La razón de la creación de los CERT/CSIRT es la cantidad de pérdidas causadas por los virus, las

vulnerabilidades, los casos de acceso no autorizado a información, el robo de información

protegida, etc.
Un CERT o CSIRT recibe, analiza y responde informes de incidentes recibidos desde miembros de
su comunidad (constituency), otros CSIRT, o terceras personas, coordinando la respuesta entre las
partes.
En este aspecto podemos definir los siguientes términos:
• Constituency: Comunidad de la que el CERT/CSIRT es responsable y a la que ofrece sus
servicios
• Incidente de Seguridad: Cualquier evento real o sospechoso relacionado con la seguridad
de un sistema informático o red.

Las funciones, pues, de un CERT/CSIRT son:

• Ayudar al público objetivo (constituency) a atenuar y prevenir incidentes graves de
seguridad.
• Ayudar a proteger informaciones valiosas.
• Coordinar de forma centraliada la seguridad de la información.
• Guardar evidencias, por si hubiera que recurrir a pleitos.
• Apoyar y prestar asistencia a usuarios para recuperarse de las consecuencias de los
incidentes de seguridad.
• Dirigir de forma centralizada la respuesta a los incidentes de seguridad - Promover
confianza, que alguien controla la situación

El equipo de respuesta para emergencias informáticas (esCERT e IRIRS-CERT) es un equipo

creado por el Ministerio de Ciencia y Tecnología a través de la Superintendencia de Servicios de
Certificación Electrónica. En conjunto con la Academia trata de resolver los incidentes informáticos
en la Administración Pública; así como difundir información de cómo neutralizar incidentes, tomar
precauciones para las amenazas de virus que puedan comprometer la disponibilidad y confiabilidad
de las redes. Existen dos equipos en España que provienen del CERT (creado en 1988 por DARPA),
el esCERT y el IRIS-CERT.
Principales daños y agentes de riesgo
• Amenazas de virus que puedan comprometer la disponibilidad y confiabilidad de las redes.
• Códigos en webs que revelan vulnerabilidades en navegadores los cuales son un objetivo
especial debido a su amplia distribución y uso.
• Conseguir información confidencial como contraseñas bancarias.
• Falsificación de documentos vía computarizada (tarjetas de crédito, cheques, etc.)
e. Variación de los activos y pasivos en la situación contable de las empresas.
f. Planeamiento y simulación de delitos convencionales (robo, homicidio, fraude, etc.)
g. Lectura, sustracción o copiado de información confidencial.
h. Modificación de datos tanto en la entrada como en la salida.
i. Aprovechamiento indebido o violación de un código para penetrar a un sistema
introduciendo instrucciones inapropiadas.
j. Variación en cuanto al destino de pequeñas cantidades de dinero hacia una cuenta bancaria
apócrifa.
k. Uso no autorizado de programas de computo.
l. Introducción de instrucciones que provocan "interrupciones" en la lógica interna de los
programas.
m. Alteración en el funcionamiento de los sistemas, a través de los virus informáticos.
n. Obtención de información residual impresa en papel luego de la ejecución de trabajos.
o. Acceso a áreas informatizadas en forma no autorizada.
p. Intervención en las líneas de comunicación de datos o teleproceso.
• Programación de instrucciones que producen un bloqueo total al sistema.
r. Destrucción de programas por cualquier método.
s. Daño a la memoria.
t. Atentado físico contra la máquina o sus accesorios.
u. Sabotaje político o terrorismo en que se destruya o surja un apoderamiento de los centros
neurálgicos computarizados.
v. Secuestro de soportes magnéticos entre los que figure información valiosa con fines de
chantaje (pago de rescate, etc.).
•

¿Cuanto invertir en seguridad informática?

Una de las mayores preocupaciones que tienen los organizadores de los Juegos Olímpicos,
que se celebrarán este verano en Atenas, es la seguridad, pero no solamente la seguridad
física, sino la seguridad de los sistemas informáticos. Los esfuerzos para evitar problemas con
los ordenadores que gestionarán la ingente cantidad de información durante la celebración
podrían equivaler, cuanto menos, a la importancia del evento a nivel mundial.

La información a proteger en unos Juegos Olímpicos es tan valiosa que cualquier esfuerzo para
conseguirlo merece la pena. Sin embargo, a la hora de llevar a cabo una inversión en
seguridad en una empresa, que no suele tener el tamaño de la organización de unos Juegos
Olímpicos, el dinero empleado no siempre va a ser el adecuado para proteger la información.

Por un lado es posible que las inversiones realizadas resulten escasas y, por tanto, ineficaces.
Pero tan absurdo es dejar un sistema insuficientemente protegido como sobreprotegerlo, ya
que en muchos casos es un dinero mal invertido.
A la hora de calibrar el gasto a realizar en una instalación de seguridad informática hay tres
valores que deben ser tenidos en cuenta. En primer lugar, debe conocerse el valor de la
información o de los sistemas que deben protegerse. De todos es sabido que éste es, quizá,
uno de los datos más difíciles de obtener en una empresa. ¿Cuánto vale el know how de la
compañía? O más complicado aún, ¿cuánto vale en este momento el proyecto de un nuevo
producto que está todavía en desarrollo? La cantidad de variables a tener en cuenta es
elevadísima, y en numerosos casos imposibles de cuantificar de una manera objetiva. La mejor
manera de conseguir ese dato es a través de un cálculo indirecto, es decir, medir no las
pérdidas, sino la pérdida de dinero que se derive de la pérdida de la información.

Basta con imaginar, pongamos por caso, cuánto cuesta tener parada una hora la red de una
empresa. Si dividimos la facturación anual de un negocio por el número de horas de
trabajo,podremos tener el coste de tener los servidores parados una hora.

El segundo valor a tener en cuenta es la inversión a realizar en los sistemas de seguridad. En

ningún caso deberá emplearse una cantidad superior al valor en sí de la información a
proteger. Es como intentar guardar un trozo de tela manchada en una caja fuerte, ya que el
valor de compra de una caja fuerte es muy superior al de la tela, por lo que ese sistema de
seguridad no es válido. Sin embargo, si la tela la manchó un tal Leonardo da Vinci y le puso
por título “La Gioconda”, quizá la inversión en medidas de seguridad adicionales merezca la
pena.

Y, por último, hay que medir el coste que le supondría a un atacante conseguir romper las
barreras de seguridad y obtener la información protegida. Este valor debe ser claramente muy
alto, es decir, lograr una determinada información debe ser mucho más costoso que el valor de
la información en sí. De esta manera, estamos colocando una barrera intangible muy difícil de
superar, ya que “si no merece la pena” entrar en un sistema, casi nadie va a intentarlo. O, por
lo menos, se conseguirá disuadir a la inmensa mayoría de atacantes.

Como siempre que se trata de evaluar un riesgo de seguridad, el establecimiento de las bases
de medición es bastante complicado, ya que no existe una métrica perfecta, y aunque la
hubiera debería adaptarse a cada uno de los casos particulares de negocio. De hecho, un
determinado parámetro válido para una visión empresarial es absolutamente distinto para
otra,por muy parecidos que sean los negocios.

Afortunadamente, en nuestra ayuda pueden acudir numerosas expertos en seguridad

informática que con la experiencia y los conocimientos necesarios podrán elaborar una
aproximación muy acertada de las necesidades de seguridad e inversiones a realizar. Por
elcontrario, hacer una política de inversiones en seguridad basándose en personal poco
preparado puede conllevar resultados no deseados.
En definitiva, dejemos la seguridad informática a aquellos que de verdad están inmersos en
ella y conocen el día a día y sus problemas. De esta manera podremos invertir lo necesario en
sistemas, ni más, ni menos.