, los entrenamientos que cubren todos los captulos del
CBK.
CERT-TCC trabaja con profesionales e instituciones acadmicas para desarrollar planes de estudios
en seguridad de la informacin y se tiene el proyecto para lanzar un centro de entrenamiento
regional en seguridad en sociedad con el sector privado.
Prepara adicionalmente los entrenamientos especiales para los jueces, y periodistas.
Educacin: En colaboracin con dos instituciones acadmicas, se lanz la primera maestra en

seguridad en 2004 y ahora tres universidades pblicas y cuatro privadas, proponen programas de
maestra similares. Para motivar a estudiantes a atender a esos cursos, se les ofrece la posibilidad de
postular a la certificacin nacional del interventor de la seguridad. De otro lado, consideran que todos
los estudiantes deben ser preparados para obtener conocimiento apropiado sobre riesgos y la
existencia de las mejores prcticas y de herramientas de seguridad para la proteccin. Con ese
propsito, comenzaron sesiones del conocimiento de verano para los nuevos profesores de las escuelas
secundarias y estn motivando a todas las entidades de educacin para la introduccin de los cursos
bsicos del conocimiento dentro de programas acadmicos, desde las escuelas secundarias hasta la
universidad. CERT-TCC comenz el desarrollo del material y de los programas del conocimiento para las
escuelas secundarias.
Direccin y ayuda del incidente: Segn la ley relacionado con la seguridad computacional, las
corporaciones privadas y pblicas deben informar al CERT-TCC sobre cualquier incidente, que pueda
tener impacto en otros sistemas de informacin nacionales, con la garanta de confidencialidad ala que
estn obligados los empleados del CERT-TCC y los interventores de la seguridad, bajo sanciones
penales. Las organizaciones tanto privadas como pblicas deben confiar en el CERT-TCC por lo cual se
Pgina 162 de 197

obligan a guardar confidencial sobre sus identidades y la informacin sensible proporcionada. Tambin
deben ser neutrales, que permita trabajar con las entidades y las entidades sin predisposicin.
Se establecieron telfonos 7*24 que permiten a los profesionales y a los ciudadanos divulgar y llamar
para solicitar ayuda en caso de incidentes de la seguridad computacional y tambin para solicitar la
informacin y/o la ayuda en cualquier tema relacionado a la seguridad.
En las actividades de direccin de la vulnerabilidad y del incidente se asigna una prioridad ms alta a
los ataques y a las vulnerabilidades que afectan directamente el ciberespacio nacional. En este sentido
se comenz a desarrollar un sistema llamado Saher que permite determinar y predecir amenazas
grandes y potenciales a las infraestructuras de telecomunicacin sensibles y al Ciberespacio local,
basado en cdigo abierto que permite supervisar la seguridad del Ciberespacio nacional en tiempo real
para la deteccin temprana de ataques masivos. El primer prototipo fue desplegado en noviembre de
2005.
Para asegurar una respuesta rpida y correcta en caso de ataques grandes contra el Ciberespacio, se
ha desarrollado un plan global de la reaccin basado en el establecimiento de clulas de crisis
coordinadas a nivel de varios agentes del Ciberespacio nacional ( ISPs, IDCs, proveedores de acceso,
redes corporativas grandes) con CERT-TCC actuando como coordinador entre ellos.
Colaboracin con asociaciones: Co-organizan regularmente talleres del conocimiento y entrenamiento

buscando sinergia entre los profesionales y los agentes nacionales. Animan la creacin de dos
asociaciones especializadas en el campo de la seguridad informtica: Una asociacin acadmica
lanzada en 2005 (Asociacin Tunecina para la Seguridad Numrica) y durante 2006 (Asociacin
Tunecina de Expertos en Seguridad Computacional). Con el propsito de motivar la agregacin tcnica
de esas asociaciones, las estn motivando para la creacin de equipos de trabajo tcnicos.
Colaboracin internacional: CERT-TCC se ha establecido como miembro de pleno derecho de FIRST en

mayo de 2007 y busca colaborar con otros CSIRTs para lograr un apoyo mayor y colaboracin en
investigaciones. Tambin intentan ser activos a nivel regional en frica y en organizaciones
internacionales.
4.3.5.39.3.
Estructura
Cuenta con dos equipos:
Equipo Amen: A cargo del anlisis del incidente y coordinacin y respuesta en sitio y en caso de
emergencia nacional.
Equipo Saherel: A cargo de la deteccin del incidente y del artefacto, que desarrolla y maneja un
sistema de supervisin para el ciberespacio nacional, basado en soluciones de cdigo abierto. Est
tambin a cargo de dar asistencia tcnica y ayuda para el despliegue de las soluciones de cdigo
abierto.
Pgina 163 de 197

4.3.5.39.4.
rea de Influencia
Tnez
4.3.5.40.
4.3.5.40.1.
Venezuela CERT.ve44 (VenCERT Equipo de Respuesta para Emergencias Informticas)

Antecedentes
El Ministerio de Ciencia y Tecnologa, cumpliendo su competencia en materia de Tecnologas de

Informacin y Comunicacin, pone en marcha el proyecto parea conformar un Equipo de Respuesta para
Emergencias Informticas a travs de la Superintendencia de Servicios de Certificacin Electrnica SUSCERTE. Este equipo en conjunto con la academia, centralizar y coordinar los esfuerzos para el
manejo de incidentes que afecten oi puedan afectar los recursos informticos de la Administracin Pblica,
as como difundir informacin de cmo neutralizar incidentes, tomar precauciones para las amenazas de
virus que puedan comprometer la disponibilidad y confiabilidad de las redes.
Adems centralizar los reportes sobre incidentes de seguridad ocurridos en la Administracin Pblica y
facilitar el intercambio de informacin para afrontarlos, provee documentacin y asesora sobre la
seguridad informtica.
Sus objetivos son combinar esfuerzos con la comunidad internet nacional e internacional para facilitar y
proporcionar respuesta a los problemas de seguridad informtica que afecten o puedan afectar a los
sistemas centrales, as como elevar la conciencia colectiva sobre temas de seguridad informtica y llevar a
cabo tareas de investigacin que tengan como finalidad mejorar la seguridad de los sistemas existentes.
Coordinar las acciones de monitoreo, deteccin temprana y respuesta ante incidentes de seguridad de
informtica entre los rganos del Poder Pblico, as como el tratamiento formal de estos incidentes y su
escalamiento ante las instancias correspondientes.
La Superintendencia debe promocionar y divulgar el uso de Polticas de Seguridad, la firma electrnica y
certificado electrnico apoyndose en los centros educativos, plantendose programas acadmicos que
apoyen a dichos centros en las carreras jurdicas para dar a conocer la Ley sobre mensaje de Datos y
Firma Electrnica, los reglamentos y las resoluciones de la superintendencia. As se pretende lograr que la
Administracin Pblica venezolana identifique sus requisitos de seguridad y aplique medidas para
alcanzarlos, mediante el uso de tres fuentes principales:
Valoracin de los riesgos de cada uno de los Entes Gubernamentales. Con ello se identifican las
amenazas a los activos, se evala la vulnerabilidad y la probabilidad de su ocurrencia y se estima su
posible impacto.
44
Tomado de: http://www.cert.gov.ve/. U.A: 2008/09/26. Publicado por: Venezuela CERT.ve. Autor: No determinado.
Pgina 164 de 197

Determinacin de requisitos legales, estatutarios y regulatorios que deberan satisfacer los entes de la
Administracin Pblica, sus usuarios, contratistas y proveedores de servicios.
Establecimiento de los principios, objetivos y requisitos que forman parte del tratamiento de la
informacin que el Gobierno Nacional ha desarrollado para apoyar sus operaciones.
Para ello el VenCERT (Centro de Respuestas ante incidentes telemticos del Sector Pblico) implementar
un conjunto de polticas, prcticas, y procedimientos y los controles que garanticen el cumplimiento de los
objetivos especficos de seguridad. Asimismo, orientar y asesorar en la definicin de estructuras
organizativas, funciones de software y necesidades de formacin.
El VenCERT deber igualmente constituirse en eje central de un sistema de investigacin cientfica aplicada
a la seguridad telemtica, convirtindose en demandante principal de sus productos y proveedor
permanente de nuevos temas de investigacin.
4.3.5.40.2.
Servicios Ofrecidos
Proveer un servicio especializado de asesoramiento en seguridad de redes
Promover la coordinacin entre los organismos de la Administracin Pblica para prevenir, detectar,
manejar y recuperar incidentes de seguridad.
Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administracin Pblica y facilitar
el intercambio de informacin para afrontarlos.
Crear listas de correo con el fin de mantener informados a los directores de informtica sobre las
noticias ms recientes en materia de seguridad.
4.3.5.40.3.
Estructura
El VenCERT hace parte de la Superintendencia de Servicios de Certificacin Electrnica de Venezuela

SUSCERTE.
4.3.5.40.4.
rea de Influencia
Administracin Pblica de Venezuela
Pgina 165 de 197

4.3.6.
EXPERIENCIAS O ANTECEDENTES EN COLOMBIA
4.3.6.1. CIRTISI Colombia45 (Centro de Informacin y Respuesta Tcnica a Incidentes de Seguridad

Informtica de Colombia)
En colaboracin de varas entidades gubernamentales se desarroll una primera propuesta para la
constitucin de un Centro de Informacin y Respuesta Tcnica a Incidentes de Seguridad Informtica de
Colombia CIRTISI.
Segn esta propuesta, CIRTISI Colombia buscara propender por la prevencin, deteccin y reaccin frente
a incidentes de seguridad informtica que amenacen y/o desestabilicen la normal operacin de entidades
gubernamentales e incluso la seguridad nacional, mediante apoyo tecnolgico, entrenamiento y generacin
de una cultura global de manejo de la informacin.
Sus objetivos generales seran:
Brindar apoyo a las entidades gubernamentales para la prevencin y rpida deteccin, identificacin,
manejo y recuperacin frente a amenazas a la seguridad informtica.
Interactuar con los entes de polica judicial generando un espacio de consulta frente a las amenazas de
seguridad e investigaciones informticas.
Proporcionar informacin especializada y conocimiento a las autoridades de polica judicial durante los
procesos investigativos relacionados con la seguridad informtica.
Construir un laboratorio de deteccin e identificacin, control y erradicacin de amenazas informticas

para los diferentes organismos gubernamentales.
Consolidar el capitulo HTCIA (High Technology Crime Investigation Association) Colombia y adelantar
las actividades necesarias para su permanencia y crecimiento
Sus objetivos especficos seran:
45
Documento: CIRTISI COLOMBIA, Tomado de
http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de%20
2007%202.pdf. U.A: 2008/09/26. Publicado por: el Programa Gobierno en Lnea. Autor: No determinado.
Pgina 166 de 197

Proporcionar alertas tempranas frente a amenazas informticas que puedan desestabilizar la tecnologa
y la seguridad nacional.
Fomentar la investigacin y desarrollo de estrategias de seguridad informtica.
Brindar una adecuada respuesta a incidentes de seguridad informtica, con un enfoque metodolgico
que propenda por la eficiencia de las investigaciones realizadas.
Establecer canales de comunicacin nacionales expeditos de manera que sea posible ofrecer una
atencin a incidentes en forma efectiva.
Generar redes de apoyo temticas en materia de seguridad de la informacin.
Promover la coordinacin nacional con otras entidades pertinentes del orden regional
Fortalecer la cooperacin con organismos intergubernamentales en el mbito subregional, regional e

internacional.
Impulsar la cooperacin internacional con organismos de similar naturaleza y propsito.
Participar en el Forum of Incident Response and Security Teams (FIRST)
Consolidar, mantener y liderar el capitulo HTCIA Colombia
Fomentar una conciencia global de seguridad informtica
Proveer un servicio especializado de asesoramiento en seguridad de redes.

Investigacin tcnica de amenazas informticas existentes e identificacin de tendencias.
Generacin de alertas tempranas frente a las amenazas existentes, conocidas y potenciales.
Entrenamiento local, nacional o internacional en materia de seguridad informtica y procedimientos de

computacin forense para los organismos de polica judicial colombiana.
Respuesta efectiva a incidentes de seguridad informtica que se presenten en cualquier rgano

gubernamental, brindando apoyo tcnico para la recoleccin, anlisis, preservacin y presentacin de
evidencia digital en incidentes que den lugar a investigaciones informticas.
Promover la cultura de la seguridad informtica y la estandarizacin de protocolos de seguridad.
Pgina 167 de 197

Establecer contactos con equipos de similar naturaleza o propsito y con organizaciones que agrupen
estos equipos, tanto a nivel nacional como internacional.
El CIRTISI - Colombia propone desarrollar sus actividades dentro de los siguientes ejes estratgicos:
Desarrollo de Polticas: Promover la formulacin de polticas que contribuyan con la prevencin,

deteccin, identificacin, manejo y recuperacin frente a amenazas a la seguridad informtica as como
con la adopcin de legislacin para adecuar y actualizar la tipificacin de las conductas conocidas por el
CIRTISI.
Actividad Operacional: Obtener diagnsticos reales sobre las diferentes amenazas informticas que se
generan a partir de una cobertura de servicios y sectores definida y, de la permanente capacitacin y
optimizacin tecnolgica.
Impacto Social: Generacin de una cultura global de manejo de la informacin y fomento de la

conciencia frente a la seguridad informtica mediante la permanente socializacin de las amenazas
conocidas y nuevas y su impacto sobre la seguridad informtica en Colombia.
La conformacin del CIRTISI involucrara cinco reas o divisiones con liderazgo propio de manera que se
puedan cubrir diversos aspectos de la seguridad informtica nacional.
Ilustracin 6: Estructura CIRTISI Colombia
Divisin de Infraestructura y Asesora: Esta divisin ser la encargada de todo el planeamiento logstico
y estratgico necesario para la conformacin y puesta en operacin del CIRTISI - Colombia, apoyando
directamente a la direccin general y junta directiva que se designe.
Pgina 168 de 197

Divisin de Alertas Tempranas y Coordinacin: Esta divisin se concentrar en el monitoreo de

amenazas y coordinacin con CERTs nacionales e internacionales, generando las alertas tempranas
frente a amenazas potenciales. En conjunto con la investigacin y desarrollo son el corazn del CIRTISI
en la medida que se convierte en el punto de deteccin de amenazas globales. Adicionalmente, esta
divisin est encargada de mantener una base estadstica de amenazas a la seguridad de la
informacin.
Divisin de Investigacin y Desarrollo: La divisin de Investigacin y Desarrollo estar encargada del

laboratorio de amenazas, proporcionadas por la divisin de alertas tempranas, con el fin de identificar
riesgos efectivos. Esta divisin afinar la base estadstica de amenazas convirtindolas en riesgos y
generando las alertas acerca de aquellos riesgos que podran impactar de mayor manera la seguridad
nacional. Estos estudios contribuirn con la elaboracin de diagnsticos sobre la situacin real del pas
en materia de seguridad informtica. Adicionalmente, esta Divisin se encargar todo lo relacionado
con capacitacin y entrenamiento tanto al interior del CIRTISI como hacia los diferentes entes del
Gobierno. Asimismo, administrar y distribuir entre las entidades nacionales competentes las ofertas
de cooperacin, asistencia y capacitacin en nuevas tecnologas y manejo de incidentes de seguridad
informtica.
Divisin de Respuesta a Incidentes: La Divisin de Respuesta a Incidentes ser el grupo de reaccin

frente a cualquier incidente de seguridad de la informacin que se presente en el sector Gobierno. Esta
divisin estar a cargo de los mecanismos de comunicacin nicos nacionales que atenderan y
manejaran los requerimientos de incidentes. Adicionalmente, los funcionarios de esta divisin podrn
interactuar con las entidades con funciones de polica judicial en el desarrollo de investigaciones
informticas ofreciendo apoyo tcnico y especializado. Asimismo, el CIRTISI pondra a disposicin de
dichas entidades las estadsticas sobre investigaciones informticas a nivel nacional. Inicialmente,
contar con la infraestructura necesaria para brindar asistencia de lunes a viernes de 9:00 a 18:00
horas, y en el mediano plazo, a medida que aumente la capacidad y la demanda, entrara a operar en
el modelo 24 horas al da, 7 das a la semana (7/24).
Divisin de Divulgacin y Concienciacin: Esta Divisin ser la nica encargada de proporcionar la

informacin oficial que se derive de las actividades del CIRTISI hacia los medios de comunicacin y la
comunidad en general. Adicionalmente y, como parte de la misin social del CIRTISI, promover la
generacin de conciencia en el adecuado manejo de la seguridad de la informacin.
Las entidades involucradas en su constitucin seran:
Ministerio del Interior y de Justicia
Ministerio de Defensa Nacional
Ministerio de Relaciones Exteriores
Ministerio de Comunicaciones
Ministerio de Comercio, Industria y Turismo
Pgina 169 de 197

Departamento Administrativo de Seguridad (DAS)
Polica Nacional (DIPOL, DIJIN)
Comisin de Regulacin de Telecomunicaciones (CRT)
Direccin Nacional de Planeacin (DNP)
Fiscala General de la Nacin
Cuerpo Tcnico de Investigacin (CTI)
Procuradura General de la Nacin

El CIRTISI Colombia tendra un alcance nacional que abarca el sector Gobierno y brindara apoyo a las
entidades gubernamentales para la prevencin y rpida deteccin, identificacin, manejo y recuperacin
frente a amenazas a la seguridad informtica.
Tambin brindara apoyo tcnico y proporcionara informacin especializada a los cuerpos de polica judicial
y de control en aspectos relacionados con la seguridad informtica. En estos casos, manteniendo reserva
en la informacin reportada a los organismos y teniendo en cuenta las responsabilidades y controles que el
manejo de este tipo de informacin requiere.
El CIRTISI establecera canales de interlocucin con usuarios del sector privado y la academia con el
propsito de ampliar la informacin en materia de tendencias e investigacin. En este sentido, har
seguimiento a los principales dispositivos, aplicaciones y herramientas (hardware, software), a fin de
conocer las vulnerabilidades de los sistemas operativos, alertar y obrar en consecuencia. Adicionalmente,
mantendr una base de datos de incidentes de seguridad, la cual servir para consulta, seguimiento, y
permitir llevar un registro histrico de los mismos.
El CIRTISI brindara capacitacin especializada a las reas tcnicas de las diferentes entidades nacionales.
Teniendo en cuenta que la cooperacin e intercambio de informacin entre equipos de esta naturaleza est
basada en la confianza, el CIRTISI - Colombia estara llamado a constituirse en el punto focal confiable
para organismos similares en el mbito internacional. El CIRTISI entrara en contacto con otros Equipos de
Seguridad existentes en el mundo, y con las organizaciones que los agrupan, y establecera canales
comunicacin permanente para facilitar el intercambio de informacin tcnica, experiencias, metodologas,
procesos, buenas prcticas y otros servicios que ofrecen dichas organizaciones.
Pgina 170 de 197

4.3.6.2. CSIRT Colombia46 (COL CSIRT)

El COL-CSIRT es un grupo de investigacin de la Universidad Distrital Francisco Jos de Caldas que
pretende un marco de operacin nacional y cuyo constituyente estar dado por entidades de educacin
superior y entidades oficiales del estado.
Su objetivo es ofrecer un servicio de soporte a las entidades estatales y de educacin superior, para la
prevencin, deteccin y correccin de los incidentes de seguridad informticos, con los siguientes objetivos
especficos.
Desarrollar una Base de Datos que contenga la informacin concerniente a los diferentes incidentes de
seguridad informticos existentes y las preguntas ms frecuentemente contestadas (FAQ's).
Prestar el soporte sobre Sistemas Operativos Windows y Linux (Unix).
Utilizar la clasificacin taxonmica de los incidentes y ataques con cdigo malicioso propuesta en el
proyecto de maestra en Teleinformtica titulado "ANLISIS DE INCIDENTES RECIENTES DE
SEGURIDAD EN INTERNET 1995 a 2003" para ofrecer una respuesta oportuna, eficaz y eficiente a los
distintos reportes y alertas que se reciban diariamente en el centro de respuesta.
Establecer detalladamente los servicios que prestar el centro de respuesta con respecto a los
incidentes de seguridad informticos.
Integrar la base de datos del Centro de Respuesta a incidentes y ataques con cdigo malicioso, al
portal WEB del COL-CSIRT que est siendo desarrollado por el grupo de investigacin ARQUISOFT de
la Universidad Distrital Francisco Jos de Caldas.
46
Tomado de: http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt. U.A: 2008/09/26.

Publicado por:Universidad Distrital Francisco Jos de Caldas. Autores: Coordinadora: MsC. Zulima Ortiz Bayona.
Docentes asistentes: Ing. Claudia Liliana Bucheli, Mara del Pilar Bohorquez. Estudiantes coordinadores: Erika Tatiana
Luque Melo, Jeffrey Steve Borbn Sanabria, Anthony Molina. Estudiantes investigadores: Lina Rocio Infante, Diego
Alfonso Barrios Contreras, Ivon Carolina Rodrguez Parra, Laura Patricia Ortiz Ortiz, Diego Ivn Arango, Jorge Eduardo
Ibez Seplveda, Edwin Giovanny Gutierrez Ramrez, Jairo Andrs Gmez Monrroy, Rene Alejandro Rangel Segura,
Alvaro Hernando Talero Nio, Daniel Arturo Acosta, Camilo Andrs Alfonso Vargas, Mnica Patricia Basto Guevara,
Wilmer Daniel Galvis, Saira Carvajal, Diana Marcela Cotte Corredor, Luis Francisco Fontalvo Romero, Cristian Camilo
Betancourt Lemus, Rodrigo Cruz Hernndez, Julin Bonilla M, Jorge Gamba V, Giulio Leonardo Aquite Pinzn, Nidia
Marcela Corcovado B, Jorge Andrs Diab, Daniel Felipe Rentera Martnez
Pgina 171 de 197


Prestar el servicio de manejo de incidentes de seguridad informticos, a travs del anlisis de incidentes,
respuesta a los incidentes en l-nea, soporte a la respuesta del incidente y la coordinacin de la respuesta
del incidente.
El grupo est compuesto por una coordinacin, docentes asistentes, estudiantes coordinadores y
estudiantes investigadores.
Colombia
4.3.6.3. Comit Interamericano Contra el Terrorismo de la OEA (CICTE)
En junio de 2004 se llev a cabo un taller para practicantes en materia de seguridad ciberntica del CICTE
sobre la estrategia integral de seguridad ciberntica de la OEA47, y sirvi como marco para establecer una
Red Interamericana CSIRT de vigilancia y alerta.
Su objetivo era crear una red hemisfrica de puntos nacionales de contacto entre equipos de respuesta a
incidentes de seguridad en computadoras (Computer Security Incident Response Teams: CSIRT) con
responsabilidad nacional (CSIRT nacionales), en los Estados Miembros de la OEA, con el mandato y la
capacidad de responder debida y rpidamente a las crisis, incidentes y peligros relacionados con la
seguridad ciberntica.
Estos equipos podran comenzar simplemente como puntos de contacto oficiales en cada uno de los
Estados y estaran a cargo de recibir informacin sobre seguridad ciberntica. En el futuro se convertiran
en un CSIRT.
Reviste importancia creciente la colaboracin mundial y la capacidad de respuesta en tiempo real entre los
equipos. Dicha colaboracin debe permitir lo siguiente:
El establecimiento de CSIRT en cada uno de los Estados Miembros
47
Tomado
de:
http://www.cicte.oas.org/Rev/en/Documents/OAS_GA/AG-RES.%202004%20(XXXIV-O-04)_SP.pdf.
U.A: 2008/09/26. Publicado por: Comit Interamericano Contra el Terrorismo de la OEA. Autor: No determinado.
Pgina 172 de 197

El fortalecimiento de los CSIRT hemisfricos
La identificacin de los puntos de contacto nacionales
La identificacin de los servicios crticos
El diagnstico rpido y preciso del problema
El establecimiento de protocolos y procedimientos para el intercambio de informacin
La pronta diseminacin regional de advertencias sobre ataques
La pronta diseminacin regional de advertencias sobre vulnerabilidades genricas
a difusin de un alerta regional sobre actividades sospechosas y la colaboracin para analizar y

diagnosticar tales actividades
El suministro de informacin sobre medidas para mitigar y remediar los ataques y amenazas
La reduccin de duplicaciones de anlisis entre los equipos
El fortalecimiento de la cooperacin tcnica y la capacitacin en materia de seguridad ciberntica para

establecer los CSIRTs nacionales
La utilizacin de los mecanismos subregionales existentes.
En mayo de 2008 se llev a cabo en la ciudad de Bogot una capacitacin en Fundamentos para creacin
y manejo de un CSIRT organizada por la Secretara del CICTE en coordinacin con la Cancillera y la
Polica Nacional de Colombia (DIJIN), con la participacin de representantes de Bolivia, Chile, Ecuador,
Paraguay, Per, Repblica Dominicana, y Colombia, con responsabilidades tcnicas y/o polticas relativas al
desarrollo de su infraestructura nacional de seguridad ciberntica, incluida la creacin y desarrollo de
Computer Security Incident Response Teams (CSIRT).
Pgina 173 de 197

4.4. DIAGNSTICO 4: INICIATIVAS Y PROGRAMAS NACIONALES DE

SENSIBILIZACIN A LA COMUNIDAD PARA EL USO ADECUADO DE LOS
SERVICIOS ELECTRNICOS
4.4.1. Introduccin
Relacin documental, con descripcin temtica, enlace, vigencia y fuente de la iniciativa o
programas nacionales de sensibilizacin a la comunidad para el uso adecuado de los servicios electrnicos.
4.4.2. Relacin documentada

El avance en Colombia de este tipo de iniciativas es bien incipiente. La bsqueda documental condujo al
hallazgo de publicaciones en Internet de una serie de recomendaciones para el uso de servicios
electrnicos a nivel del sector financiero del cual se incluyen algunos ejemplos y un par de ejemplos del
sector telecomunicaciones, los dos sectores ms golpeados por incidentes de seguridad informtica. En
cuanto a iniciativas, se encontr el proyecto Preprese de Agenda de Conectividad. A continuacin la
relacin de los documentos consultados:
Nombre Documento
PHISHING
Resumen
Enlace documento
Recomendaciones tanto para la empresa

www.asobancaria.com/uploa
como para los clientes sobre los ataques por d/docs/docPub2820_1.pdf
Internet tipo Phishing (pesca de informacin)
que utilizan correos electrnicos mal
intencionados con mensajes inquietantes
para llamar la atencin y sitios en Internet
URLs para
engaar a las personas de manera que
divulguen su informacin financiera como el
nmero de
cuenta, nmeros tarjeta de crdito, nombre y
contrasea de su cuenta, nmero de cdula,
etc..
SEGURIDAD EN EL USO Informacin y recomendaciones de Seguridad http://www.bancodebogota.c

DE LOS MEDIOS Y
al cliente, las cuales le permitan identificar om.co/portal/page?_pageid=
CANALES
posibles situaciones de riesgo y darle guas 793,4216291&_dad=portal&_
sobre como actuar ante ellas en los servicios schema=PORTAL
de Internet, banca mvil, cajeros
automticos, servilnea y call center, tarjetas
y seguridad fsica en oficinas
Pgina 174 de 197
Vigencia y
Aplicacin
Fuente
2004/11/01
Asociacin
Bancaria y de
Entidades
Financieras de
Colombia Asobancaria
No Aplica
Banco de
Bogot

Nombre Documento
Resumen
Enlace documento
Vigencia y
Aplicacin
Fuente
No Aplica.
Empresa de
Telecomunicaci
ones de
Bogot ETB
E.S.P.
No Aplica.
Grupo
Bancolombia
CONSEJOS PARA
TENER SIEMPRE
PRESENTES
Consejos para los clientes en cuanto al

http://suite.etb.net.co/seguri
manejo del correo electrnico, navegacion en dad/tips_seguridad.asp
internet, mensajera instantnea, Chat,
comercio electrnico y entidades bancarias,
juegos en lnea, etc.
SEGURIDAD EN LAS
TRANSACCIONES, UN
COMPROMISO
COMPARTIDO ENTRE
BANCOLOMBIA Y SUS
CLIENTES
Recomendaciones de seguridad para que los http://www.grupobancolombi

clientes estn alertas a la hora de utilizar los a.com/personal/informacionE
servicios del banco como: Tarjetas, cajero mpresarial/aprendaSeguridad
electrnicos, Internet y seguridad en oficinas. /cajeroAutomaticos/index.asp
?opcion=op1
BIENVENIDO A LA
CAPACITACION
VIRTUAL
Presentacin y acceso a los mdulos de

http://preparese.agenda.gov. 2007/11/01
capacitacin virtual en los temas de: Gestin co/
del Cambio y Servicio al Cliente, Gerencia
de Proyectos de Tecnologa, Seguridad
Informtica y Mejores Prcticas en la Gestin
de Tecnologa, Arquitectura Orientada a
Servicios SOA y Plataforma de
Interoperabilidad
EL "PRESTAR EL
NOMBRE" ES UNA
PRCTICA INDEBIDA
QUE UTILIZAN LOS
FRAUDULENTOS PARA
ADQUIRIR NUESTROS
SERVICIOS
Recomendaciones a los clientes para prevenir www.telefonica.com.pe/notici

fraudes ya que los delincuentes utilizan
as/pdf/servicios.pdf
identidades falsas ocasionando que al cliente
se le incremente la cuenta telefnica o le
involucran en servicios no solicitados.
No Aplica.
Ministerio de
Comunicacione
s de Colombia
Proyecto
Preprese de
Agenda de
Conectividad.
Telefnica S.A.
4.4.3. Conclusiones
La bsqueda en cuanto a iniciativas nacionales en temas de sensibilizacin a la comunidad en el uso
adecuado de las tecnologas permite establecer que los avances en este aspecto en Colombia son tenues
por no decir nulos. Las entidades que ms han desarrollado esfuerzos sobre el particular son las entidades
del sector financiero y las de las telecomunicaciones en razn a que el fraude es uno de sus riesgos
inherentes y que han sido vctimas de ataques informticos. Dichas iniciativas tienen por limitante que slo
llegan al universo de clientes y usuarios de los servicios de cada una de dichas entidades.
En cuanto al proyecto Preprese desarrollado por Agenda de Conectividad, es un esfuerzo ms orientado
a la difusin de conocimientos tcnicos que a campaas de sensibilizacin, aunque su diseo puede
tomarse como base para el desarrollo de campaas de toma de conciencia en seguridad de la informacin,
un reto bien importante que enfrenta Gobierno en Lnea y que puede ser el diferenciador para que el
modelo de seguridad definido por la consultora se implemente de manera exitosa.
Pgina 175 de 197

5. TERMINOLOGA48
A
Accin correctiva: (Ingls: Corrective action). Medida de tipo reactivo orientada a eliminar la causa de una
no-conformidad asociada a la implementacin y operacin del SGSI con el fin de prevenir su repeticin.
Accin preventiva: (Ingls: Preventive action). Medida de tipo pro-activo orientada a prevenir potenciales
no-conformidades asociadas a la implementacin y operacin del SGSI.
Accreditation body: Vase: Entidad de acreditacin.
Aceptacin del Riesgo: (Ingls: Risk acceptance). Segn [ISO/IEC Gua 73:2002]: Decisin de aceptar un
riesgo.
Activo: (Ingls: Asset). En relacin con la seguridad de la informacin, se refiere a cualquier informacin o
sistema relacionado con el tratamiento de la misma que tenga valor para la organizacin. Segn [ISO/IEC
13335-1:2004]: Cualquier cosa que tiene valor para la organizacin.
Alcance: (Ingls: Scope). mbito de la organizacin que queda sometido al SGSI. Debe incluir la
identificacin clara de las dependencias, interfaces y lmites con el entorno, sobre todo si slo incluye una
parte de la organizacin.
Alerta: (Ingls: Alert). Una notificacin formal de que se ha producido un incidente relacionado con la
seguridad de la informacin que puede evolucionar hasta convertirse en desastre.
Amenaza: (Ingls: Threat). Segn [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el
cual puede causar el dao a un sistema o la organizacin.
48
Crditos, glosario tomado de www.iso27000.es. Permisos solicitados.
Pgina 176 de 197

Anlisis de riesgos: (Ingls: Risk analysis). Segn [ISO/IEC Gua 73:2002]: Uso sistemtico de la
informacin para identificar fuentes y estimar el riesgo.
Anlisis de riesgos cualitativo: (Ingls: Qualitative risk analysis). Anlisis de riesgos en el que se usa una
escala de puntuaciones para situar la gravedad del impacto.
Anlisis de riesgos cuantitativo: (Ingls: Quantitative risk analysis). Anlisis de riesgos en funcin de las
prdidas financieras que causara el impacto.
Asset: Vase: Activo.
Assets inventory: Vase: Inventario de activos.
Audit: Vase: Auditora.
Auditor: (Ingls: Auditor). Persona encargada de verificar, de manera independiente, la calidad e
integridad del trabajo que se ha realizado en un rea particular.
Auditor de primera parte: (Ingls: First party auditor). Auditor interno que audita la organizacin en
nombre de ella misma. En general, se hace como mantenimiento del sistema de gestin y como
preparacin a la auditora de certificacin.
Auditor de segunda parte: (Ingls: Second party auditor). Auditor de cliente, es decir, que audita una
organizacin en nombre de un cliente de la misma. Por ejemplo, una empresa que audita a su proveedor
de outsourcing.
Auditor de tercera parte: (Ingls: Third party auditor). Auditor independiente, es decir, que audita una
organizacin como tercera parte independiente. Normalmente, porque la organizacin tiene la intencin de
lograr la certificacin.
Auditor jefe: (Ingls: Lead auditor). Auditor responsable de asegurar la conduccin y realizacin eficiente y
efectiva de la auditora, dentro del alcance y del plan de auditora aprobado por el cliente.
Auditora: (Ingls: Audit). Proceso planificado y sistemtico en el cual un auditor obtiene evidencias
objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una
organizacin.
Autenticacin: (Ingls: Authentication). Proceso que tiene por objetivo asegurar la identificacin de una
persona o sistema.
Authentication: Vase: Autenticacin.
Availability: Vase: Disponibilidad.
Pgina 177 de 197

B
BS7799: Estndar britnico de seguridad de la informacin, publicado por primera vez en 1995. En 1998,
fue publicada la segunda parte. La parte primera es un conjunto de buenas prcticas para la gestin de la
seguridad de la informacin -no es certificable- y la parte segunda especifica el sistema de gestin de
seguridad de la informacin -es certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la
parte segunda de ISO 27001. Como tal estndar, ha sido derogado ya, por la aparicin de estos ltimos.
BSI: British Standards Institution. Comparable al AENOR espaol, es la Organizacin que ha publicado la
serie de normas BS 7799, adems de otros varios miles de normas de muy diferentes mbitos.
Business Continuity Plan: Vase: Plan de continuidad del negocio.
C
CERT (Computer Emergency Response Team): Equipo de Respuesta a Emergencias Computacionales
(Marca registrada por la Universidad Carnegie - Melon).
Certification body: Vase: Entidad de certificacin.
CIA: Acrnimo ingls de confidencialidad, integridad y disponibilidad, los parmetros bsicos de la
CID: Acrnimo espaol de confidencialidad, integridad y disponibilidad, los parmetros bsicos de la
CCEB: Criterio Comn para la Seguridad de Tecnologa de Informacin.
Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los
objetivos de la auditora, sirve de evidencia del plan de auditora, asegura su continuidad y profundidad y
reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas tambin se pueden utilizar
durante la implantacin del SGSI para facilitar su desarrollo.
Clear desk policy: Vase: Poltica de escritorio despejado.
CobiT: Control Objectives for Information and related Technology. Publicados y mantenidos por ISACA. Su
misin es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnologa de
Informacin rectores, actualizados, internacional y generalmente aceptados para ser empleados por
gerentes de empresas y auditores.
Pgina 178 de 197

Cdigo malicioso (Malicious Code, Malware): Cubre virus, gusanos, y Troyanos electrnicos. Se pueden
distribuir a travs de varios mtodos incluyendo el email, Web site, shareware / freeware y de otros
medios tales como material promocional.
Compromiso de la Direccin: (Ingls: Management commitment). Alineamiento firme de la Direccin de la
organizacin con el establecimiento, implementacin, operacin, monitorizacin, revisin, mantenimiento y
mejora del SGSI.
Confidencialidad: (Ingls: Confidenciality). Acceso a la informacin por parte nicamente de quienes estn
autorizados. Segn [ISO/IEC 13335-1:2004]:" caracterstica/propiedad por la que la informacin no est
disponible o revelada a individuos, entidades, o procesos no autorizados.
Confidenciality: Vase: Confidencialidad.
Contramedida: (Ingls: Countermeasure). Vase: Control.
Control: Las polticas, los procedimientos, las prcticas y las estructuras organizativas concebidas para
mantener los riesgos de seguridad de la informacin por debajo del nivel de riesgo asumido. (Nota: Control
es tambin utilizado como sinnimo de salvaguarda o contramedida.
Control correctivo: (Ingls: Corrective control). Control que corrige un riesgo, error, omisin o acto
deliberado antes de que produzca prdidas. Supone que la amenaza ya se ha materializado pero que se
corrige.
Control detectivo: (Ingls: Detective control). Control que detecta la aparicin de un riesgo, error, omisin
o acto deliberado. Supone que la amenaza ya se ha materializado, pero por s mismo no la corrige.
Control disuasorio: (Ingls: Deterrent control). Control que reduce la posibilidad de materializacin de una
amenaza, p.ej., por medio de avisos disuasorios.
Control preventivo: (Ingls: Preventive control). Control que evita que se produzca un riesgo, error,
omisin o acto deliberado. Impide que una amenaza llegue siquiera a materializarse.
Control selection: Vase: Seleccin de controles.
Corrective action: Vase: Accin correctiva.
Corrective control: Vase: Control correctivo.
COSO: Committee of Sponsoring Organizations of the Treadway Commission. Comit de Organizaciones
Patrocinadoras de la Comisin Treadway. Se centra en el control interno, especialmente el financiero. En
Colombia este estndar fue utilizado para realizar el estndar de control interno MECI.
Countermeasure: Contramedida. Vase: Control.
Pgina 179 de 197

CSIRT (Computer Security Incident Response Team): Equipo de Respuesta a Incidentes de Seguridad
Computacional
D
Declaracin de aplicabilidad: (Ingls: Statement of Applicability; SOA). Documento que enumera los
controles aplicados por el SGSI de la organizacin -tras el resultado de los procesos de evaluacin y
tratamiento de riesgos- adems de la justificacin tanto de su seleccin como de la exclusin de controles
incluidos en el anexo A de la norma.
Denial of service: Vase: Negacin de Servicios.
Desastre: (Ingls: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las
operaciones o servicios habituales de una organizacin durante el tiempo suficiente como para verse la
misma afectada de manera significativa.
Detective control: Vase: Control detectivo.
Deterrent control: Vase: Control disuasorio.
Directiva: (Ingls: Guideline). Segn [ISO/IEC 13335-1:2004]: una descripcin que clarifica qu debera ser
hecho y cmo, con el propsito de alcanzar los objetivos establecidos en las polticas.
Disaster: Vase: Desastre.
Disponibilidad: (Ingls: Availability). Acceso a la informacin y los sistemas de tratamiento de la misma por
parte de los usuarios autorizados cuando lo requieran. Segn [ISO/IEC 13335-1:2004]: caracterstica o
propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada.
E
Entidad de acreditacin: (Ingls: Accreditation body). Un organismo oficial que acredita a las entidades
certificadoras como aptas para certificar segn diversas normas. Suele haber una por pas. Son ejemplos
de entidades de acreditacin: ENAC (Espaa), UKAS (Reino Unido), EMA (Mxico), OAA (Argentina)...
Entidad de certificacin: (Ingls: Certification body). Una empresa u organismo acreditado por una entidad
de acreditacin para auditar y certificar segn diversas normas (ISO 27000, ISO 9000, ISO 14000, etc.) a
empresas usuarias de sistemas de gestin.
Pgina 180 de 197

ESF: Foro europeo de seguridad, en el que cooperan ms de 70 multinacionales fundamentalmente

europeas con el objeto de llevar a cabo investigaciones relativas a los problema comunes de seguridad y
control en TI.
Evaluacin de riesgos: (Ingls: Risk evaluation). Segn [ISO/IEC Gua 73:2002]: proceso de comparar el
riesgo estimado contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo.
Evento: (Ingls: information security event). Segn [ISO/IEC TR 18044:2004]: Suceso identificado en un
sistema, servicio o estado de la red que indica una posible brecha en la poltica de seguridad de la
informacin o fallo de las salvaguardias, o una situacin anterior desconocida que podra ser relevante para
la seguridad.
Evidencia objetiva: (Ingls: Objective evidence). Informacin, registro o declaracin de hechos, cualitativa
o cuantitativa, verificable y basada en observacin, medida o test, sobre aspectos relacionados con la
confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e implementacin
de un elemento del sistema de seguridad de la informacin.
F
Fase 1 de la auditora: Fase en la que, fundamentalmente a travs de la revisin de documentacin, se
analiza en SGSI en el contexto de la poltica de seguridad de la organizacin, sus objetivos, el alcance, la
evaluacin de riesgos, la declaracin de aplicabilidad y los documentos principales, estableciendo un marco
para planificar la fase 2.
Fase 2 de la auditora: Fase en la que se comprueba que la organizacin se ajusta a sus propias polticas,
objetivos y procedimientos, que el SGSI cumple con los requisitos de ISO 27001 y que est siendo efectivo.
FIRST (Forum of Incident Response and Security Teams): Foro global de Equipos de Respuesta a
Incidentes y Seguridad.
First party auditor: Vase: Auditor de primera parte.
G
Gestin de claves: (Ingls: Key management). Controles referidos a la gestin de claves criptogrficas.
Gestin de riesgos: (Ingls: Risk management). Proceso de identificacin, control y minimizacin o
eliminacin, a un coste aceptable, de los riesgos que afecten a la informacin de la organizacin. Incluye la
valoracin de riesgos y el tratamiento de riesgos. Segn [ISO/IEC Gua 73:2002]: actividades coordinadas
para dirigir y controlar una organizacin con respecto al riesgo.
Pgina 181 de 197

Guideline: Vase: Directiva.
H
Hacking: Es el trmino que cubre cualquier tentativa de tener acceso desautorizado a un sistema
informtico.
Humphreys, Ted: Experto en seguridad de la informacin y gestin del riesgo, considerado "padre" de las
normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002.
I
I4: Instituto Internacional para la Integridad de la Informacin, asociacin similar a la ESF, con metas
anlogas y con sede principal en los EE.UU. Es manejado por el Instituto de Investigacin de Standford.
IBAG: Grupo asesor de empresas de Infosec, representantes de la industria que asesoran al Comit de
Infosec. Este comit est integrado por funcionarios de los gobiernos de la Comunidad Europea y brinda su
asesoramiento a la Comisin Europea en asuntos relativos a la seguridad de TI.
IEC: International Electrotechnical Commission. Organizacin internacional que publica estndares
relacionados con todo tipo de tecnologas elctricas y electrnicas.
IIA: Instituto de Auditores Internos.
Impacto: (Ingls: Impact). El coste para la empresa de un incidente -de la escala que sea-, que puede o
no ser medido en trminos estrictamente financieros -p.ej., prdida de reputacin, implicaciones legales,
etc.
Impact: Vase: Impacto.
Incidente: Segn [ISO/IEC TR 18044:2004]: Evento nico o serie de eventos de seguridad de la

informacin inesperados o no deseados que poseen una probabilidad significativa de comprometer las
operaciones del negocio y amenazar la seguridad de la informacin. Algunos ejemplos comunes son:
o
Spam: Envo de correo masivo no solicitado.
Tomar el control de la computadora del alguien diferente usando un virus informtico, un error
del software, un Troyano, etc.
Pgina 182 de 197

Negacin del servicio de la computadora o de la red.
Infraccin de copyright: msica, pelculas, programas de computadora, etc.
Phishing: Generalmente enviando correos electrnicos que intentan inducir a brindar datos
importantes.
Pharming: Redirigir trfico de la red de un servidor a otra red controlada para descubrir cdigos
de acceso o informacin confidencial.
Information processing facilities: Vase: Servicios de tratamiento de informacin.

Information Systems Management System: Vase: SGSI.
Information security: Vase: Seguridad de la informacin.
INFOSEC: Comit asesor en asuntos relativos a la seguridad de TI de la Comisin Europea.
Integridad: (Ingls: Integrity). Mantenimiento de la exactitud y completitud de la informacin y sus
mtodos de proceso. Segn [ISO/IEC 13335-1:2004]: propiedad/caracterstica de salvaguardar la exactitud
y completitud de los activos.
Integrity: Vase: Integridad.
Inventario de activos: (Ingls: Assets inventory). Lista de todos aquellos recursos (fsicos, de informacin,
software, documentos, servicios, personas, reputacin de la organizacin, etc.) dentro del alcance del
SGSI, que tengan valor para la organizacin y necesiten por tanto ser protegidos de potenciales riesgos.
IRCA: International Register of Certified Auditors. Acredita a los auditores de diversas normas, entre ellas
ISO 27001.
ISACA: Information Systems Audit and Control Association. Publica CobiT y emite diversas acreditaciones
en el mbito de la seguridad de la informacin.
ISACF: Fundacin de Auditora y Control de Sistemas de Informacin.
ISC2: Information Systems Security Certification Consortium, Inc. Organizacin sin nimo de lucro que
emite diversas acreditaciones en el mbito de la seguridad de la informacin.
ISMS: Information Systems Management System. Vase: SGSI.
Pgina 183 de 197

ISO: Organizacin Internacional de Normalizacin, con sede en Ginebra (Suiza). Es una agrupacin de
organizaciones nacionales de normalizacin cuyo objetivo es establecer, promocionar y gestionar
estndares.
ISO 17799: Cdigo de buenas prcticas en gestin de la seguridad de la informacin adoptado por ISO
transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el
1 de Julio de 2007.
ISO 19011: Guidelines for quality and/or environmental management systems auditing. Gua de utilidad
para el desarrollo de las funciones de auditor interno para un SGSI.
ISO 27001: Estndar para sistemas de gestin de la seguridad de la informacin adoptado por ISO
transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicacin en 2005.
ISO 27002: Cdigo de buenas prcticas en gestin de la seguridad de la informacin (transcripcin de ISO
17799). No es certificable. Cambio de oficial de nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1
de Julio de 2007.
ISO 9000: Normas de gestin y garanta de calidad definidas por la ISO.
ISO/IEC TR 13335-3: Information technology . Guidelines for the management of IT Security .Techniques
for the management of IT Security. Gua de utilidad en la aplicacin de metodologas de evaluacin del
riesgo.
ISO/IEC TR 18044: Information technology . Security techniques . Information security incident
management Gua de utilidad para la gestin de incidentes de seguridad de la informacin.
ISSA: Information Systems Security Association.
ISSAP: Information Systems Security Architecture Professional. Una acreditacin de ISC2.
ISSEP: Information Systems Security Engineering Professional. Una acreditacin de ISC2.
ISSMP: Information Systems Security Management Professional. Una acreditacin de ISC2.
ITIL: IT Infrastructure Library. Un marco de gestin de los servicios de tecnologas de la informacin.
ITSEC: Criterios de evaluacin de la seguridad de la tecnologa de informacin. Se trata de criterios
unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. Tambin cuentan con el respaldo
de la Comisin Europea (vase tambin TCSEC, el equivalente de EEUU).
Pgina 184 de 197

J
JTC1: Joint Technical Committee. Comit tcnico conjunto de ISO e IEC especfico para las TI.
K
Key management: Vase: Gestin de claves.
L
Lead auditor: Vase: Auditor jefe.
M
Major nonconformity: Vase: No conformidad grave.
Malware: Vase: Cdigo malicioso.
Management commitment: Vase: Compromiso de la Direccin.
N
NBS: Oficina Nacional de Normas de los EE.UU.
Negacin del Servicio (Denial of Service DoS): Los ataques de negacin del servicio se disean
generalmente para obstruir sistemas informticos de red con una inundacin de trfico en la red. Esta
inundacin del trfico tiene a menudo el efecto de negar el acceso al sistema informtico para los usuarios
legtimos. El trfico indeseado se genera a menudo usando los sistemas informticos inocentes conocidos
como zombis, que se ha infectado previamente con cdigo malvolo.
NIST: (ex NBS) Instituto Nacional de Normas y Tecnologa, con sede en Washington, D.C.
No conformidad: (Ingls: Nonconformity). Situacin aislada que, basada en evidencias objetivas,
demuestra el incumplimiento de algn aspecto de un requerimiento de control que permita dudar de la
Pgina 185 de 197

adecuacin de las medidas para preservar la confidencialidad, integridad o disponibilidad de informacin

sensible, o representa un riesgo menor.
No conformidad grave: (Ingls: Major nonconformity). Ausencia o fallo de uno o varios requerimientos de
la ISO 27001 que, basada en evidencias objetivas, permita dudar seriamente de la adecuacin de las
medidas para preservar la confidencialidad, integridad o disponibilidad de informacin sensible, o
representa un riesgo inaceptable.
Nonconformity: Vase: No conformidad.
O
Objective evidence: Vase: Evidencia objetiva.
Objetivo: (Ingls: Objetive). Declaracin del resultado o fin que se desea lograr mediante la
implementacin de procedimientos de control en una actividad de TI determinada.
OCDE: Organizacin de Cooperacin y Desarrollo Econmico. Tiene publicadas unas guas para la
P
PDCA: Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar
(establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y
actuar (mantener y mejorar el SGSI).
Plan de continuidad del negocio: (Ingls: Bussines Continuity Plan). Plan orientado a permitir la
continuacin de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en
peligro.
Plan de tratamiento de riesgos: (Ingls: Risk treatment plan). Documento de gestin que define las
acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la informacin inaceptables
e implantar los controles necesarios para proteger la misma.
Poltica de seguridad: (Ingls: Security policy). Documento que establece el compromiso de la Direccin y
el enfoque de la organizacin en la gestin de la seguridad de la informacin. Segn [ISO/IEC
27002:2005]: intencin y direccin general expresada formalmente por la Direccin.
Pgina 186 de 197

Poltica de escritorio despejado: (Ingls: Clear desk policy). La poltica de la empresa que indica a los
empleados que deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso al
finalizar el da.
Preventive action: Vase: Accin preventiva.
Preventive control: Vase: Control preventivo.
Q
Qualitative risk analysis: Vase: Anlisis de riesgos cualitativo.
Quantitative risk analysis: Vase: Anlisis de riesgos cuantitativo.
R
Residual Risk: Vase: Riesgo Residual.
Riesgo: (Ingls: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una prdida o dao en un activo de informacin. Segn [ISO Gua 73:2002]: combinacin de la
probabilidad de un evento y sus consecuencias.
Riesgo Residual: (Ingls: Residual Risk). Segn [ISO/IEC Gua 73:2002] El riesgo que permanece tras el
tratamiento del riesgo.
Risk: Vase: Riesgo.
Risk acceptance: Vase: Aceptacin del riesgo.
Risk analysis: Vase: Anlisis de riesgos.
Risk assessment: Vase: Valoracin de riesgos.
Risk evaluation: Vase: Evaluacin de riesgos.
Risk management: Vase: Gestin de riesgos.
Risk treatment: Vase: Tratamiento de riesgos.
Pgina 187 de 197

Risk treatment plan: Vase: Plan de tratamiento de riesgos.
S
Safeguard: Salvaguardia. Vase: Control.
Salvaguardia: (Ingls: Safeguard). Vase: Control.
Sarbanes-Oxley: Ley de Reforma de la Contabilidad de Compaas Pblicas y Proteccin de los Inversores
aplicada en EEUU desde 2002. Crea un consejo de supervisin independiente para supervisar a los
auditores de compaas pblicas y le permite a este consejo establecer normas de contabilidad as como
investigar y disciplinar a los contables. Tambin obliga a los responsables de las empresas a garantizar la
seguridad de la informacin financiera.
Scope: Vase: Alcance.
Second party auditor: Vase: Auditor de segunda parte.
Security Policy: Vase: Poltica de seguridad.
Segregacin de tareas: (Ingls: Segregation of duties). Reparto de tareas sensibles entre distintos
empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por
negligencia.
Segregation of duties: Vase: Segregacin de tareas.
Seguridad de la informacin: Segn [ISO/IEC 27002:2005]: Preservacin de la confidencialidad, integridad
y disponibilidad de la informacin; adems, otras propiedades como autenticidad, responsabilidad, no
repudio y fiabilidad pueden ser tambin consideradas.
Seleccin de controles: Proceso de eleccin de los controles que aseguren la reduccin de los riesgos a un
nivel aceptable.
SGSI: (Ingls: ISMS). Sistema de Gestin de la Seguridad de la Informacin. Segn [ISO/IEC 27001:2005]:
la parte de un sistema global de gestin que, basado en el anlisis de riesgos, establece, implementa,
opera, monitoriza, revisa, mantiene y mejora la seguridad de la informacin. (Nota: el sistema de gestin
incluye una estructura de organizacin, polticas, planificacin de actividades, responsabilidades,
procedimientos, procesos y recursos.)
Servicios de tratamiento de informacin: (Ingls: Information processing facilities). Segn [ISO/IEC
27002:2005]: cualquier sistema, servicio o infraestructura de tratamiento de informacin o ubicaciones
fsicas utilizados para su alojamiento.
Pgina 188 de 197

Sistema de Gestin de la Seguridad de la Informacin: (Ingls: Information Systems Management System).

Ver SGSI.
SOA: Statement of Applicability. Vase: Declaracin de aplicabilidad.
SSCP: Systems Security Certified Practitioner. Una acreditacin de ISC2.
Statement of Applicability: Vase: Declaracin de aplicabilidad.
T
TCSEC: Criterios de evaluacin de la seguridad de los sistemas de computacin, conocidos tambin con el
nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los
EE.UU. Vase tambin ITSEC, el equivalente europeo.
TERENA (Trans-European Research and Education Networking Association): Una organizacin europea que
soporta la Internet y las actividades y servicios sobre la infraestructura con la comunidad acadmica.
TF-CSIRT: Foro internacional para la cooperacin en CSIRT a nivel Europeo. Consiste en 2 grupos, uno
cerrado accessible solo para equipos acreditados y uno abierto acesible a cualquier persona interesada en
CSIRT. TF-CSIRT es una de las actividades de la organizacin internacional TERENA.
Third party auditor: Vase: Auditor de tercera parte.
Threat: Vase: Amenaza.
TickIT: Gua para la Construccin y Certificacin del Sistema de Administracin de Calidad del Software.
Tratamiento de riesgos: (Ingls: Risk treatment). Segn [ISO/IEC Gua 73:2002]: Proceso de seleccin e
implementacin de medidas para modificar el riesgo.
V
Valoracin de riesgos: (Ingls: Risk assessment). Segn [ISO/IEC Gua 73:2002]: Proceso completo de
anlisis y evaluacin de riesgos.
Pgina 189 de 197

Vulnerabilidad: (Ingls: Vulnerability). Debilidad en la seguridad de la informacin de una organizacin que

potencialmente permite que una amenaza afecte a un activo. Segn [ISO/IEC 13335-1:2004]: debilidad de
un activo o conjunto de activos que puede ser explotado por una amenaza.
Vulnerability: Vase: Vulnerabilidad.
W
WG1, WG2, WG3, WG4, WG5: WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomit SC27 de JTC1
(Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del desarrollo de los
estndares relacionados con tcnicas de seguridad de la informacin.
Pgina 190 de 197

6. APNDICES
Anexo 1
Mapa de Interrelacin de Estndares de Seguridad de la Informacin
En formato electrnico ver documentacin CDROM:

Anexo 2
ACTO LEGISLATIVO 01 DE 2003.pdf
Anexo 3
ACUERDO 184 DE 2005.pdf
Anexo 4
Acuerdos.pdf
Anexo 5
AG RES 2004 XXXIV004.pdf
Anexo 6
ARTICULO 583.pdf
Anexo 7
CNUDM COMERCIO ELECTRONICO.pdf
Anexo 8
CODIGO CONTENCIOSO ADMINISTRATIVO.pdf
Anexo 9
CONPES 203072.pdf
Anexo 10
CONST. POLITICA DE COLOMBIA 1991.pdf
Anexo 11
Const. Portuguesa de 2 abril 76.pdf
Anexo 12
CONSTITUCION POLITICA DE COLOMBIA 1991.pdf
Anexo 13
Constitucin Espaola de 1978.pdf
Anexo 14
CONVENCION AMERICANA SOBRE DERECHOS HUMANOS.pdf
Anexo 15
CONVENIO N 108 DEL CONSEJO.pdf
Pgina 191 de 197

Anexo 16
CORTE SUPREMA DE JUSTICIA.pdf
Anexo 17
Decisin 638.pdf
Anexo 18
Decisin CAN 638.pdf
Anexo 19
Decisin CAN 691.pdf
Anexo 20
Declaracin Universal de los Derechos humanos.pdf
Anexo 21
DECRETO 1151 DE 2008.pdf
Anexo 22
Anexo 23
Anexo 24
Anexo 25
Anexo 26
Anexo 27
Anexo 28
Anexo 29
Decreto 2170 de 2002..pdf
Anexo 30
Anexo 31
Anexo 32
Anexo 33
Anexo 34
Anexo 35
Anexo 36
Anexo 37

Pgina 192 de 197

Anexo 38
Anexo 39
Anexo 40
Anexo 41
DECRETO No. 300 DE 1997.pdf
Anexo 42
DECRETO No. 4110 DE 2004.pdf
Anexo 43
DECRETO NUMERO 2110 DE 1992.pdf
Anexo 44
DIRECTIVA 2006 24 CE.pdf
Anexo 45
DIRECTIVA 95.pdf
Anexo 46
Directrices De-Proteccion de Datos de la ONU.pdf
Anexo 47
LEY 25326.pdf
Anexo 48
LEY 1065 DE 2006.pdf
Anexo 49
Anexo 50
Anexo 51
Anexo 52
Anexo 53
Anexo 54
LEY 178 DE 1994.pdf
Anexo 55
LEY 190 DE 1995.pdf
Anexo 56
LEY 23 DE 1981.pdf
Anexo 57
LEY 23 DE 1982.pdf
Anexo 58
LEY 252 DE 1991.pdf
Anexo 59
Ley 252 de 1995.pdf

Pgina 193 de 197

Anexo 60
Ley 25326.pdf
Anexo 61
Ley 256 de 1996.pdf
Anexo 62
LEY 270 DE 1996.pdf
Anexo 63
LEY 30 DE 1986.pdf
Anexo 64
LEY 43 DE 1990.pdf
Anexo 65
LEY 489 DE 1998.pdf
Anexo 66
LEY 52 DE 1990.pdf
Anexo 67
LEY 527 DE 1991.pdf
Anexo 68
LEY 527 DE 1999.pdf
Anexo 69
LEY 550 DE 1999.pdf
Anexo 70
LEY 555 DE 2000.pdf
Anexo 71
LEY 588 DE 2000.pdf
Anexo 72
LEY 594 DE 2000.pdf
Anexo 73
LEY 598 DE 2000.pdf
Anexo 74
LEY 599 DE 2000.pdf
Anexo 75
LEY 679 DE 2001.pdf
Anexo 76
LEY 766 DE 2002.pdf
Anexo 77
LEY 79 DE 1993.pdf
Anexo 78
LEY 794 DE 2003.pdf
Anexo 79
LEY 872 DE 2003.pdf
Anexo 80
LEY 892 DE 2004.pdf
Anexo 81
LEY 909 DE 2004.pdf

Pgina 194 de 197

Anexo 82
LEY 96 DE 1985.pdf
Anexo 83
LEY 962 DE 2005.pdf
Anexo 84
LEY 964 DE 2005.pdf
Anexo 85
LEY 970 DE 2005.pdf
Anexo 86
LEY DE LIBERTAD DE INFORMACION.pdf
Anexo 87
LEY ESTATUTARIA 221 DE 2006.pdf
Anexo 88
LEY MODELO DE LA CNUDMI.pdf
Anexo 89
LEY N 19.pdf
Anexo 90
Ley Orgnica 15 de 1999.pdf
Anexo 91
LEY PARA REGULAR LAS SOCIEDADES.pdf
Anexo 92
OCDE.pdf
Anexo 93
Pacto Internacional de Derechos Civiles y Polticos.pdf
Anexo 94
PROYECTO LEY ESTATUTARIA 221 DE 2006.pdf
Anexo 95
REGLAMENTO No. 45 2001.pdf
Anexo 96
RESOLUCION No. 000999 DE 2007.pdf
Anexo 97
RESOLUCIN 1652 DE 2008.pdf
Anexo 98
Anexo 99
Anexo 100
Anexo 101
Rgimen Legal _ Consulta Temtica.pdf
Anexo 102
Sentencia C-662-00.pdf
Anexo 103
SENTENCIA C-692 03.pdf

Pgina 195 de 197

Anexo 104
SENTENCIA C-729 DE 2000.pdf
Anexo 105
Sentencia No. SU 082 95.pdf
Anexo 106
Sentencia No. T-110 93pdf.pdf
Anexo 107
Sentencia No. T-414.pdf
Anexo 108
Sentencia No. T-577.pdf
Anexo 109
Sentencia T 1105 05.pdf
Anexo 110
Sentencia T 729 septiembre 5 de 2002.pdf
Anexo 111
Sentencia T-552-97.pdf
Anexo 112
Tratado de la OMPI sobre derechos de autor.pdf
Anexo 113
UNV. ANDES LEY 527 DE 1999.pdf
Pgina 196 de 197

7. BIBLIOGRAFA
NTC-ISO-IEC 27001, Tecnologa de la Informacin. Tcnicas de Seguridad. Sistemas de gestin

de la seguridad de la informacin (SGSI). Requisitos.
NTC-ISO-IEC 17799, Tecnologa de la informacin. Tcnicas de seguridad. Cdigo de prctica
para la gestin de la seguridad de la informacin.
Manual Directrices de Gestin del Riesgo, complementa la NTC 5254 2006
NTCGP 1000:2004 Norma Tcnica de calidad en la Gestin Pblica.
Modelo Estndar de Control Interno para el Estado Colombiano, MECI 1000:2005.
ISM3 v 2.00 Information Security Management Maturity Model, 2007, ISM3 Consortium.
Cobit Mapping: Mapping of ITIL v 3 with Cobit 4.1, 2008, IT Governance Institute.
The Standard of Good Practice for Information Security, 2007, Information Security Forum.
Estado del arte en modelos de control, seguridad y auditora, Latincacs 2005, Fernando Ferrer
Olivares, CISA.
Estndares de Seguridad de la Informacin, Digiware, Ramiro Merchn P, CISA.
Pgina 197 de 197

GEL IP DiagnosticoSituacionActual

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

GEL IP DiagnosticoSituacionActual

Uploaded by

Copyright:

Available Formats

ENTREGABLE 2: DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE

Bogot, D.C., Octubre de 2008

DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA

FORMATO PRELIMINAR AL DOCUMENTO

ENTREGABLE 2: DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA

Este documento correponde al entregable nmero 2. Diagnstico Situacin

Diagnstico, estndares internacionales, compromisos, mapa interrelacin,

Equipo consultora Digiware

Juan Carlos Alarcon

Ing. Hugo Sin

DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA

DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA

DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA

4.3.2. QU ES UN CSIRT ................................................................................................................................................87

DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA

4.3.5.10.2. Servicios Ofrecidos...................................................................................................................................117

DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA

DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA

4.3.5.31.1. Antecedentes ...........................................................................................................................................149

DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA

DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA

DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA

CERT-CC, Tomado de http://www.cert.org:

SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx:

FIRST. Tomado de: http://www.first.org/

Copyright 1995 - 2006 by FIRST.org, Inc.

ENISA. Tomado de:

DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA

Copyright(C) 2008 APCERT. All rights reserved

Alemania - CERT-Bund. http://www.bsi.bund.de/certbund/

Federal Office for Information Security (BSI). All rights reserved

Arabia Saudita - CERT-SA. http://www.cert.gov.sa/

Copyright 2006 - 2007 | Disclaimer. All Rights Reserved

Australia AusCERT. http://www.auscert.org.au/

Date: Wed, 1 Oct 2008 03:43:58 +0000

DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA

Austria - CERT.at. www.cert.at

Brasil - CERT.br. http://www.cert.br

Canad PSEPC. http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp

Chile CSIRT-GOV. http://www.csirt.gov.cl/

DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA

Chile CLCERT. http://www.clcert.cl

China - CNCERT/CC. http://www.cert.org.cn/english_web/.

Corea del Sur - KrCERT/CC. http://www.krcert.or.kr/

COPYRIGHT KRCERT.OR.KR. ALL RIGHTS RESERVED.

DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA

Dinamarca DK.CERT. https://www.cert.dk/

Emiratos rabes Unidos aeCERT. http://www.aecert.ae/

2007-2008 aeCERT . All rights reserved

Espaa ESCERT. http://escert.upc.edu/index.php/web/es/index.html

Espaa IRIS-CERT. http://www.rediris.es/cert/

Espaa - CCN-CERT. https://www.ccn-cert.cni.es/

2008 Centro Criptolgico Nacional - C/Argentona s/n 28023 MADRID

Espaa - INTECO-CERT. http://www.inteco.es/rssRead/Seguridad/INTECOCERT

DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA

Estados Unidos - US-CERT. http://www.us-cert.gov

Estonia CERT-EE. http://www.ria.ee/?id=28201

Filipinas - PH-CERT. http://www.phcert.org/

Hong Kong HKCERT. http://www.hkcert.org/

Hungra CERT. http://www.cert-hungary.hu/

India - CERT-In. http://www.cert-in.org.in/

Japan - JPCERT/CC. http://www.jpcert.or.jp/

Copyright 1996-2008 JPCERT/CC All Rights Reserved

Mxico UNAM-CERT. http://www.cert.org.mx/index.html