Manual Básico de Gestión de Incidentes de Seguridad Informática

Manual bsico de:
GESTIN DE INCIDENTES DE
SEGURIDAD INFORMTICA
AMRICA LATINA Y CARIBE
proyecto: amparo
copyright 2012
Lacnic
Rambla Repblica de Mxico 6125
Montevideo C.P. 11400
Uruguay
Phone: + 598 2604 2222
ISBN: 978 - 9974 - 98 - 741 - 8
Edicin 2012
Manual bsico de:

GESTIN DE INCIDENTES DE
SEGURIDAD INFORMTICA
AMRICA LATINA Y CARIBE
proyecto: amparo
001
Acerca de Amparo
Antecedentes
Internet se ha convertido en una herramienta crucial tanto para las compaas como para los individuos. Toda clase de transacciones
sociales y econmicas estn migrando a la red global de manera cada vez ms trivial y casi automtica. Desafortunadamente la
creciente virtualizacin de la economa y de la sociedad tambin trae aparejados desafos significativos. Spam, acceso indebido a
datos confidenciales y robo son solo algunos de los daos cometidos por criminales y terroristas contra organizaciones e instituciones, particularmente en aquellas situadas en pases sin capacidad institucional para protegerse.
Dada esta realidad, resulta muy importante para las organizaciones y tambin para los proveedores de acceso Internet, contar con
mecanismos para evitar y contener actividades abusivas que permiten generar los problemas referidos.
Para contrarrestar estos problemas, uno de los mecanismos utilizados cada vez con mayor frecuencia, es el de contar con un grupo
que a su nivel (empresa, servicio, pas) tenga la capacidad de tratar los incidentes de seguridad de red. Estos grupos son comnmente denominados Equipos de Respuestas a Incidentes de Seguridad de Computadores, o en Ingls Computer Security Incident
Response Team (CSIRT).
Objetivos
Este proyecto busca aumentar la capacidad de prevencin y de respuesta a incidentes de seguridad informtica en la regin de
Amrica Latina y el Caribe a travs de:
1 - El desarrollo de actividades de investigacin aplicada que apoyen los procesos y prioridades regionales promoviendo un ambiente adecuado y sinrgico que contribuya significativamente a resolver los principales aspectos de la problemtica de seguridad
informtica en Amrica Latina y el Caribe;
2 - La promocin de la creacin de CSIRTs a nivel de grandes organizaciones del sector pblico y privado de los diferentes pases de
la regin. Esto implica, sensibilizar a los actores relevantes con capacidad de incidir en la problemtica de seguridad en Internet,
sobre la necesidad de generar acciones inmediatas para su consideracin, entre las que se encuentra, la creacin de marcos normativos, estructuras organizativas de coordinacin y respuesta. Puntos de contacto nacionales y la promocin sistemtica de la investigacin en la temtica;
3 - La construccin de una plataforma regional de capacitacin de expertos en Seguridad Informtica que alimente las distintas
organizaciones relacionadas con esta problemtica en los distintos sectores de la sociedad en nuestros pases;
4 - La contribucin al anlisis sobre los posibles modelos e impactos de la constitucin de un CSIRT Regional que potencie a las
iniciativas en cada pas, provea y mantenga las mejores prcticas y genere una red de confianza para el intercambio de informacin,
frente a la ocurrencia de incidentes.
Resultados esperados
- Una agenda regional de prioridades de investigacin en Seguridad Informtica.
- Creacin de materiales para la capacitacin de expertos en Creacin y Operacin de CSIRT.
- Realizacin de Talleres regionales.
- Realizacin de un Taller regional para Instructores.
- Un curso para Creacin y Operacin de CSIRTs.
- Expertos capacitados en Creacin y Operacin de CSIRTs.
- Expertos capacitados en metodologas y herramientas para la operacin de CSIRTs.
- Capacitacin de Instructores regionales en Creacin y Operacin de CSIRTs.
- Creacin de redes de profesionales de referencia para el intercambio de informacin sobre mejores prcticas y actualizacin CSIRTs
- Financiacin de proyectos de investigacin sobre problemticas de Seguridad.
- Sistematizacin, publicacin y difusin de las mejores prcticas en materia de Seguridad Informtica.
- Estudio sobre posibles modelos, necesidades financieras e impactos de la implantacin de un CSIRT Regional (LAC-Cert).
002
Acerca del Manual:

El presente manual ha sido desarrollado en el marco de las actividades del Pro-yecto AMPARO, una iniciativa
de LACNIC con el apoyo de IDRC de Canad.
El proceso de creacin del mismo ha implicado un gran esfuerzo por parte de un equipo de expertos en el
manejo de incidentes de seguridad, acadmicos de di-versos pases de la regin, de alto reconocimiento
nacional e internacional y personal de LACNIC, e IDRC, con los que nos ha tocado vivir esta primera fase del
Proyecto.
A todos ellos un inmenso agradecimiento, porque han hecho posible la creacin del primer Manual de
Gestin de Incidentes de Seguridad Informtica, que ser puesto a consideracin de la comunidad tcnica
de Amrica Latina y el Caribe.
El material que se ha desarrollado consta del presente Manual, varios Talleres de simulacin de casos,
Presentaciones y otros documentos, los que sern so-metidos de ahora en ms a un proceso de mejora
continua, en el cual esperamos una alta participacin e involucramiento de los excelentes tcnicos de
seguridad que la Regin dispone.
Asimismo el Proyecto AMPARO, en conjunto con muchas otras organizaciones que se han acercado a
colaborar, realizar una serie de Talleres de Entrenamiento Regionales, en los que ste conjunto documental
ser la base de difusin para los instructores expertos en gestin de incidentes. Estamos plenamente
convencidos que tenemos por delante un gran desafo an, que es la difusin del contenido desarrollado, a
las personas que lo necesitan, aquellas que diariamente estn gestionando incidentes de seguridad en las
organiza-ciones de la regin.
Finalmente es necesario tambin agradecer el gran apoyo recibido por parte del personal de LACNIC, que ha
sido fundamental.
Msc. Ing. Eduardo Carozo Blusmztein, CIS
003
Autores del Manual bsico de Gestin de Incidentes de Seguridad Informtica

- Ing. Rubn Aquino Luna, MEXICO
- Ing. Jos Luis Chvez Cortez, GUATEMALA
- Ing. Leonardo Vidal, URUGUAY
- Ing. Lorena Ferreyro, ARGENTINA
- Ec. Ara Alvez Bou, URUGUAY
- Msc. Ing. Eduardo Carozo, URUGUAY
Autores de los Talleres de Gestin de Incidentes

- Ing. Gastn Franco, ARGENTINA
- Ing. Carlos Martinez, URUGUAY
- Ing. Alejandro Hevia, CHILE
- Ing. Felipe Troncoso, CHILE
- Dr. Jeimy Cano, COLOMBIA
- Ing. Andres Almanza, COLOMBIA
Integrantes del Steering Committe del Proyecto AMPARO

- Dr. Ing. Cristine Hoeppers, BRASIL
- Ing. Patricia Prandini, ARGENTINA
- Ing. Indira Moreno, MEXICO
- Ing. Jos Luis Chvez Cortez, GUATEMALA
- Dr. Ing. Alejandro Hevia, CHILE
- Ing. Pablo Carretino, ARGENTINA
- Dr. Jeimy Cano, COLOMBIA
004
Revisin Histrica
Nombre
Fecha
Descripcin de la Revisin
Versin
Jos Luis Chvez Cortez 07/03/10 Integracin inicial.
1.1
Rubn Aquino Luna
09/03/10 Revisin del contenido y su indizacin en el docu-mento.
1.1
Leonardo Vidal
1.1
Lorena Ferreyro
1.1
Ara Alvez Bou
1.1
Eduardo Carozo
17/03/10 Revisin sobre la integracin final del documento.
1.1
Eduardo Carozo
26/07/12 Revisin sobre la integracin final del documento.
1.2
005
NDICE GENERAL
CAPTULO 1
LINEAMIENTOS Y ACCIONES RECOMENDADAS PARA LA FORMACIN DE UN CENTRO DE
RESPUESTA A INCIDENTES DE SEGURIDAD INFORMTICA
1.1 RECOMENDACIONES ORGANIZACIONALES Y NORMATIVAS PARA LA INTEGRACIN DE UN CSIRT
EN LA ORGANIZACIN...................................................................................................................................
1.1.1
Informacin bsica inicial...............................................................................................................
1.1.1.1 Introduccin...................................................................................................................................
1.1.1.2 Qu se protege con un CSIRT?......................................................................................................
1.1.1.3 Alcance...........................................................................................................................................
1.1.1.3.1 Publicando Polticas y Procedimientos CSIRT.................................................................................
1.1.1.3.2 Relaciones entre diferentes CSIRTs................................................................................................
1.1.1.3.3 Estableciendo medios de comunicacin seguros...........................................................................
1.1.1.4 Manejo de informacin, Procedimientos y Polticas......................................................................
1.1.1.4.1 Descripcin de Histrico de Actualizacin del Documento............................................................
1.1.1.4.2 Informacin de Contacto................................................................................................................
1.1.1.4.3 Descripcin del CSIRT.....................................................................................................................
1.1.1.4.4 Polticas..........................................................................................................................................
1.1.1.4.5 Servicios.........................................................................................................................................
1.1.1.4.6 Formas de Noticacin de Incidentes............................................................................................
1.1.1.4.7 Clausula..........................................................................................................................................
1.1.1.5 Personal que integra un CSIRT........................................................................................................
1.1.2
Polticas de Seguridad Informtica.................................................................................................
1.1.2.1 Denicin.......................................................................................................................................
1.1.2.2 Elementos.......................................................................................................................................
1.1.2.3 Parmetros para su establecimiento..............................................................................................
1.1.2.4 Razones que impiden su aplicacin................................................................................................
1.1.2.5 Implementacin, Mantenimiento y Ejecucin................................................................................
1.1.2.6 Polticas recomendadas..................................................................................................................
1.1.3
Gestin de Incidentes.....................................................................................................................
1.1.3.1 Nivel de Prioridad...........................................................................................................................
1.1.3.2 Escalonamiento..............................................................................................................................
1.1.3.3 Proceso...........................................................................................................................................
1.1.3.4 Registro...........................................................................................................................................
1.1.3.5 Clasicacin....................................................................................................................................
1.1.3.6 Anlisis, Resolucin y Cierre...........................................................................................................
1.1.3.7 Control del proceso........................................................................................................................
1.1.3.8 Soporte de Incidentes.....................................................................................................................
015
015
015
016
017
017
018
019
020
020
021
021
022
025
027
027
027
028
029
029
030
030
031
032
037
039
041
042
043
043
044
045
046
006
1.1.4
Recomendaciones para la posible insercin del CSIRT en la organizacin y sus posibles modelos de relacion.............................................................................................................................................
1.1.4.1 Modelos organizacionales CSIRT.....................................................................................................
1.1.4.2 Estudio Organizacional...................................................................................................................
1.1.4.3 Tipos de estructuras organizacionales............................................................................................
1.1.4.3.1 Modelo Funcional..........................................................................................................................
1.1.4.3.2 Modelo Basado en el Producto......................................................................................................
1.1.4.3.3 Basada en los clientes....................................................................................................................
1.1.4.3.4 Hbrida............................................................................................................................................
1.1.4.3.5 Matricial.........................................................................................................................................
1.2 RECOMENDACIONES GENERALES RESPECTO DE LA INFRAESTRUCTURA FSICA NECESARIA EN LAS
ETAPAS INICIALES..........................................................................................................................................
1.2.1
Recomendaciones de Seguridad Fsica y Ambiental.......................................................................
1.2.1.1 Local Fsico......................................................................................................................................
1.2.1.2 Espacio y Movilidad........................................................................................................................
1.2.1.3 Tratamiento Acstico......................................................................................................................
1.2.1.4 Ambiente Climtico........................................................................................................................
1.2.1.5 Instalacin Elctrica........................................................................................................................
1.2.1.6 Picos y Ruidos Electromagnticos..................................................................................................
1.2.1.7 Cableado.........................................................................................................................................
1.2.1.7.1 Cableado de Alto Nivel de Seguridad........................................................................................
1.2.1.7.2 Pisos de Placas Extrables............................................................................................................
1.2.1.7.3 Sistema de Aire Acondicionado......................................................................................................
1.2.1.7.4 Emisiones Electromagnticas.........................................................................................................
1.2.1.8 Iluminacin.....................................................................................................................................
1.2.1.9 Seguridad Fsica del Local...............................................................................................................
1.2.1.10 Prximos pasos...............................................................................................................................
1.2.1.10.1 Aseguramiento Contra Situaciones Hostiles................................................................................
1.2.1.10.2 Control de Accesos.......................................................................................................................
1.2.1.11 Conclusiones..................................................................................................................................
1.2.2
Recomendaciones sobre la arquitectura de redes de un CSIRT......................................................
1.2.2.1 Ambiente Fsico..............................................................................................................................
1.2.2.2 Infraestructura de Red....................................................................................................................
1.2.2.3 Hardware........................................................................................................................................
1.2.2.4 Software.........................................................................................................................................
1.2.2.5 Infraestructura de Telecomunicaciones..........................................................................................
1.2.2.6 Diagramas Sugeridos......................................................................................................................
1.2.2.6.1 Esquema Uno: Red Bsica Segura..................................................................................................
1.2.2.6.2 Esquema Dos: Red Segura Redundante.........................................................................................
1.2.2.6.3 Esquema Tres: Red Segura Segmentada y Redundante.................................................................
1.2.2.6.4 Esquema Cuatro: Red Segura Segmentada Separada de la Organizacin......................................
1.2.3
Servicios informticos iniciales de un CSIRT...................................................................................
1.2.3.1 Servicios CSIRT................................................................................................................................
1.2.3.2 Servicios informticos de un CSIRT.................................................................................................
1.2.3.2.1 Aplicaciones que apoyan la implementacin de los servicios informticos CSIRT.........................
1.3 BENEFICIOS EN LA IMPLEMENTACIN DE UN CSIRT AS COMO SU ANLISIS SITUACIONAL E
IMPLEMENTACIN DE SU PRESUPUESTO DE INVERSIN Y FUNCIONAMIENTO...........................................
1.3.1
Benecios en la implementacin de un CSIRT................................................................................
1.3.2
Anlisis FODA General para un CSIRT..............................................................................................
048
049
052
054
054
055
056
058
059
061
061
061
061
061
061
062
062
062
063
063
063
063
063
064
064
064
064
064
064
065
066
066
067
068
069
069
070
071
072
073
073
074
076
086
086
087
007
1.3.3 Creacin de un Presupuesto Preliminar de Inversin y Funcionamiento.......................................... 088

1.4 CONCLUSIONES....................................................................................................................................... 090
CAPTULO 2
MODELOS ORGANIZACIONALES DE CENTROS DE RESPUESTA A INCIDENTES
2.1 MODELOS DE REFERENCIA......................................................................................................................
2.1.1 Equipo de seguridad..........................................................................................................................
2.1.2 Equipo de respuesta a incidentes centralizado.................................................................................
2.1.3 Equipos de respuesta a incidentes distribuidos................................................................................
2.1.4 Equipo coordinador...........................................................................................................................
2.2 CENTROS DE RESPUESTA EXISTENTES.....................................................................................................
2.3 NOMBRE DEL CENTRO DE RESPUESTA....................................................................................................
2.4 LA CIRCUNSCRIPCIN DEL CENTRO DE RESPUESTA................................................................................
2.5 MISIN DEL CENTRO DE RESPUESTA.......................................................................................................
2.6 SERVICIOS PRINCIPALES...........................................................................................................................
2.6.1 Emisin de boletines y alertas de seguridad.....................................................................................
2.6.2 Anlisis de vulnerabilidades..............................................................................................................
2.6.3 Deteccin de incidentes....................................................................................................................
2.6.4 Difusin y capacitacin.....................................................................................................................
2.6.5 Implementacin de mejores prcticas..............................................................................................
2.7 REPORTE, CLASIFICACIN, ASIGNACIN.................................................................................................
2.8 AUTORIDAD.............................................................................................................................................
2.9 PERSONAL DEL CENTRO DE RESPUESTA..................................................................................................
2.9.1 Empleados.........................................................................................................................................
2.9.2 Parcialmente empleados...................................................................................................................
2.9.3 Outsourcing.......................................................................................................................................
2.10 SELECCIN DEL MODELO DE CENTRO DE RESPUESTA...........................................................................
2.10.1 Costos................................................................................................................................................
2.10.2 Experiencia del personal...................................................................................................................
2.10.3 Estructura organizacional..................................................................................................................
2.10.4 Divisin de responsabilidades...........................................................................................................
2.10.5 Proteccin de informacin condencial............................................................................................
2.10.6 Falta de conocimiento especco sobre la organizacin...................................................................
2.10.7 Falta de correlacin de informacin..................................................................................................
2.10.8 Manejo de incidentes en diversas ubicaciones geogrcas..............................................................
2.11 DEPENDENCIAS DENTRO DE LAS ORGANIZACIONES.............................................................................
2.11.1 Administracin..................................................................................................................................
2.11.2 Seguridad de la informacin.............................................................................................................
2.11.3 Telecomunicaciones..........................................................................................................................
2.11.4 Soporte tcnico.................................................................................................................................
2.11.5 Departamento jurdico......................................................................................................................
2.11.6 Relaciones pblicas e institucionales (comunicacin social).............................................................
2.11.7 Recursos humanos............................................................................................................................
093
093
094
094
094
095
095
096
096
096
097
097
097
097
098
098
099
100
101
102
102
102
103
103
103
104
104
104
105
105
105
106
106
106
106
106
107
107
008
2.11.8 Planeacin de la continuidad del negocio.........................................................................................

2.11.9 Seguridad fsica y administracin de instalaciones...........................................................................
2.12 EQUIPO DE RESPUESTA.........................................................................................................................
2.12.1 Descripcin general...........................................................................................................................
2.12.2 Caractersticas particulares...............................................................................................................
2.12.3 Servicios............................................................................................................................................
2.12.4 Recursos............................................................................................................................................
2.12.5 Ventajas y desventajas......................................................................................................................
2.13. EQUIPO DE RESPUESTA A INCIDENTES CENTRALIZADO.......................................................................
2.13.1 Descripcin General..........................................................................................................................
2.13.3 Servicios............................................................................................................................................
2.13.4 Recursos............................................................................................................................................
2.14. EQUIPO DE RESPUESTA A INCIDENTES DISTRIBUIDO...........................................................................
2.14.3 Servicios............................................................................................................................................
2.14.4 Recursos............................................................................................................................................
2.15. CENTRO COORDINADOR......................................................................................................................
2.15.3 Servicios............................................................................................................................................
2.15.4 Recursos............................................................................................................................................
107
107
108
108
108
109
109
109
110
110
110
111
111
112
112
112
113
114
114
115
115
115
116
116
117
118
CAPTULO 3
PROPUESTA DE ESPECIALIZACIN DE FUNCIONES EN EL INTERIOR DE UN CENTRO DE RESPUESTA A
INCIDENTES INFORMTICOS
3.1 SEGREGACIN DE FUNCIONES..........................................................................................................
3.1.1 Introduccin......................................................................................................................................
3.1.2 Las funciones.....................................................................................................................................
3.1.3 Descripcin de las Funciones............................................................................................................
3.1.3.1 Directorio..........................................................................................................................................
3.1.3.2 Director Ejecutivo..............................................................................................................................
3.1.3.3 Comit Ejecutivo...............................................................................................................................
3.1.3.4 Gerente Operacional.........................................................................................................................
3.1.3.5 Difusin.............................................................................................................................................
3.1.3.6 Infraestructura..................................................................................................................................
3.1.3.7 Triage.................................................................................................................................................
3.1.3.8 Documentacin.................................................................................................................................
3.1.3.9 Capacitacin y Entrenamiento..........................................................................................................
3.1.3.10 Logstica..........................................................................................................................................
3.1.3.11 Investigacin...................................................................................................................................
121
121
121
123
123
124
125
127
128
129
130
131
132
132
132
009
3.1.3.12 Legal.............................................................................................................................................
3.1.3.13 Gestin de Incidentes...................................................................................................................
3.1.3.14 Embajadores.................................................................................................................................
3.1.3.15 Formacin Continua.....................................................................................................................
3.1.3.16 Financiero y Econmico................................................................................................................
3.1.3.17 Consideraciones nales................................................................................................................
3.1.4
Manuales y Procedimientos.........................................................................................................
3.1.4.1 Motivacin....................................................................................................................................
3.1.4.2 Manuales......................................................................................................................................
3.1.4.3 Procedimientos.............................................................................................................................
3.1.4.4 Criterios de elaboracin de Manuales..........................................................................................
3.1.4.5 Criterios de elaboracin de Procedimientos.................................................................................
3.1.4.6 Difusin de Manuales...................................................................................................................
3.1.4.7 Difusin de Procedimientos..........................................................................................................
3.1.5
Diseo de un Flujograma del Proceso de Gestin de Incidentes, end to end...............................
3.1.5.1 El Ciclo de Vida de un Incidente de Seguridad..............................................................................
3.1.5.2 Evento o Incidente de Seguridad de la Comunidad Objetivo?....................................................
3.1.5.3 Gestin de Incidente de Seguridad...............................................................................................
3.2 PROPUESTA DE POLTICAS DE MANEJO DE LA INFORMACIN...............................................................
3.2.1
Propuesta de Poltica de Acceso a la Informacin..........................................................................
3.2.1.1 Texto de la Propuesta de Poltica de Acceso a la Informacin........................................................
3.2.1.1.1 Objetivo..........................................................................................................................................
3.2.1.1.2 Alcance...........................................................................................................................................
3.2.1.1.3 Contenido.......................................................................................................................................
3.2.2
Propuesta de Poltica de Proteccin de la Informacin..................................................................
3.2.2.1 Objetivo..........................................................................................................................................
3.2.2.2 Alcance...........................................................................................................................................
3.2.2.3 Contenido.......................................................................................................................................
3.2.3
Propuesta de Poltica de Difusin de la Informacin......................................................................
3.2.3.1 Texto de la Propuesta de Poltica de Difusin de la Informacin....................................................
3.2.3.1.1 Objetivo..........................................................................................................................................
3.2.3.1.2 Alcance...........................................................................................................................................
3.2.3.1.3 Contenido.......................................................................................................................................
3.2.4
Propuesta de Poltica de Guarda de la Informacin.......................................................................
3.2.4.1 Texto de la Propuesta de Poltica de Guarda de la Informacin.....................................................
3.2.4.1.1 Objetivo..........................................................................................................................................
3.2.4.1.2 Alcance...........................................................................................................................................
3.2.4.1.3 Contenido.......................................................................................................................................
133
133
134
134
135
135
136
136
136
137
137
138
138
139
140
140
141
142
143
143
143
143
143
144
145
145
145
145
148
148
148
148
148
150
150
150
150
150
010
CAPTULO 4
POLTICAS DE GESTIN DE RIESGOS EN UN CENTRO DE RESPUESTA
4.1 INTRODUCCIN Y PROCESO DE GESTIN DE RIESGOS...........................................................................
4.1.1
Introduccin...................................................................................................................................
4.1.1.1 Posibles prdidas............................................................................................................................
4.1.1.2 Conceptos iniciales.........................................................................................................................
4.1.2.1.1 Activo de informacin....................................................................................................................
4.1.1.2.2 Amenaza.........................................................................................................................................
4.1.1.2.3 Vulnerabilidad................................................................................................................................
4.1.1.2.4 Exposicin......................................................................................................................................
4.1.1.2.5 Probabilidad de ocurrencia............................................................................................................
4.1.1.2.6 Impacto..........................................................................................................................................
4.1.1.2.7 Riesgo.............................................................................................................................................
4.1.1.2.8 Incidente de seguridad...................................................................................................................
4.1.1.2.9 Control Contramedida - Salvaguarda..........................................................................................
4.1.1.3 Relacin entre conceptos...............................................................................................................
4.1.2
Proceso de gestin de riesgos........................................................................................................
4.1.2.1 Poltica de gestin de riesgos.........................................................................................................
4.1.2.2 La gestin de riesgos......................................................................................................................
4.1.2.2.1 Evaluacin de riesgos.....................................................................................................................
4.1.2.2.2 Tratamiento de riesgos...................................................................................................................
4.1.2.3 Documentacin y comunicacin....................................................................................................
4.1.2.4 Mejora continua.............................................................................................................................
4.2 GESTIN DE RECURSOS HUMANOS EN UN CSRIT...................................................................................
4.2.1
Introduccin...................................................................................................................................
4.2.2
Importancia del Capital Humano y la Gestin de sus riesgos.........................................................
4.2.3
Medidas preventivas de los riesgos asociados a las personas........................................................
4.2.4
Gestin del Personal de un CSIRT...................................................................................................
4.2.4.1 Consideraciones generales.............................................................................................................
4.2.4.2 Capacitacin...................................................................................................................................
4.2.4.3 Motivacin y Retencin del Sta....................................................................................................
4.2.4.4 Mecanismos de Proteccin del Personal........................................................................................
4.2.5
Poltica Gestin de Riesgos RRHH del CSIRT...................................................................................
4.2.5.1 Objetivo..........................................................................................................................................
4.2.5.2 Alcance...........................................................................................................................................
4.2.5.3 Proceso Gestin de Riesgos............................................................................................................
4.2.5.4 Roles y Responsabilidades..............................................................................................................
4.2.5.5 Plan de Contingencia frente a Errores Humanos............................................................................
4.2.6
Procedimientos asociados al Personal del CSIRT............................................................................
4.2.6.1 Procedimiento de Seleccin del Personal del CSIRT.......................................................................
4.2.6.2 Procedimiento de Vinculacin del Personal al CSIRT......................................................................
4.2.6.3 Procedimiento de Proteccin de Identidad de los miembros del CSIRT.........................................
4.2.6.4 Procedimiento de Desvinculacin del Personal al CSIRT.................................................................
4.2.7
Anexos............................................................................................................................................
4.2.7.1 Perles requeridos..........................................................................................................................
4.2.7.1.1 Nivel Gerencial...............................................................................................................................
152
154
155
155
155
156
156
156
157
157
157
157
157
157
158
158
158
159
164
165
166
167
169
169
170
171
171
173
174
175
177
177
177
177
179
180
180
180
182
183
184
185
186
186
011
4.2.7.1.2 Nivel Tcnico..................................................................................................................................

4.2.7.2 Plan de capacitacin para los miembros del CSIRT.........................................................................
4.2.7.3 Modelo Compromiso de Condencialidad.....................................................................................
4.2.7.4 Evaluaciones del Personal...............................................................................................................
4.2.7.5 Modelo de Acta de Desvinculacin Laboral......................................................................................
4.2.7.6 Modelo de Registro de riesgos..........................................................................................................
5. TERMINOLOGA.........................................................................................................................................
6. BIBLIOGRAFA............................................................................................................................................
7. ANEXOS.....................................................................................................................................................
187
189
191
193
194
195
196
202
205
011
012
CAPTULO 1
Lineamientos y Acciones
Recomendadas para la
Formacin de un Centro
de Respuesta a Incidentes
de Seguridad Informtica.
013
CAPTULO 1
INFORMACIN
NOMBRE DOCUMENTO: Lineamientos y acciones recomendadas para la formacin de un centro de respuesta a incidentes de seguridad informtica.
FECHA DE CREACIN: Guatemala, 16 de Septiembre de 2009.
AUTOR: Ing. Jos Luis Chvez Cortez
AUTORIZADO POR: Ing. Eduardo Carozo
VERSIN DOCUMENTO: 1.0
TIPO DE DOCUMENTO: CONFIDENCIAL
014
014
1. Lineamientos y acciones recomendadas para la formacin de un centro de respuesta a

incidentes de seguridad informtica
1.1 Recomendaciones organizacionales y normativas para la integracin de un CSIRT en la
organizacin
A continuacin se presenta un marco de informacin que tiene total vinculacin con el proceso organizacional
y normativo para la integracin de un CSIRT en una organizacin.
Inicia con la descripcin de la informacin bsica que debemos saber sobre un CSIRT, pasando luego por las
deniciones de las polticas de seguridad informticas, gestin de incidentes y recomendaciones de posibles
escenarios de insercin dentro de la organizacin.
1.1.1 Informacin bsica inicial

En el pasado ha habido equivocaciones que se han producido respecto a qu esperar de un CSIRT. El objetivo
de esta seccin es proporcionar un marco para la presentacin de los temas ms importantes (relacionados
con la respuesta de incidentes) que son de inters.
1.1.1.1 Introduccin
Antes de continuar, es importante comprender claramente lo que se entiende por el trmino "Equipo de
Respuesta a Incidentes de Seguridad Informtica". Para los propsitos de este do-cumento, un CSIRT es un
equipo que ejecuta, coordina y apoya la respuesta a incidentes de seguridad que involucran a los sitios dentro
de una comunidad denida. Cualquier grupo que se autodenomina un CSIRT debe reaccionar a incidentes de
seguridad reportados as como a las amenazas informticas de su comunidad.
Puesto que es vital que cada miembro de una comunidad sea capaz de entender lo que es ra-zonable esperar
de su equipo, un CSIRT debe dejar claro que pertenece a su comunidad y de-nir los servicios que el equipo
ofrece. Adems, cada CSIRT debe publicar sus polticas y pro-cedimientos de operacin. Del mismo modo,
estos mismos componentes necesitan saber qu se espera de ellos para que puedan recibir los servicios de su
equipo. Esto requiere que el equipo tambin publique cmo y dnde reportar los incidentes.
Se detalla la informacin que debe tener en un documento base que ser utilizada por un CSIRT para comunicar datos relevantes de informacin a sus integrantes. Los componentes de se-guridad ciertamente deben
esperar que un CSIRT les preste los servicios que describen en la plantilla completa. Es preciso enfatizar que
sin la participacin activa de los usuarios, la ecacia de los servicios de un CSIRT puede ser disminuido considerablemente. Este es particularmente el caso con los informes. Como mnimo, los usuarios necesitan saber
que deben informar los incidentes de seguridad, saber cmo y dnde deben reportarlos.
Muchos incidentes de seguridad informtica se originan fuera de los lmites de la comunidad local y afectan a
los sitios en el interior, otros se originan dentro de la comunidad local y afectan a los antriones o los usuarios
en el exterior. A menudo, el manejo de incidentes de seguridad
015
015
requerir varios sitios y un CSIRT para la resolucin de casos que requieran este nivel de cola-boracin. Las
comunidades necesitan saber exactamente cmo su CSIRT estar trabajando con otros CSIRTs y organizaciones
fuera de sus comunidades, y qu informacin ser compar-tida.
El resto de esta seccin describe el conjunto de temas y cuestiones que un CSIRT necesita elaborar para sus
integrantes. Sin embargo, no se trata de especicar la respuesta "correcta" a cualquier rea de un tema. Ms
bien, cada tema se discute en trminos de lo que este signica.
Tambin se presenta un panorama general de las tres reas principales:
- La publicacin de la informacin por un equipo de respuesta.
- La denicin de respuesta del equipo con relacin a la respuesta de otros equipos.
- Y, la necesidad de comunicaciones seguras.
Para concluir con la descripcin en detalle de todos los tipos de informacin que la comunidad necesita saber
acerca de su equipo de respuesta.
1.1.1.2 Qu se protege con un CSIRT?

Un equipo de respuesta debe de tener como objetivo proteger infraestructuras crticas de la in-formacin, en
base al segmento de servicio al que est destinado as deber de ser su alcance para cubrir requerimientos de
proteccin sobre los servicios que brinda. El CSIRT debe de brindar servicios de seguridad a las infraestructuras crticas de su segmento bsicamente.
Las infraestructuras crticas en un pas estn distribuidas en grandes sectores, los cuales pueden ser:
- Agricultura.
- Energa.
- Transporte.
- Industrias.
- Servicios Postales.
- Suministros de Agua.
- Salud Pblica.
- Telecomunicaciones.
- Banca / Finanzas.
- Gobierno.
016
Mientras que las infraestructuras de informacin estn segmentadas de la siguiente manera:

- Internet: servicios Web, Hosting, correo electrnico, DNS, etc.
- Hardware: servidores, estaciones de trabajo, equipos de red.
- Software: sistemas operativos, aplicaciones, utilitarios.
- Sistemas de Control: SCADA, PCS/DCS.
1.1.1.3 Alcance
Las interacciones entre un equipo de respuesta a incidentes y los integrantes del equipo de respuesta de la
comunidad requieren:
- Que la comunidad entienda las polticas y los procedimientos del equipo de respuesta.
- Que muchos equipos de respuesta colaboran para manejar incidentes, la comunidad tambin debe entender
la relacin entre su equipo de respuesta y otros equipos.
- Y por ltimo, muchas interacciones se aprovecharn de las infraestructuras pblicas existentes, de modo que
la comunidad necesita saber cmo las comunicaciones sern protegidas.
Cada uno de estos temas se describe con ms detalle a continuacin.
1.1.1.3.1 Publicando Polticas y Procedimientos CSIRT

Cada usuario que tiene acceso a un Equipo de Respuesta a Incidentes de Seguridad Ciberntica debe saber
tanto como sea posible sobre los servicios e interacciones de este equipo mucho antes de que l o ella en
realidad los necesiten.
Una declaracin clara de las polticas y procedimientos de un CSIRT ayuda al integrante a comprender la mejor
manera de informar sobre los incidentes y qu apoyo esperar despus. El CSIRT ayudar a resolver el
incidente? Va a proporcionar ayuda a evitar incidentes en el futuro? Claro que las expectativas, en particular
de las limitaciones de los servicios prestados por un CSIRT, harn que la interaccin sea ms eciente y efectiva.
Existen diferentes tipos de equipos de respuesta, algunos grupos son muy amplios (por ejemplo, CERT Centro
de Coordinacin de Internet), otros grupos ms limitados (por ejemplo, DFN-CERT, CIAC), y otras tienen grupos
muy restringidos (por ejemplo, equipos de respuesta co-mercial, equipos de respuesta corporativos). Independientemente del tipo de equipo de res-puesta, la comunidad debe de apoyar el estar bien informados sobre
las polticas de su equipo y procedimientos. Por lo tanto, es obligatorio que los equipos de respuesta publiquen esa in-formacin.
017
Un CSIRT debe comunicar toda la informacin necesaria acerca de sus polticas y servicios en una forma adecuada a las necesidades de sus integrantes. Es importante comprender que no todas las polticas y procedimientos deben ser accesibles al pblico. Por ejemplo, no es nece-sario entender el funcionamiento interno de
un equipo con el n de interactuar con l, como cuando se informa de un incidente o recibir orientacin sobre
cmo analizar y asegurar uno de los sistemas.
En el pasado, algunos de los equipos suministraban en una especie de Marco Operacional, otras proporcionaban una lista de Preguntas Frecuentes (FAQ), mientras que otros escribieron documentos para su distribucin
en conferencias de usuarios o boletines enviados.
Recomendamos que cada CSIRT publique sus directrices y procedimientos en su propio servi-dor de informacin (por ejemplo, un servidor de World Wide Web). Esto permitira a los inte-grantes acceder fcilmente a
ella, aunque el problema sigue siendo cmo una persona puede encontrar su equipo, la gente dentro de la
comunidad tiene que descubrir que hay un CSIRT a su disposicin".
Se prev que las plantillas de informacin de un CSIRT pronto se convertirn en resultados de bsquedas por
los distintos motores de bsqueda modernos, lo que ayudar en la distribucin de informacin sobre la existencia del CSIRT y la informacin bsica necesaria para acercarse a ellos.
Independientemente de la fuente de la que se recupera la informacin, el usuario de la plantilla debe comprobar su autenticidad. Es altamente recomendable que esos documentos vitales se-an protegidos por rmas
digitales. Esto permitir al usuario vericar que la plantilla fue de hecho publicada por el CSIRT y que no ha
sido manipulada (se asume que el lector est familiarizado con el uso adecuado de las rmas digitales para
determinar si un documento es autntico).
1.1.1.3.2 Relaciones entre diferentes CSIRTs

En algunos casos, un CSIRT puede ser capaz de operar ecazmente por s mismo y en estre-cha colaboracin
con sus integrantes. Pero con las redes internacionales de hoy en da es mu-cho ms probable que la mayora
de los incidentes a cargo de un CSIRT participarn partes externas a l. Por lo tanto, el equipo tendr que
interactuar con otros CSIRTs y sitios fuera de su comunidad.
La comunidad debe comprender la naturaleza y el alcance de esta colaboracin, como infor-macin muy
sensible acerca de los componentes individuales pueden ser divulgados en el pro-ceso.
La colaboracin entre los CSIRTs podra incluir las interacciones al preguntarle a los otros equipos de asesoramiento, la difusin de conocimiento de los problemas y trabajar en coopera-cin para resolver un incidente
de seguridad que afectan a uno o ms comunidades de los CSIRTs.
018
Al establecer relaciones de apoyo de tales interacciones, CSIRT debe decidir qu tipo de acuerdos puede existir
entre ellos para compartir, sin embargo, a salvaguardar la informacin, si esta relacin puede ser divulgada, y si
es as a quin.
Tenga en cuenta que hay una diferencia entre un acuerdo de interconexin, donde los CSIRTs implicados estn
de acuerdo para trabajar juntos y compartir la informacin y la cooperacin simple, donde un CSIRT (o
cualquier otra organizacin) simplemente pide ayuda o consejo a otro contacto de CSIRT. Aunque el establecimiento de estas relaciones es muy importante y afectan a la capacidad de un CSIRT en apoyo de su comunidad
corresponde a los grupos im-plicados decidir sobre los detalles especcos.
Est fuera del alcance de este documento el hacer recomendaciones para este proceso. Sin embargo, el
mismo conjunto de intercambio de informacin que se utiliza para jar las expecta-tivas de una comunidad de
usuarios ayudar a las dems partes para comprender los objetivos y los servicios de un CSIRT especco para
ser un punto de apoyo ante un eventual incidente.
1.1.1.3.3 Estableciendo medios de comunicacin seguros

Una vez que una de las partes ha decidido compartir informacin con otro equipo, todas las partes implicadas
necesitan garantizar canales de comunicacin seguros.
Los objetivos de la comunicacin segura son:
- Condencialidad: Puede alguien acceder al contenido de la comunicacin?
- Integridad: Puede alguien manipular el contenido de la comunicacin?
- Autenticidad: Estoy comunicado con la persona "correcta"?
Es muy fcil de enviar falsos e-mail, y no es difcil establecer una identidad falsa por telfono. Las tcnicas
criptogrcas, por ejemplo, PGP (Pretty Good Privacy) o PEM (Privacy Enhanced Mail) pueden proporcionar
formas ecaces de asegurar el correo electrnico, adems con el equipo correcto, tambin es posible garantizar la comunicacin telefnica. Pero antes de utilizar estos mecanismos, ambas partes necesitan de la infraestructura "correcta", es decir, la pre-paracin de antemano. La preparacin ms importante es garantizar la
autenticidad de las cla-ves criptogrcas utilizadas en la comunicacin segura:
- Claves Pblicas (PGP y PEM): debido a que son accesibles a travs de Internet, las claves pblicas deben ser
autenticadas antes de ser utilizadas. PGP se basa en una "Red de Conanza" (donde los usuarios registran las
claves de otros usuarios) y PEM se basa en una jerarqua (donde las autoridades de certicacin rman las
claves de los usuarios).
- Claves Secretas (DES y PGP / cifrado convencional): debido a que estos deben cono-cer tanto al emisor y el
receptor, las claves secretas deben ser cambiadas antes de la comunicacin a travs de un canal seguro.
La comunicacin es fundamental en todos los aspectos de respuesta a incidentes. Un equipo puede apoyar de
la mejor manera el uso de las tcnicas antes mencionadas, reuniendo toda la informacin necesaria de una
manera coherente. Requisitos especcos (tales como llamar a un nmero especco para comprobar la
autenticidad de las claves) debe quedar claro desde el principio.
019
No est dentro del alcance de esta seccin el resolver los problemas tcnicos y administrativos de las comunicaciones seguras. El punto es que los equipos de respuesta deben apoyar y uti-lizar un mtodo que permita la
comunicacin entre ellos y sus integrantes (u otros equipos de respuesta). Cualquiera que sea el mecanismo,
el nivel de proteccin que ofrece debe ser aceptable para la comunidad que lo utiliza.
1.1.1.4 Manejo de informacin, Procedimientos y Polticas

Es muy importante que las polticas y procedimientos de un equipo de respuesta sean publica-dos en su
comunidad. En esta seccin se listan todos los tipos de informacin que la comunidad necesita recibir de su
equipo de respuesta. La forma de hacer llegar esta informacin a la comunidad diere de un equipo a otro, as
como el contenido de la informacin especca. El objetivo aqu es describir claramente los diversos tipos de
informacin que un componente de la comunidad espera de su equipo de respuesta. Lo ms importante es
que un CSIRT tenga una poltica y que los que interactan con el CSIRT sean capaces de obtenerla y entenderla.
Este esquema debe ser visto como una sugerencia. Cada equipo debe sentirse libre para incluir todo aquello
que cree que es necesario para apoyar a su comunidad.
1.1.1.4.1 Descripcin de Histrico de Actualizacin del Documento

Es importante detallar que tan reciente es un documento. Adems, se recomienda proporcionar informacin
sobre cmo obtener informacin sobre futuras actualizaciones o cambios de versin. Sin esto, es inevitable
que los malentendidos y las ideas errneas surjan con el tiempo, los documentos obsoletos pueden hacer ms
dao.
Se recomienda tener en cuenta los siguientes puntos:
- Fecha de la ltima actualizacin: esto debera ser suciente para permitir que cualquier persona interesada
evalu la vigencia del documento.
- Si se considera conveniente y adecuado, podra ser oportuno versionar el documento.
- Lista de distribucin: las listas de correo son un mecanismo conveniente para distribuir informacin actualizada a un gran nmero de usuarios. Un equipo puede decidir utilizar su propia lista o bien una ya existente
para la noticacin de cambios a los usuarios. La lista normalmente es integrada por grupos del CSIRT con los
que se tienen interacciones frecuentes. Las rmas digitales se deben utilizar para enviar mensajes de actualizacin entre CSIRTs.
- Ubicacin del documento: la ubicacin de un documento debe de ser accesible a travs de los servicios de
informacin en lnea de cada equipo en particular. Los inte-grantes de cada grupo pueden fcilmente obtener
ms informacin sobre el equipo y comprobar si las actualizaciones son recientes. Esta versin en lnea tambin debera ir acompaada de una rma digital.
020
1.1.1.4.2 Informacin de Contacto

Los detalles completos de cmo ponerse en contacto con el CSIRT deben describirse, aunque esto podra ser
muy diferente para los diferentes equipos. En algunos casos como ejemplo, podran decidir no dar a conocer
los nombres de los miembros de su equipo.
A continuacin se listan las piezas de informacin que son recomendables de detallar:
- Nombre del CSIRT.
- Direccin fsica (Ubicacin).
- Direccin(es) de Correo(s) Electrnico(s).
- Zona horaria: esto es til para la coordinacin de los incidentes en el cual se cruzan zonas horarias.
- Nmero de telfono y fax.
- Otras telecomunicaciones: algunos equipos pueden ofrecer comunicaciones de voz segura.
- Las claves pblicas y el cifrado: el uso de tcnicas especcas depende de la capaci-dad de los socios de
comunicacin para tener acceso a los programas, claves, etc. La informacin pertinente debe darse a manera
de facilitar a los usuarios la habilitacin del canal de comunicacin cifrado respectivo cuando interacte con el
CSIRT.
- Los miembros del equipo: informacin discrecional del grupo. (Si aplicase.)
- Horario de atencin: el horario de funcionamiento semanal (8x5 o 7x24) y calendario de vacaciones deber
indicarse aqu.
- Informacin Adicional del Contacto.
El nivel de detalle de esta informacin queda a criterio de cada grupo. Esto podra incluir dife-rentes contactos
para diversos servicios, o podra ser una lista de servicios de informacin en lnea. Si en dado caso existen
procedimientos especcos para poder acceder a cierto servicio se recomienda que se detalle adecuadamente.
1.1.1.4.3 Descripcin del CSIRT

Cada CSIRT debe tener un documento que especica lo que tiene que hacer y la autoridad bajo la cual lo har.
El documento debe incluir al menos los siguientes elementos:
- Misin: debe centrarse en las actividades bsicas del equipo (denicin de un CSIRT). Con el n de ser considerado un Equipo de Respuesta a Incidentes de Seguridad In-formtica, el equipo debe ser compatible con la
presentacin de informes de incidentes y el apoyo de sus integrantes frente a los sucesos. Los objetivos y
propsitos de un equipo son especialmente importantes y requieren una denicin clara y sin ambigedades.
021
- Comunidad: por ejemplo, podran ser empleados de una empresa o de sus suscriptores de pago, o podra ser
denido en trminos de un enfoque tecnolgico, como los usuarios de un sistema operativo determinado.
Una comunidad CSIRT puede ser determinado de varias maneras. La denicin de la comunidad debe crear un
permetro alrededor del grupo al que el equipo proporcionar el servicio. Es importante que exista una
seccin de poltica del documento, la cual debe de explicar cmo sern tratadas las solicitudes fuera del
permetro denido.
Si un CSIRT decide no revelar su comunidad, se debe explicar el razonamiento detrs de esta decisin. Por
ejemplo, si se cobrasen servicios, el CSIRT no brindar una lista de sus clientes, sino que declarar que prestan
un servicio a un gran grupo de clientes que se mantienen en secreto debido a los contratos y clausulas de
condencialidad con sus clientes. Las comunidades podran reservarse, como cuando un Proveedor de Servicios de Internet proporciona a un CSIRT servicios que ofrece a los sitios de clientes que tambin tienen
CSIRTs. La seccin de la Autoridad de la descripcin del CSIRT (vase ms abajo) debe dejar claro tales
relaciones.
- Organizacin Patrocinadora / Aliacin: la organizacin patrocinadora, que autoriza las acciones del CSIRT,
debe de respaldar las distintas actividades del CSIRT. Sabiendo que esto le ayudar a los usuarios a comprender los antecedentes y la puesta en marcha del CSIRT; es informacin vital para la construccin de conanza
entre un componente y un CSIRT.
- Autoridad: esta seccin puede variar mucho de un CSIRT a otro, basada en la relacin entre el equipo y su
comunidad. Mientras que una organizacin CSIRT dar su autori-dad por la gestin de la organizacin, un
comunidad CSIRT ser apoyada y elegida por la comunidad, generalmente en un rol de asesoramiento. Un
CSIRT puede o no tener la autoridad para intervenir en el funcionamiento de todos los sistemas dentro de su
permetro. Se debe identicar el alcance de su control, a diferencia del permetro de su comunidad. Si otros
CSIRTs operan jerrquicamente dentro de su permetro, esto debe ser mencionado aqu, y los CSIRTs relacionados identicados. La divulgacin de la au-toridad de un equipo puede exponer a las reclamaciones de responsabilidad. Cada equipo debe buscar consejo legal sobre estos asuntos.
1.1.1.4.4 Polticas
Es fundamental que los Equipos de Respuesta a Incidentes denan sus polticas. A continua-cin se describen
las siguientes:
- Poltica de Tipos de Incidentes y Nivel de Apoyo: los tipos de incidentes que el equipo sea capaz de hacer
frente, y el nivel de apoyo que el equipo ofrecer al momento de responder a cada tipo de incidente, son
puntos importantes. El nivel de ayuda puede cambiar dependiendo de factores tales como la carga de trabajo
del equipo y la integri-dad de la informacin disponible. Estos factores deberan ser descritos y sus efectos
deben ser explicados. Una lista de tipos de incidentes conocidos ser incompleta con respecto a posibles
futuros incidentes, as que un CSIRT tambin debera brindar algunos antecedentes "predeterminados" por el
apoyo a tipos de incidentes no mencionados.
El equipo debe indicar si va a actuar sobre la informacin que recibe y sus vulnerabili-dades, mismas que crean
oportunidades para futuros incidentes. Reaccionar sobre di-cha informacin, en nombre de sus integrantes es
considerado como un servicio opcio-nal de la poltica proactiva en lugar de una obligacin de servicio bsico
para un CSIRT.
022
- Poltica de Co-operacin, Interaccin y Divulgacin de Informacin: se debe hacer explcito que los grupos
relacionados con el CSIRT habitualmente interactan. Estas in-teracciones no estn necesariamente relacionadas con el equipo de respuesta a inci-dentes de seguridad ciberntica, pero se utilizan para facilitar una mejor
cooperacin en temas tcnicos o de servicios. De ninguna manera se necesita detallar sobre los acuer-dos de
cooperacin entregados, el objetivo principal de esta seccin es dar a los involu-crados una comprensin
bsica de qu tipo de interacciones se han establecido y sus propsitos.
La cooperacin entre CSIRTs puede ser facilitada por el uso de un nmero nico de asignacin de etiquetas
combinados con los procedimientos de traspaso explcito. Esto reduce la posibilidad de malos entendidos, la
duplicacin de esfuerzos, asistencia en el seguimiento de incidentes y evitar "ciclos" en la comunicacin.
La presentacin de informes y la poltica de divulgacin deben dejar claro quines sern los destinatarios CSIRT
de un informe en cada circunstancia. Tambin debe tener en cuenta si el equipo se espera para operar a
travs de otro CSIRT o directamente con un miembro de otra comunidad sobre las cuestiones que se reeren
especcamente a ese miembro.
Los grupos relacionados a un CSIRT van a interactuar como se enumera a continuacin:
- Equipos de Respuesta a Incidentes: un CSIRT a menudo necesita interactuar con otros CSIRTs. Por ejemplo,
un CSIRT dentro de una gran empresa puede tener que informar sobre los incidentes a un CSIRT nacional, y un
CSIRT nacio-nal deber informar de los incidentes de CSIRTs nacionales en otros pases para hacer frente a
todos los sitios implicados en un ataque a gran escala. La colabo-racin entre CSIRTs puede conducir a la
divulgacin de la informacin. Los siguientes son ejemplos de esa comunicacin, pero no pretende ser una
lista exhaustiva:
- Informe de incidentes dentro de la comunidad a otros equipos. Si se hace esto, el conocimiento de la informacin relacionada con el sitio puede ser del conocimiento pblico, accesible a todos, en particular la prensa.
- Manejo de incidentes que ocurren dentro de la comunidad, pero que informa fuera de ella (lo que implica
que algunas informaciones ya han sido divulga-das fuera del sitio).
- Observaciones de informacin desde dentro de la comunidad que indica sospecha o incidentes conrmados
fuera de l.
- Actuar sobre los informes de incidentes de fuera de la comunidad.
- Transmisin de informacin sobre vulnerabilidades a las empresas, para so-cios CSIRT o directamente a los
sitios afectados que se encuentran dentro o fuera de la comunidad.
- Comentarios a las partes de la presentacin de informes de incidentes o vulnerabilidades.
- El suministro de informacin de contactos relativos a los miembros de la comunidad, los miembros de otros
grupos interesados, CSIRTs, o los orga-nismos policiales.
023
- Empresas: algunas empresas tienen su propio CSIRT, pero otras no pueden. En tales casos, un CSIRT necesitar trabajar directamente con una empresa para proponer mejoras o modicaciones, para analizar el problema tcnico o para poner a prueba las soluciones previstas. Las empresas desempean un papel especial en
el manejo de un incidente si las vulnerabilidades de sus productos estn involucradas en el incidente.
- Los Organismos Policiales: Estos incluyen la polica y otros organismos de in-vestigacin. CSIRT y usuarios
deben ser sensibles a las leyes y reglamentos lo-cales, los cuales pueden variar considerablemente en diferentes pases. Un CSIRT puede asesorar sobre los detalles tcnicos de los ataques o pedir aseso-ramiento sobre
las consecuencias jurdicas de un incidente. Leyes y regulaciones locales pueden incluir la presentacin de
informes especcos y los requisitos de condencialidad.
- Prensa: Un CSIRT puede ser abordado por la prensa para informacin y comen-tarios de vez en cuando. Una
poltica explcita relativa a la divulgacin a la prensa puede ser til, particularmente para aclarar las expectativas de los inte-grantes de un CSIRT. La poltica de prensa suele ser muy sensible a los contac-tos de prensa.
- Otros: esto podra incluir actividades de investigacin o de la relacin con la or-ganizacin patrocinadora.
El estado predeterminado de cualquier informacin relacionada con la seguridad que un equipo recibe por lo
general ser "condencial", pero la adherencia rgida de esto hace que el equipo parezca ser un agujero
negro de informacin. El cual puede reducir la probabilidad de que el equipo obtenga la cooperacin de los
clientes y de otras organi-zaciones. Se hace necesario denir la informacin que se debe de informar o divulgar, a quin, y cundo.
Los diferentes equipos pueden estar sujetos a diferentes restricciones legales que re-quieren o restringen el
acceso, especialmente si trabajan en las diferentes jurisdicciones. Adems, pueden tener obligaciones de
informacin impuestas por su organizacin patrocinadora. Cada equipo debe especicar estas restricciones,
tanto para aclarar las expectativas de los usuarios y para informar a los otros equipos. Los conictos de
in-ters, en particular en materia comercial, tambin pueden limitar la divulgacin de un equipo.
Un equipo normalmente recoger las estadsticas. Si se distribuye la informacin es-tadstica, la poltica de
divulgacin debe decirlo, y debe describir cmo obtener esas es-tadsticas.
024
- Poltica de Comunicacin y Autenticacin: se debe tener una poltica que describa los mtodos de comunicacin segura y vericable que se van a utilizar. Esto es necesario para la comunicacin entre los CSIRTs, y
entre un CSIRT y sus integrantes. Se deben incluir las claves pblicas para el adecuado establecimiento de
comunicacin segura junto con directrices sobre cmo utilizar esta informacin para comprobar la autenticidad y la forma de tratar la informacin daada (por ejemplo, donde informar de este hecho).
Por el momento, se recomienda que como mnimo cada CSIRT tiene (si es posible), una clave PGP disponible.
Un equipo tambin puede hacer otros mecanismos disponibles (por ejemplo, PEM, MOSS, S/MIME), de
acuerdo a sus necesidades y las de sus inte-grantes. Obsrvese, sin embargo, que un CSIRT y los usuarios
deben ser sensibles a las leyes y reglamentos locales. Algunos pases no permiten el cifrado fuerte, o hacer
cumplir las polticas especcas sobre el uso de la tecnologa de cifrado. Adems de ci-frar la informacin
sensible cuando sea posible, la correspondencia debe incluir la rma digital. (Tenga en cuenta que en la
mayora de los pases, la proteccin de la autentici-dad mediante el uso de la rma digital no se ve afectado
por las normas de encriptacin existentes, o simplemente no existe.)
Para la comunicacin por telfono o fax un CSIRT puede mantener en secreto los datos de autenticacin de los
socios con los que puedan tratar, el uso de una contrasea o frase puede ser un elemento denido previamente. Obviamente las claves secretas no deben ser publicadas, aunque se sepa de su existencia.
1.1.1.4.5 Servicios
Los servicios prestados por un CSIRT pueden dividirse en dos categoras: actividades en tiempo real directamente relacionados con la principal tarea de respuesta a incidentes, y actividades proactivas no en tiempo
real, de apoyo de la tarea de respuesta a incidentes. La segunda categora y parte de la primera categora
consisten en servicios que son opcionales en el sentido de que no todos los CSIRT los ofrecern.
1.1.1.4.5.1 Respuesta a Incidentes

La respuesta a incidentes por lo general incluye la evaluacin de los informes recibidos sobre incidentes
(Evaluacin de Incidentes) y el seguimiento de stos con otros CSIRTs, proveedores de Internet y sitios
(Coordinacin de Incidentes). Un tercer nivel de servicios, ayudando a un sitio local para recuperarse de un
incidente (Resolucin de Incidentes), est compuesto por servicios tpicamente opcionales, que no todos los
CSIRT ofrecern.
025
Evaluacin de Incidentes: por lo general incluye:

- Informe de Evaluacin: la evaluacin de los informes de entrada de incidentes, dando prioridad a ellos, y en
relacin a los incidentes en curso y las tendencias.
- Vericacin: ayuda a determinar si un incidente ha ocurrido realmente, as como su mbito de aplicacin.
Coordinacin de Incidentes: normalmente incluye:
- Categorizacin de la Informacin: la categorizacin de los incidentes relacionados con la informacin
(archivos de registro, informacin de contacto, etc.) con respecto a la poltica de divulgacin de informacin.
- Coordinacin: la noticacin de las otras partes interesadas en una "necesidad de conocimiento", segn la
poltica de divulgacin de la informacin.
Resolucin de Incidentes: Normalmente adicional u opcional, el servicio de resolucin de incidentes incluye:
- Asistencia Tcnica: esto puede incluir el anlisis de los sistemas comprometidos.
- Erradicacin: la eliminacin de la causa de un incidente de seguridad (la vulnerabi-lidad explotada), y sus
efectos (por ejemplo, la continuidad del acceso al sistema por un intruso).
- Recuperacin: ayuda en el restablecimiento de los sistemas afectados y los servi-cios a su estado antes del
incidente de seguridad.
1.1.1.4.5.2 Actividades Proactivas

Normalmente opcional o adicional, los servicios proactivos podran incluir:
- El suministro de Informacin: esto podra incluir un archivo de vulnerabilidades cono-cidas, parches o resoluciones de los problemas del pasado, o listas de correo de aseso-ramiento.
- Herramientas de Seguridad: puede incluir herramientas para la auditoria de la seguri-dad del sitio.
- Educacin y Entrenamiento.
- Evaluacin de Productos.
- Auditora de Seguridad de la Web y Consulta.
026
1.1.1.4.6 Formas de Noticacin de Incidentes

El uso de los formularios de informacin hace que sea ms sencillo para los usuarios y los equipos hacer frente
a incidentes. El usuario puede preparar respuestas a varias preguntas im-portantes antes de que l o ella
entren en contacto con el equipo, y por lo tanto pueda venir bien preparado. El equipo recibe toda la informacin necesaria a la vez con el primer informe y se proceda de manera eciente.
Dependiendo de los objetivos y los servicios de un CSIRT en particular, las formas mltiples pueden ser utilizadas, por ejemplo un formulario para una nueva vulnerabilidad puede ser muy diferente de la forma utilizada
para la comunicacin de incidentes.
Es ms ecaz proporcionar formas a travs de los servicios de informacin en lnea del equipo. Los punteros
exactos que se les debe dar en el documento de descripcin de CSIRT, junto con las declaraciones acerca del
uso adecuado, y las directrices sobre cundo y cmo utilizar los formularios. Si por separado las direcciones de
correo electrnico son compatibles con la forma basada en el informe, deben ser enumeradas aqu de nuevo.
1.1.1.4.7 Clausula
Aunque el documento de descripcin CSIRT no constituye un contrato, la responsabilidad puede concebirse del
resultado de las descripciones de los servicios y propsitos. La inclusin de una clausula que aclare su funcin
al nalizar el documento se recomienda y debera avisar al usuario de las posibles limitaciones.
En situaciones en que la versin original de un documento debe ser traducido a otro idioma, la traduccin
debe llevar una advertencia y un puntero a la original.
El uso y la proteccin de clausulas se ven afectadas por las leyes y regulaciones locales, de los cuales cada
CSIRT debe ser consciente. En caso de duda el CSIRT debe comprobar la decla-racin de la clausula con un
abogado.
1.1.1.5 Personal que integra un CSIRT

A continuacin se listan una serie de caractersticas que son valiosas de tomar en cuenta para
el proceso de reclutamiento de personal para la formacin de un CSIRT, siendo las siguientes:
- Diversidad de conocimientos tecnolgicos.
- Personalidad: habilidad de comunicacin y relacin personal.
- Personas dedicadas, innovadoras, detallistas, exibles y metdicas.
- Experiencia en el rea de seguridad de la informacin
- Se maneje coherentemente con los valores personales y de la organizacin.
- Pueden asumir las funciones de: gerente, lder del equipo y/o supervisores. Para puestos tales como:
027
- Encargados de tratamiento de incidentes: personal tcnico que est capacitado para el tratamiento de un
incidente informtico.
- Encargados de tratamiento de vulnerabilidades: personal tcnico que est espe-cializado en el tratamiento de
deciencias o fallos en la programacin o conguracin de un sistema informtico.
- Personal de anlisis y seguimiento de casos: son los responsables de llevar los registros y brindar el
seguimiento adecuado de los casos y su anlisis respectivo.
- Especialistas en plataformas operacionales: tcnicos experimentados y especia-lizados en el manejo de
plataformas informticas que tienen dominio del equipo y sus respectivos sistemas informticos.
- Instructores: son los encargados de brindar enseanza en los diferentes temas dnde tengan su respectiva
especializacin.
- Tcnicos de Soporte: personal especializado en el manejo de hardware y/o softwa-re para la realizacin de
tareas especcas.
Otras funciones:
- Personal de Apoyo.
- Redactores Tcnicos.
- Administracin de Redes y/o Sistemas.
- Desarrolladores Web.
- Asesora de Prensa o Contactos Medios.
- Abogados en ocinas que lo respaldan.
1.1.2 Polticas de Seguridad Informtica

La posibilidad de interconectarse a travs de redes, ha abierto nuevos horizontes a las empresas para mejorar
su productividad y poder explorar ms all de las fronteras nacionales, lo cual lgicamente ha trado consigo, la
aparicin de nuevas amenazas para los sistemas de informa-cin. Estos riesgos que se enfrentan han llevado a
que muchas empresas desarrollen docu-mentos y directrices que orientan en el uso adecuado de estas
destrezas tecnolgicas y reco-mendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso
indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la
empresa.
Las polticas de seguridad informtica surgen como una herramienta organizacional para con-cientizar a los
colaboradores de la organizacin sobre la importancia y sensibilidad de la infor-macin y servicios crticos que
permiten a la institucin crecer y mantenerse competitiva. Ante esta situacin, el proponer o identicar una
poltica de seguridad requiere un alto compromiso con la organizacin, agudeza tcnica para establecer fallas y
debilidades, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea
las organizacio-nes modernas.
028
1.1.2.1 Denicin
Una poltica de seguridad informtica es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuacin del personal, en relacin con los recursos y servicios informticos de la
organizacin.
No se puede considerar que una poltica de seguridad informtica es una descripcin tcnica de mecanismos,
ni una expresin legal que involucre sanciones a conductas de los empleados, es ms bien una descripcin de
lo que deseamos proteger y el por qu de ello, pues cada poltica de seguridad es una invitacin a cada uno de
sus miembros a reconocer la informacin como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbito de sus negocios.
Por tal razn, las polticas de seguridad deben concluir en una posicin consciente y vigilante del personal por
el uso y limitaciones de los recursos y servicios informticos.
1.1.2.2 Elementos
Como una poltica de seguridad debe orientar las decisiones que se toman en relacin con la seguridad, se
requiere la disposicin de todos los miembros de la organizacin para lograr una visin conjunta de lo que se
considera importante. Las polticas de seguridad informtica deben considerar principalmente los siguientes
elementos:
Tabla 1: Caractersticas que conforman una poltica.
Caracterstica
Alcance
Objetivo(s)
Identicacin de Roles
Responsabilidad
Interaccin
Procedimientos
Relaciones
Mantenimiento
Sanciones
Descripcin
Alcance de la poltica, incluyendo facilidades, sistemas y personal
sobre la cual aplica.
Objetivos de la poltica y descripcin clara de los elementos
involucrados en su denicin.
Las partes involucradas en la poltica deben de ser claramente
identicados.
Deberes y responsabilidades de las partes identicadas deben de
ser denidos.
Describe la interaccin apropiada entre las partes identicadas
dentro de la poltica.
Procedimientos esenciales pueden ser llamados, pero no deben ser
explicados en detalle dentro de la poltica.
Identica las relaciones entre la poltica, servicios y otras polticas
existentes.
Describe las responsabilidades y guas para el mantenimiento y
actualizacin de la poltica.
Denicin de violaciones y sanciones por no cumplir con las polticas.
029
Las polticas de seguridad informtica, tambin deben ofrecer explicaciones comprensibles so-bre por qu
deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igual-mente, debern establecer
las expectativas de la organizacin en relacin con la seguridad y especicar la autoridad responsable de
aplicar los correctivos o sanciones.
Otro punto importante, es que las polticas de seguridad deben redactarse en un lenguaje sen-cillo y entendible, libre de tecnicismos y trminos ambiguos que impidan una comprensin clara de las mismas, claro est
sin sacricar su precisin.
Por ltimo, y no menos importante, el que las polticas de seguridad, deben seguir un proceso de actualizacin
peridica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la
infraestructura computacional, alta rotacin de personal, desarrollo de nuevos servicios, regionalizacin de la
empresa, cambio o diversicacin del rea de negocios, etc.
1.1.2.3 Parmetros para su establecimiento

Es importante que al momento de formular las polticas de seguridad informtica, se consideren por lo menos
los siguientes aspectos:
- Efectuar un anlisis de riesgos informticos, para valorar los activos y as adecuar las polticas a la realidad de
la organizacin.
- Reunirse con los departamentos dueos de los recursos, ya que ellos poseen la expe-riencia y son la principal
fuente para establecer el alcance y denir las violaciones a las polticas.
- Comunicar a todo el personal involucrado sobre el desarrollo de las polticas, incluyendo los benecios y
riesgos relacionados con los recursos y bienes, y sus elementos de se-guridad.
- Identicar quin tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos crticos de su rea.
- Monitorear peridicamente los procedimientos y operaciones de la organizacin, de forma tal, que ante
cambios las polticas puedan actualizarse oportunamente.
- Detallar explcita y concretamente el alcance de las polticas con el propsito de evitar situaciones de tensin
al momento de establecer los mecanismos de seguridad que respondan a las polticas trazadas.
1.1.2.4 Razones que impiden su aplicacin

A pesar de que un gran nmero de organizaciones canalizan sus esfuerzos para denir directri-ces de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el xito, ya
que la primera barrera que se enfrenta es convencer a los altos eje-cutivos de la necesidad y benecios de
buenas polticas de seguridad informtica.
030
Tabla 2: Polticas recomendadas para la implementacin de un CSIRT
Poltica de Seguridad: son las direc-trices y objetivos

generales de una or-ganizacin relativos a la seguridad, ex-presados formalmente por la direccin
general.
Las polticas de seguridad deben de contemplar seis
elementos claves en la seguridad: disponibilidad,
utilidad, integridad, autenticidad, con-dencialidad y
posesin.
- Alcances. (facilidades, sistemas y personas.)

- Objetivos.
- Descripcin de los elementos involucrados.
- Responsabilidades.
- Requerimientos mnimos de seguridad en la conguracin de los distintos sistemas.
- Responsabilidades de los usuarios con respecto a la
informacin a la que tienen acceso.
- Introduccin / Descripcin.
- Control de Acceso.
- Identicacin / Clasicacin.
Poltica de Clasicacin de Informa-cin: es la
denicin de los criterios de clasicacin y acceso a la - Interacciones de Terceros.
- Destruccin y Disposicin.
informacin.
- Seguridad Fsica.
- Consideraciones especiales (informacin secreta).
Poltica Externa para el acceso de la Informacin:
clasicacin de criterios de acceso de entes externas
a la orga-nizacin para la utilizacin de la
infor-macin que genera la organizacin.
- Denicin de Accesos y Procesos apropiados para el

acceso a la informacin.
- Expedientes requeridos para el acceso.
- Elaboracin de informe para el acceso.
Poltica para la clasicacin de los Datos: establecer

cmo se clasicarn los datos dentro de la
organizacin segn los usuarios o entidades que la
consuman.
- Control de acceso.
- Interacciones de Terceros.
- Seguridad Fsica.
Poltica de Aislamiento de la Infor-macin: explica las

clases de informa-cin que se pueden recopilar, su
natu-raleza y criterios de uso de la misma. Plasma
excepciones de secreto sobre algunas de ellas.
- Descripcin y aplicabilidad.
- Deniciones.
- Requisitos Especcos.
- Informacin que se brindar al individuo.
- El derecho individual del acceso a los datos.
031
Tabla 2: Polticas recomendadas para la implementacin de un CSIRT
Poltica de Seguridad: son las direc-trices y objetivos

generales de una or-ganizacin relativos a la seguridad,
ex-presados formalmente por la direccin general.
Las polticas de seguridad deben de contemplar seis
elementos claves en la seguridad: disponibilidad,
utilidad, integridad, autenticidad, con-dencialidad y
posesin.
- Alcances. (facilidades, sistemas y personas.)

- Objetivos.
- Descripcin de los elementos involucrados.
- Requerimientos mnimos de seguridad en la conguracin de los distintos sistemas.
- Responsabilidades de los usuarios con respecto a la
informacin a la que tienen acceso.
- Control de Acceso.
Poltica de Clasicacin de Informa-cin: es la
denicin de los criterios de clasicacin y acceso a la - Interacciones de Terceros.
informacin.
- Seguridad Fsica.
Poltica Externa para el acceso de la Informacin:
clasicacin de criterios de acceso de entes externas a
la orga-nizacin para la utilizacin de la infor-macin
que genera la organizacin.
- Denicin de Accesos y Procesos apropiados para el

acceso a la informacin.
- Expedientes requeridos para el acceso.
- Elaboracin de informe para el acceso.
Poltica para la clasicacin de los Datos: establecer

cmo se clasicarn los datos dentro de la
organizacin segn los usuarios o entidades que la
consuman.
- Interacciones de Terceros.
- Seguridad Fsica.
Poltica de Aislamiento de la Infor-macin: explica las

clases de informa-cin que se pueden recopilar, su
natu-raleza y criterios de uso de la misma. Plasma
excepciones de secreto sobre algunas de ellas.
- Descripcin y aplicabilidad.
- Deniciones.
- Requisitos Especcos.
- Informacin que se brindar al individuo.
- El derecho individual del acceso a los datos.
032
- Introduccin.
- Integridad de la informacin.
- Secreto de la informacin.
Poltica de Seguridad del Internet: es la descripcin de - Representaciones pblicas.
los lineamientos de seguridad de acceso al Internet y - Controles de accesos.
su relacin con la organizacin.
- Uso personal.
- Expectativas aislamiento de accesos.
- Divulgacin de problemas de la seguridad.
- El derecho individual de oponerse.
- Acceso de datos personales a terceros.
- Proceso de secreto y de seguridad.
- Supervisin de actividades internas.
Poltica de Noticacin de Inciden-tes: dene los

criterios permitidos y adecuados para el tratamiento
de una noticacin sobre un incidente reporta-do.
- Identicacin.
- Clasicacin de las noticaciones.
- Interacciones con terceros.
- Procedimiento.
Poltica de Tratamiento de Inciden-tes: hace referencia - Administracin del riesgo.
a la forma o los medios que se utilizan para el manejo - Interacciones con terceros.
de un incidente reportado.
- Reserva de informacin.
Poltica de Comunicacin Externa: explica las normas

para el manejo del intercambio de comunicacin con
enti-dades externas a la organizacin
- Identicacin.
- Clasicacin de las noticaciones.
Poltica de Entrenamiento y Capaci-tacin: detalla

los criterios de la orga-nizacin en el manejo de los
procesos de entrenamiento y capacitacin del
personal.
- Descripcin.
- Deniciones.
- Procedimientos.
- Reservas.
- Consideraciones especiales.
033
Poltica de Tratamiento de Grandes Actividades:

describe los criterios de la organizacin para el
manejo de un evento que utilice una alta demanda
de tiempo y recurso.
- Procedimiento.
- Administracin del riesgo.
Poltica de Error Humano: detalla las directrices o

manejos que ejecutar la organizacin ante el
eventual suceso de que un integrante del equipo
co-menta un error.
- Consideraciones.
- Factores implicados.
Poltica de Seleccin de Personal: dene los criterios

de la organizacin para la implementacin del
proceso de reclutamiento.
- Objetivos.
- Descripcin de los aspectos involucrados.
- Proceso de reclutamiento.
- Derechos, obligaciones y responsabilidades.
Poltica de Despido: dene los crite-rios que aplica la

organizacin cuando se da por nalizado unilateralmente un contrato laboral con un empleado.
- Descripcin consistente respecto a los nes de la

institucin.
- Deniciones.
- Procedimiento.
- Reservas.
- Consideraciones especiales.
- Descripcin.
- Uso en el negocio solamente.
Poltica de la Seguridad de la
- Control de la conguracin.
Computadora Personal: descripcin de los criterios de - Control de acceso.
aplicacin de la se-guridad informtica sobre los
- Virus.
computa-dores personales clasicados por su nivel de - Reserva.
uso dentro de la organizacin.
- Destruccin.
- Documentacin.
- Seguridad Fsica.
034
Poltica de Uso del Correo Electr-nico: establece los

lineamientos de la utilizacin del correo electrnico
de la organizacin.
Poltica de la Seguridad de la Red de

Computadoras: establece los linea-mientos de
seguridad de todos los ac-tivos informticos dentro
de la red de computadoras. Brinda un nivel de
de-talle por cada dispositivo que se tenga en la red
de computadoras de la orga-nizacin.
- Objetivo.
- Alcance.
- Responsable.
- Documentos asociados.
- Deniciones.
- Lineamientos del sistema de correo electrnico.
- Condiciones de uso del correo electrnico.
- Propsito.
- Alcance.
- Poltica General.
- Control de acceso del sistema.
- Uso de contraseas.
- Proceso de la conexin y del trmino de sesin.
- Privilegios del sistema.
- Establecimiento de accesos.
- Virus Computacionales, Gusanos y Caballos de
Troya.
- Reserva de los datos y de los programas.
- Cifrado.
- Computadoras porttiles.
- Impresiones en papel.
- Aislamiento de accesos.
- Registros y otras herramientas de la seguridad de
los sistemas.
- Manipulacin de la informacin de la seguridad de
la red.
- Seguridad fsica del computador y su conectividad.
- Excepciones.
- Violaciones.
- Glosario de trminos.
Poltica de tele conmutacin de la informacin:

describe los lineamientos para el establecimiento de
la comuni-cacin por medio de equipos de telecomunicaciones.
- Control de ediciones.
- Control de accesos.
- Almacenamiento de datos y medios.
- Medios de comunicacin.
- Administracin del sistema.
- Consideraciones del recorrido de los datos.
- Seguridad fsica.
Poltica de uso de dispositivo mviles: descripcin de

los criterios de utilizacin de todos los dispositivos
mviles que posea la organizacin.
- Control de ediciones y accesos.

- Almacenamiento de datos y medios.
- Medios de comunicacin.
- Administracin del sistema.
- Consideraciones del recorrido de los datos.
- Seguridad fsica.
035
Poltica de la Seguridad de los

equipos de Telecomunicaciones (In-ternos y Externos): dicta las normas de la organizacin para la
aplicacin de niveles de seguridad adecuados a los
distintos dispositivos de telecomu-nicacin internos y
externos que sean de la organizacin.
- Descripcin.
- Uso en el negocio solamente.
- Control de la conguracin.
- Fallas.
- Reserva.
- Destruccin.
- Documentacin.
- Seguridad Fsica.
Para la denicin de las polticas pueden existir diversidad de criterios e implementaciones segn la
organizacin CSIRT.
Por ltimo, para tener una visin ms global en la implementacin de polticas de una organiza-cin se
presenta el estndar ISO 17799, dnde dene las siguientes lneas:
- Seguridad organizacional: aspectos relativos a la gestin de la seguridad dentro de la organizacin
(cooperacin con elementos externos, outsourcing, estructura del rea de seguridad, etc.).
- Clasicacin y control de activos: inventario de activos y denicin de sus mecanis-mos de control, as como
etiquetado y clasicacin de la informacin corporativa.
- Seguridad del personal: formacin en materias de seguridad, clausulas de conden-cialidad, reporte de
incidentes, monitorizacin de personal, etc.
- Seguridad fsica y del entorno: bajo este punto se engloban aspectos relativos a la seguridad fsica de los
recintos donde se encuentran los diferentes recursos - incluyendo los humanos - de la organizacin y de los
sistemas en s, as como la denicin de con-troles genricos de seguridad.
- Gestin de comunicaciones y operaciones: este es uno de los puntos ms interesan-tes desde un punto de
vista estrictamente tcnico, ya que engloba aspectos de la segu-ridad relativos a la operacin de los sistemas y
telecomunicaciones, como los controles de red, la proteccin frente a malware, la gestin de copias de seguridad o el intercambio de software dentro de la organizacin.
- Controles de acceso: denicin y gestin de puntos de control de acceso a los recursos informticos de la
organizacin: contraseas, seguridad perimetral, monitorizacin de accesos...
- Desarrollo y mantenimiento de sistemas: seguridad en el desarrollo y las aplicaciones, cifrado de datos,
control de software, etc.
036
- Gestin de continuidad de negocio: denicin de planes de continuidad, anlisis de impacto, simulacros de

catstrofes, etc.
- Requisitos legales: evidentemente, una poltica ha de cumplir con la normativa vigente en el pas donde se
aplica; si una organizacin se extiende a lo largo de diferentes pases, su poltica tiene que ser coherente con la
normativa del ms restrictivo de ellos. En este apartado de la polica se establecen las relaciones con cada ley:
derechos de propiedad intelectual, tratamiento de datos de carcter personal, exportacin de cifrado, etc.
junto a todos los aspectos relacionados con registros de eventos en los recursos (bitcoras) y su mantenimiento.
1.1.3 Gestin de Incidentes

La Gestin de Incidentes tiene como objetivo resolver cualquier incidente que cause una inte-rrupcin en el
servicio de la manera ms rpida y ecaz posible.
La Gestin de Incidentes no debe confundirse con la Gestin de Problemas, pues a diferencia de esta ltima,
no se preocupa de encontrar y analizar las causas subyacentes a un determina-do incidente sino exclusivamente a restaurar el servicio. Sin embargo, es obvio, que existe una fuerte interrelacin entre ambas.
Los objetivos principales de la Gestin de Incidentes son:
- Detectar cualquiera alteracin en los servicios TI.
- Registrar y clasicar estas alteraciones.
- Asignar el personal encargado de restaurar el servicio segn se dene en el SLA co-rrespondiente.
Esta actividad requiere un estrecho contacto con los usuarios, por lo que el Centro de Servicios (Service Desk)
debe jugar un papel esencial en el mismo.
El siguiente diagrama resume el proceso de gestin de incidentes:
GESTIN DE INCIDENTES
PROCESO DE LA GESTIN DEL INCIDENTE
INCIDENTES
usuario
aplicaciones
centro
de
servicios
administradores
de
sistemas
1ra. linea
2da. lnea
desarrolladores
analistas
3ra. lnea
proveedores
en lnea
RESOLUCIN
Figura 1: Gestin de Incidentes.
037
Aunque el concepto de incidencia se asocia naturalmente con cualquier malfuncionamiento de los sistemas de
hardware y software segn el libro de Soporte del Servicio de ITIL un incidente es:
Cualquier evento que no forma parte de la operacin estndar de un servicio y que causa, o puede causar,
una interrupcin o una reduccin de calidad del mismo.
Por lo que casi cualquier llamada al Centro de Servicios puede clasicarse como un incidente, lo que incluye a
las Peticiones de Servicio tales como concesin de nuevas licencias, cambio de informacin de acceso, etc.
siempre que estos servicios se consideren estndar.
Cualquier cambio que requiera una modicacin de la infraestructura no se considera un servi-cio estndar y
requiere el inicio de una Peticin de Cambio que debe ser tratada segn los principios de la Gestin de Cambios.
Los principales benecios de una correcta Gestin de Incidentes incluyen:
- Mejorar la productividad de los usuarios.
- Cumplimiento de los niveles de servicio.
- Mayor control de los procesos y monitorizacin del servicio.
- Optimizacin de los recursos disponibles.
- Una base de datos de gestin de conguraciones ms precisa pues se registran los in-cidentes en relacin con
los elementos de conguracin.
- Y principalmente: mejora la satisfaccin general de clientes y usuarios.
Por otro lado una incorrecta Gestin de Incidentes puede acarrear efectos adversos tales como:
- Reduccin de los niveles de servicio.
- Se dilapidan valiosos recursos: demasiada gente o gente del nivel inadecuado trabajando concurrentemente
en la resolucin del incidente.
- Se pierde valiosa informacin sobre las causas y efectos de los incidentes para futuras reestructuraciones y
evoluciones.
- Se crean clientes y usuarios insatisfechos por la mala y/o lenta gestin de sus incidentes.
038
Las principales dicultades a la hora de implementar la Gestin de Incidentes se resumen en:

- No se siguen los procedimientos previstos y se resuelven las incidencias sin registrarlas o se escalan innecesariamente y/u omitiendo los protocolos preestablecidos.
- No existe un margen operativo que permita gestionar los picos de incidencias por lo que stas no se registran adecuadamente e impiden la correcta operacin de los proto-colos de clasicacin y escalado.
- No estn bien denidos los niveles de calidad de servicio ni los productos soportados. Lo que puede provocar
que se procesen peticiones que no se incluan en los servicios previamente acordados con el cliente.
1.1.3.1 Nivel de Prioridad

Es frecuente que existan mltiples incidencias concurrentes por lo que es necesario determinar un nivel de
prioridad para la resolucin de las mismas.
El nivel de prioridad se basa esencialmente en dos parmetros:
- Impacto: determina la importancia del incidente dependiendo de cmo ste afecta a los procesos de negocio
y/o del nmero de usuarios afectados.
- Urgencia: depende del tiempo mximo de demora que acepte el cliente para la resolu-cin del incidente y/o
el nivel de servicio.
Tambin se deben tener en cuenta factores auxiliares tales como el tiempo de resolucin espe-rado y los
recursos necesarios: los incidentes sencillos se tramitarn cuanto antes.
Dependiendo de la prioridad se asignarn los recursos necesarios para la resolucin del inci-dente. La prioridad del incidente puede cambiar durante su ciclo de vida. Por ejemplo, se pue-den encontrar soluciones
temporales que restauren aceptablemente los niveles de servicio y que permitan retrasar el cierre del
incidente sin graves repercusiones. Es conveniente establecer un protocolo para determinar, en primera
instancia, la prioridad del incidente. El siguiente diagrama nos muestra un posible diagrama de prioridades
en funcin de la urgencia e impacto del incidente:
039
diagrama de prioridades
crtica
alto
alta
media
baja
medio
bajo
1
10
20
30
40
urgencia
Figura 2: Diagrama de Prioridades.
El diseo de las polticas de escalonamiento va en funcin de qu tipo de escalamiento se adopte, queda a

discrecin de cada grupo CSIRT el disear su respectiva poltica.
040
1.1.3.2 Escalonamiento
Es frecuente que el Centro de Servicios no se vea capaz de resolver en primera instancia un incidente y para
ello deba recurrir a un especialista o a algn superior que pueda tomar deci-siones que se escapan de su
responsabilidad. A este proceso se le denomina escalado.
Bsicamente hay dos tipos diferentes de escalado:
- Escalado funcional: Se requiere el apoyo de un especialista de ms alto nivel para re-solver el problema.
- Escalado jerrquico: Debemos acudir a un responsable de mayor autoridad para tomar decisiones que se
escapen de las atribuciones asignadas a ese nivel, como, por ejemplo, asignar ms recursos para la resolucin de un incidente especfico.
El proceso de escalado puede resumirse grficamente como sigue:
ESCALADO
1ra. lnea
service desk
2da. lnea
administracin
3ra. lnea
especialistas
desarrolladores
4ta. lnea
proveedores
deteccin y
registro
NO
peticin de
servicios
SI
procedimiento
de obtencin de
servicio
base de datos
conocimiento
resuelto?
SI
NO
anlisis
resuelto?
NO
anlisis
SI
resolucin
resolucin
resuelto?
NO
...
SI
resolucin
CERRAR INCIDENTE
041
1.1.3.3 Proceso
El siguiente diagrama muestra los procesos implicados en la correcta Gestin de Incidentes.
PROCESO DE LA GESTIN DEL INCIDENTE
entrada del
incidente
registro
clasificacin
diagnstico
resolucin
cierre del
incidente
monitorizacin y seguimiento
base de datos
gestin de
configuraciones
gestin de
problemas
gestin de
cambios
gestin de
disponibilidad
gestin de
capacidad
gestin de
niveles de
servicio
Figura 4: Proceso de la Gestin de Incidentes.

- Gestin de Conguraciones: la base de datos de Gestin de Conguraciones juego un papel clave en la resolucin de incidentes pues, por ejemplo, nos muestra informacin sobre los responsables de los componentes
de conguracin implicados. La base de datos de Gestin de Conguraciones tambin nos permite conocer
todas las implica-ciones que pueden tener en otros servicios el malfuncionamiento de un determinado
elemento de conguracin.
- Gestin de Problemas: ofrece ayuda a la Gestin de Incidentes informando sobre erro-res conocidos y posibles soluciones temporales. Por otro lado, establece controles sobre la calidad de la informacin registrada
por la Gestin de Incidentes para que sta sea de utilidad en la deteccin de problemas y su posible solucin.
- Gestin de Cambios: la resolucin de un incidente puede general una peticin de cambio que se enva a la
Gestin de Cambios. Por otro lado, un determinado cambio errneamente implementado puede ser el origen
de mltiples incidencias y la Gestin de Cambios debe mantener cumplidamente informada a la Gestin de
Incidencias sobre posibles incidencias que los cambios realizados puedan causar en el servicio.
- Gestin de Disponibilidad: utilizar la informacin registrada sobre la duracin, el im-pacto y el desarrollo
temporal de los incidentes para elaborar informes sobre la disponi-bilidad real del sistema.
042
- Gestin de la Capacidad: se ocupar de incidentes causados por una insuciente in-fraestructura IT.
(Insuciencia del ancho de banda, capacidad de procesamiento, etc.)
- Gestin de Niveles de Servicio: La Gestin de Incidentes debe tener acceso a los ni-veles de servicio acordados con el cliente para poder determinar el curso de las acciones a adoptar. Por otro lado, la Gestin de
Incidentes debe proporcionar peridicamente informes sobre el cumplimiento de los niveles de servicio
contratados.
1.1.3.4 Registro
La admisin y registro del incidente es el primer y necesario paso para una correcta gestin del mismo. Las
incidencias pueden provenir de diversas fuentes tales como usuarios, gestin de aplicaciones, el mismo Centro
de Servicios o el soporte tcnico, entre otros.
El proceso de registro debe realizarse inmediatamente pues resulta mucho ms costoso hacerlo posteriormente y se corre el riesgo de que la aparicin de nuevas incidencias demore inde-nidamente el proceso.
- La admisin a trmite del incidente: el Centro de Servicios debe de ser capaz de eva-luar en primera instancia
si el servicio requerido se incluye en el SLA del cliente y en caso contrario reenviarlo a una autoridad competente.
- Comprobacin de que ese incidente an no ha sido registrado: es comn que ms de un usuario notique la
misma incidencia y por lo tanto han de evitarse duplicaciones innecesarias.
- Asignacin de referencia: al incidente se le asignar una referencia que le identicar unvocamente tanto en
los procesos internos como en las comunicaciones con el cliente.
- Registro inicial: se han de introducir en la base de datos asociada la informacin bsica necesaria para el
procesamiento del incidente (hora, descripcin del incidente, sistemas afectados...).
- Informacin de apoyo: se incluir cualquier informacin relevante para la resolucin del incidente que puede
ser solicitada al cliente a travs de un formulario especco, o que pueda ser obtenida de la propia base de
datos de la gestin de la conguracin (hardware interrelacionado), etc.
- Noticacin del incidente: en los casos en que el incidente pueda afectar a otros usuarios estos deben ser
noticados para que conozcan como esta incidencia puede afectar su ujo habitual de trabajo.
1.1.3.5 Clasicacin
La clasicacin de un incidente tiene como objetivo principal el recopilar toda la informacin que pueda ser de
utilizada para la resolucin del mismo.
043
El proceso de clasicacin debe implementar, al menos, los siguientes pasos:

- Categorizacin: se asigna una categora (que puede estar a su vez subdividida en ms niveles) dependiendo del
tipo de incidente o del grupo de trabajo responsable de su re-solucin. Se identican los servicios afectados por
el incidente.
- Establecimiento del nivel de prioridad: dependiendo del impacto y la urgencia se de-termina, segn criterios
preestablecidos, un nivel de prioridad.
- Asignacin de recursos: si el Centro de Servicios no puede resolver el incidente en primera instancia designar
al personal de soporte tcnico responsable de su resolucin (segundo nivel).
- Monitorizacin del estado y tiempo de respuesta esperado: se asocia un estado al incidente (por ejemplo:
registrado, activo, suspendido, resuelto, cerrado) y se estima el tiempo de resolucin del incidente en base al
nivel de servicio correspondiente y la prio-ridad.
1.1.3.6 Anlisis, Resolucin y Cierre.

En primera instancia se examina el incidente con ayuda de la base de datos de conocimiento para determinar si
se puede identicar con alguna incidencia ya resuelta y aplicar el procedi-miento asignado.
Si la resolucin del incidente se escapa de las posibilidades del Centro de Servicios ste redi-recciona el mismo
a un nivel superior para su investigacin por los expertos asignados. Si estos expertos no son capaces de resolver
el incidente se seguirn los protocolos de escalado prede-terminados.
Durante todo el ciclo de vida del incidente se debe actualizar la informacin almacenada en las correspondientes
bases de datos para que los agentes implicados dispongan de cumplida in-formacin sobre el estado del mismo.
Si fuera necesario se puede emitir una peticin de cambio. Si la incidencia fuera recurrente y no se encuentra
una solucin denitiva al mismo se deber informar igualmente a la Gestin de Problemas para el estudio detallado de las causas subyacentes.
Cuando se haya solucionado el incidente se:
- Conrma con los usuarios la solucin satisfactoria del mismo.
- Incorpora el proceso de resolucin a la base de datos de conocimiento.
- Reclasica el incidente si fuera necesario.
- Actualiza la informacin en la base de datos de gestin de conguraciones sobre los elementos de conguracin implicados en el incidente.
- Cierra el incidente.
044
1.1.3.7 Control del proceso

La correcta elaboracin de informes forma parte esencial en el proceso de Gestin de Inciden-tes.
Estos informes deben aportar informacin esencial, por ejemplo:
- La Gestin de Niveles de Servicio: es esencial que los clientes dispongan de informa-cin puntual sobre los
niveles de cumplimiento de los niveles de servicio y que se adop-ten medidas correctivas en caso de
incumplimiento.
- Monitoreo del rendimiento del Centro de Servicios: conocer el grado de satisfaccin del cliente por el servicio
prestado y supervisar el correcto funcionamiento de la primera lnea de soporte y atencin al cliente.
- Optimizar la asignacin de recursos: los gestores deben conocer si el proceso de es-calado ha sido el a los
protocolos preestablecidos y si se han evitado duplicidades en el proceso de gestin.
- Identicar errores: puede ocurrir que los protocolos especicados no se adecuen a la estructura de la organizacin o las necesidades del cliente por lo que se deban tomar medidas correctivas.
- Disponer de Informacin Estadstica: que puede ser utilizada para hacer proyecciones futuras sobre asignacin de recursos, costes asociados al servicio, etc.
Por otro lado una correcta Gestin de Incidentes requiere de una infraestructura que facilite su correcta
implementacin. Entre ellos cabe destacar:
- Un correcto sistema automatizado de registro de incidentes y relacin con los clientes.
- Una Base de Conocimiento que permita comparar nuevos incidentes con incidentes ya registrados y resueltos. Una Base de Conocimiento actualizada permite:
- Evitar escalados innecesarios.
- Convertir el know how de los tcnicos en un activo duradero de la empresa.
- Poner directamente a disposicin del cliente parte o la totalidad de estos datos (a la manera de FAQs) en una
Extranet. Lo que puede permitir que a veces el usuario no necesite siquiera noticar la incidencia.
- Una base de datos de gestin de conguraciones que permita conocer todas las con-guraciones actuales y el
impacto que estas puedan tener en la resolucin del incidente.
Para el correcto seguimiento de todo el proceso es indispensable la utilizacin de mtricas que permitan
evaluar de la forma ms objetiva posible el funcionamiento del servicio. Algunos de los aspectos clave a
considerar son:
045
- Nmero de incidentes clasicados temporalmente y por prioridades.

- Tiempos de resolucin clasicados en funcin del impacto y la urgencia de los inciden-tes.
- Nivel de cumplimiento de los niveles de servicio.
- Costos asociados.
- Uso de los recursos disponibles en el Centro de Servicios.
- Porcentaje de incidentes, clasicados por prioridades, resueltos en primera instancia por el Centro de Servicios.
- Grado de satisfaccin del cliente.
1.1.3.8 Soporte de Incidentes

A continuacin se brinda una tabla que contiene los pasos recomendados para el soporte de incidentes:
Tabla 3: Pasos recomendados para el soporte de Incidentes
no.
paso
PASOS RECOMENDADOS PARA EL SOPORTE DE INCIDENTES

nombre
descripcin
Reporte de un incidente a ser atendido
Las personas autorizadas por parte de las Unidades de Negocio reportan situaciones o funcionamientos anorma-les en la
infraestructura IT (equipos, redes, servidores, servicios, etc.)
Los incidentes son reportados por dife-rentes medios: Email,
personalmente, por Web utilizando el Portal de Autoservicio y
por Telfono.
Registro y documentacin del incidente

reportado.
El agente de soporte o usuario identica el tipo de inci-dente

(alertas, errores, cadas del sistema, actualizacio-nes, etc.)
que se reporta y la prioridad (alta, media, baja) que se debe
asignar. Registra la persona que reporta el incidente y el
elemento involucrado en el incidente, obtie-ne instantneamente una visin de toda la informacin de la persona, quin
es?, cmo debe ser atendida?, inci-dentes pendientes, etc.
Realiza un diagnostico inicial de lo que sucede.
Preparacin de la solucin del incidente
Cuando el agente de soporte o usuario registra la infor-macin

bsica del incidente, se asigna el tiempo mximo de solucin
que depende de los acuerdos de nivel de servicio pactados. Se
despliegan soluciones sugeridas tomadas de la historia de
incidentes similares y de la Base de Conocimiento. Se sugieren
tareas para planear la solucin del servicio con tareas internas.
Y se despliegan plantillas con ayudas para diagnosticar el
problema y para comunicarse con el Cliente: plantillas para
envo de email y para llamadas entrantes y salientes.
046
Proceso de solucin utilizando herramientas de software

como apoyo.
Identicacin y solucin de problemas
Cierre exitoso del incidente
Se envan alertas por email para listas de noticacin previamente creadas. Se remite el incidente a otros usuarios
(responsables de la solucin) si es necesario. Se realizan
tareas internas para completar actividades necesarias en la
solucin. Se le comunica a la unidad de negocio por diferentes
medios los avances realizados en la solucin del incidente.
Todo el proceso se realiza te-niendo en cuenta el tiempo
mximo de solucin asignado al incidente, para lo cual se
envan alertas por email a los responsables.
Como parte del proceso de solucin se analiza toda la
informacin de incidentes similares sobre los mismos elementos de la infraestructura IT, los diagnsticos reali-zados y las
tareas o actividades internas realizadas para dar una solucin.
Si se identican situaciones recurren-tes, se registra la causa
comn como un problema, que al ser solucionada, soluciona
todos los incidentes que tienen esa causa en comn. De esa
manera se evita que se presenten incidentes similares y se
mejora el nivel de sa-tisfaccin de las unidades de negocio con
el soporte tcnico que se presta.
Se comunica a la unidad de negocio el cierre del incidente
reportado cumpliendo las polticas de servicio prometidas y
respetando los tiempos mximos de solucin pactadas segn
el tipo de incidente que se report y la prioridad asignada. Se
documenta detalladamente el cierre del servicio para que
enriquezca la Base de Conocimiento de la organizacin y
pueda ser utilizada como una solucin sugerida para un
prximo servicio.
Tambin es importante contar con procedimientos de mejora continua sobre las distintas activi-dades de
soporte que se proveen. Para ello se recomiendan los siguientes puntos:
- Planeacin de Cambios de Infraestructura IT: es coordinar cambios con mnimo im-pacto y riesgo aceptable.
Ayuda a que los gerentes tecnolgicos y los gerentes de reas de negocio estn informados e involucrados
sobre qu cambios se realizarn y que no haya lugar a sorpresas inesperadas. Se asignan responsables y
niveles de autorizacin para aprobar los cambios propuestos. Un cambio soluciona problemas, que a su vez
evita la ocurrencia de incidentes.
- Implementacin de Cambios con Entregas Controladas: es planear y tener a todos informados de la implementacin de cambios en la infraestructura con mnimas inte-rrupciones y riesgos. La gestin de entregas
complementa la gestin de cambios. En los cambios se planea y ejecuta en ambientes de calidad (pruebas) y
en la entrega se ejecuta e implementa ya en sistemas de produccin.
047
- Retroalimentacin y Mejora del Proceso de Soporte Tcnico: se analiza toda la in-formacin generada en la
atencin y solucin de incidentes para mejorar continuamente el proceso de soporte tcnico a las unidades de
negocio. Se mejora la base de conoci-mientos, las soluciones y tareas sugeridas. Los ndices de satisfaccin de
las unidades de negocio mejoran y se impulsa el crecimiento.
Y nalmente un esquema de cmo uira la informacin podra ser de la siguiente manera.
FLUJO DE INFORMACIN
entradas
categorizacin
manejo
manejo de
vulnerabilidades
lnea directa
anlisis de
artefactos
correo electrnico
web
clasicacin
reporte de
incidente
interacciones
- CSIRTs
- Expertos
- Proveedores
- Reportes de
vulnerabilidades
- CSIRTs
- Expertos
requerimiento
de informacin
- Administracin
- Vocero
- Presentaciones
manejo de
incidentes
- Respaldo Legal
- CSIRTs
- Expertos
- Sitios
- Contactos de
Seguridad
- Medios
salidas
entrenamiento
capacitacin
investigacin
mejores prcticas
publicaciones
tcnicas
Figura 5: Flujo de Informacin en un CSIRT.
1.1.4 Recomendaciones para la posible insercin del CSIRT en la organizacin y sus posibles
modelos de relacin
A continuacin se dar una visin de qu tipo de estructura organizacional puede adoptar un CSIRT (debe de
ser pertinente respecto a las servicios que brinda) as como de los posibles mapas relacionales con su organizacin.
Es muy importante tener claro los siguientes puntos:
- Crear la visin y misin.
- Denir el segmento que se atender. (Comunidad)
- Seleccionar un modelo organizacional y servicios.
- Canales de comunicacin dentro de la organizacin y su dominio.
- Estructura dentro de la Organizacin: polticas, procesos y procedimientos.
048
1.1.4.1 Modelos organizacionales CSIRT

Hay que elegir qu modelo organizacional CSIRT se va a desarrollar. Dependiendo de la eleccin existe una
sinergia natural de los servicios que se brindarn.
Obviamente el modelo que cada equipo tome en sus inicios podr ser menor en alcance y can-tidad pero
dependiendo de la experiencia y madurez del equipo estos se podrn ir incremen-tando segn sea la estrategia adoptada.
Tabla 4: Modelos organizacionales CSIRT
modelo
descripcin
servicios
Equipo
de Seguridad
Es la organizacin que se da de hecho

cuando no existe un CSIRT constituido. No
hay una asignacin formal de responsabilidades respecto a los incidentes de seguridad. El personal existente, usual-mente de
TI, maneja los eventos de seguridad como
parte de su actividad habi-tual.
Es una estructura central pe-quea (al

menos un gerente de seguridad) supervisa y
coordina al personal del equipo distribuido
en la orga-nizacin.
Modelo
Distribuido
El personal del equipo distri-buido es

personal previamen-te existente en la
organiza-cin. Se le asignan explci-tamente
responsabilidades relativas a seguridad, a las
que se dedica parcial o to-talmente.
Este modelo se adeca bien a organizaciones
grandes en las que un equipo centraliza-do
puede ser insuciente.
Bsicos:
- Anlisis de Incidentes.
- Respuesta al incidente en el lugar.
- Coordinacin de respuesta a incidentes.
- Respuesta a Vulnerabilidades.
- Respuesta a Artefactos.
- Conguracin y mantenimiento de herramientas.
- Servicios de deteccin de intrusiones.
Adicionales:
- Alertas y Advertencias.
- Anlisis de Vulnerabilidades.
- Coordinacin de respuesta a
vulnerabilida-des.
- Anlisis de Artefactos.
- Coordinacin de la respuesta a Artefactos.
Bsicos:
- Soporte telefnico / correo electrnico.
vulnerabilida-des.
- Anuncios.
Adicionales:
- Observatorio tecnolgico.
-Auditoras o evaluaciones de seguridad.
049

- Desarrollo de herramientas.
- Difusin de informacin relacionada con
seguridad.
- Anlisis de Riesgo.
- Planicacin de la continuidad del negocio
y recuperacin de desastres.
- Consultora de seguridad.
- Concientizacin.
- Educacin / Capacitacin.
- Evaluacin y/o certicacin de productos.
Es una estructura central pe-quea (al
menos un gerente de seguridad) supervisa y
coordina al personal del equipo distribuido
en la orga-nizacin.
Modelo
Distribuido
El personal del equipo distri-buido es

personal previamen-te existente en la
organiza-cin. Se le asignan explci-tamente
responsabilidades relativas a seguridad, a las
que se dedica parcial o to-talmente.
Este modelo se adeca bien a organizaciones
grandes en las que un equipo centraliza-do
puede ser insuciente.
Bsicos:
vulnerabilida-des.
- Anuncios.
Adicionales:
-Auditoras o evaluaciones de seguridad.
049
050
Bsicos:
vulnerabilida-des.
- Anuncios
seguridad.
Modelo
Combinado
Modelo
Coordinador
Es una combinacin entre el modelo

distribuido y el cen-tralizado.
Es un equipo centralizado que coordina y

facilita el ma-nejo de incidentes de seguridad. Por lo general atiende a una comunidad objetivo for-mada por organizaciones
ex-ternas mltiples y diversas.
Adicionales:
- Auditoras o evaluaciones de seguridad.
- Concientizacin.
Bsicos:
- Coordinacin de respuesta a vulnerabilidades.
- Anuncios
seguridad.
- Concientizacin.
051
Adicionales:
1.1.4.2 Estudio Organizacional

La organizacin es un sistema de actividades conscientemente coordinadas formado por dos o ms personas;
la cooperacin entre ellas es esencial para su existencia. La organizacin es el acto de disponer y coordinar los
recursos disponibles (materiales, humanos y nancieros), y se hace funcional mediante normas y bases de
datos que han sido dispuestas para estos propsi-tos.
Es relevante la realizacin de un estudio preciso de la organizacin dnde se desee implantar un CSIRT para
lograr denir una estructura que se adapte a su futura operacin.
Se recomienda que el estudio se enfoque en: tipo de estructura y procedimientos. Naturalmen-te desembocarn en temas de factibilidad tales como: personal, planicacin, presupuesto, in-formacin, nanzas, niveles
tcnicos, etc.
Generalmente una organizacin se clasica bajo los siguientes criterios:
- Finalidad: con n de lucro sin n de lucro.
- Estructura: formal o informal.
- Tamao: grande, mediana, pequea, micro.
- Localizacin: multinacional, nacional, local o regional.
- Produccin: bienes y servicios.
- Propiedad: pblica, privada, mixta.
- Grado de integracin: total o parcialmente integrada.
- Actitud ante los cambios: rgido o exible.
Tambin las formas organizacionales son importantes de evaluar:
052
- Actividad o Giro: Industriales, Comerciales, Servicios.

- Origen del Capital: Pblicas, Privadas.
- Tamao de la Organizacin: Grandes, medianas, micro o pequeas.
Y por ltimo analizar el ambiente organizacional, se debe de reconocer y responder en forma rentable antes
las necesidades y tendencias que demande:
- Ambiente Externo: la interaccin con terceros tales como proveedores, clientes, so-cios, etc.
- Ambiente Interno: todo lo relacionado con la organizacin dnde se encuentra o l mismo CSIRT.
053
1.1.4.3 Tipos de estructuras organizacionales

Dentro de los distintos tipos de estructuras organizacionales denidos por los expertos se pos-tulan a continuacin los tipos que a criterio encajan para una organizacin CSIRT.
1.1.4.3.1 Modelo Funcional

Las actividades se agrupan por funciones comunes desde la base hasta la cima de la organiza-cin. Consolida
el conocimiento y las habilidades humanas de actividades especcas con el n de proporcionar una pericia o
experiencia de mayor profundidad.
Es ms efectiva cuando:
- Es necesaria una alta experiencia para lograr los objetivos organizativos.
- La organizacin necesita ser controlada y coordinada por medio de la jerarqua vertical.
- La eciencia es importante.
- No se requiere mucha coordinacin horizontal.
Estructura funcional con enlaces horizontales: para hacer frente a los retos actuales, las orga-nizaciones complementan la jerarqua funcional vertical con vnculos horizontales.
ORGANIGRAMA
funcional
director
coordinacin
de incidentes
consultoras
de seguridad
educacin /
capacitacin
desarrollo de
herramientas
Figura 6: Modelo de Organigrama Funcional.
054
Tabla 5: Fortalezas y Debilidades del Modelo Funcional.

FORTALEZAS
DEBILIDADES
- Permite economas de escala en los

depar-tamentos funcionales.
- Permite el desarrollo de habilidades en profundidad.
- Permite que la organizacin alcance sus objetivos
funcionales.
- Es mejor con uno o unos cuantos productos.
- Respuesta lenta a los cambios del entorno.

- Puede hacer que las decisiones se acumu-len en la
parte superior, con sobrecarga de la jerarqua.
- Conduce a una mala coordinacin horizontal entre
departamentos.
- Da lugar a una menor innovacin.
- Implica un punto de vista limitado de las metas
organizacionales.
1.1.4.3.2 Modelo Basado en el Producto

Se organiza de acuerdo a lo que se produce ya sean bienes o servicios; esta forma de organi-zacin es
empleada en las grandes compaas donde cada unidad que maneja un producto se le denomina divisiones
estos poseen subunidades necesarias para su operacin.
ORGANIGRAMA
basado en el producto
director
gestin
de incidentes
gestin de
vulnerabilidades
gestin
de artefactos
educacin /
entrenamiento
055
Tabla 6: Fortalezas y Debilidades del Modelo basado en el Producto.

FORTALEZAS
- Descentraliza la toma de decisiones.
- Se utiliza en organizaciones grandes.
- Rpida adaptacin de unidades de trabajo.
- Permite que los problemas de coordinacin e integracin sean detectados lo ms pronto posible y se
les de una solucin rpida.
- Altamente recomendada para la implemen-tacin
de cambios rpidos.
- Se logra aislar los problemas concernientes a un
producto respecto a los dems y evita que intereran
los problemas de una funcin con todos los
productos.
- Permite el empleo de equipo especializado para el
manejo de materiales, as como de sistemas especializados de comunicacio-nes.
- Satisfaccin del Cliente.
DEBILIDADES
- Reduce la oportunidad de utilizar equipo o
personal especializado.
- Entorpece la estandarizacin.
- Coordinacin deciente entre lneas del producto.
- Se entorpece la comunicacin entre espe-cialistas,
ya que ahora presentan sus servi-cios en diferentes
unidades.
- Los empleados de la organizacin se divi-den en
grupos y se encarga de la produc-cin de un
producto especico, adems ca-da grupo tiene un
especialista para cada funcin y un gerente que es
el responsable de supervisar el proceso que se lleva
a cabo para la obtencin del producto o servicio y
adems enva un reporte al director general de la
organizacin acerca de la evolucin de este proceso,
este director general es el responsable de supervisar que cada gerente realice de forma adecuada
su trabajo y ja las metas de la organizacin.
1.1.4.3.3 Basada en los clientes

El tipo particular de clientes que una organizacin busca alcanzar, puede tambin ser utilizada para agrupar
empleados. La base de esta departamentalizacin est en el supuesto de que los clientes en cada conjunto
tienen problemas y necesidades comunes que pueden ser resueltos teniendo especialistas departamentales
para cada uno.
Aqu el cliente es el eje central, la organizacin se adapta y se subdivide agrupndose el per-sonal para cumplir
las funciones necesarias para satisfacer las necesidades de cada tipo de cliente.
056
ORGANIGRAMA
basado en los clientes
director
cuentas
corporativas
cuentas
pblicas
cuentas
regionales
Tabla 7: Fortalezas y Debilidades del Modelo basado en el Cliente.

FORTALEZAS
- Mejora la adaptacin a las necesidades del cliente.
- Descentralizacin del proceso de decisin.
- Mejor estandarizacin de productos.
- Satisfaccin del Cliente.
- Gestin de nichos de negocio de la organi-zacin.
DEBILIDADES
- Dicultad de coordinacin con los departa-mentos
organizados sobre otras bases, con una constante
presin de los gerentes solici-tando excepciones y
tratamiento especial.
- En ciertas ocasiones pueden reducirse o incrementarse ciertos tipos de clientes, ya sea por recesiones
econmicas donde los comercios minoristas
tienden a disminuir y por el contrario se incrementan los muy pe-queos negocios, esto requiere ms
vende-dores pero disminuye el grado de eciencia
de los mismos.
057
1.1.4.3.4 Hbrida
Esta estructura, rene algunas de las caractersticas importantes de las estructuras anterior-mente expuestas,
la estructura de una organizacin puede ser de enfoque mltiple, ya que utili-za al mismo tiempo criterios de
productos y funcin o producto y geografa.
Este tipo de estructuracin es utilizada mayormente cuando las empresas crecen y tienen va-rios productos o
mercados, es caracterstico que las funciones principales para cada producto o mercado se descentralicen y se
organicen en unidades especcas, adems algunas funciones tambin se centralizan y localizan en ocinas
centrales cuya funcin es relativamente estable y requiere economas de escala y especializacin profunda.
Cuando se combinan caractersticas de las estructuras funcionales y divisionales, las organizaciones pueden
aprovechar las fortale-zas de cada una y evitar alguna de sus debilidades.
ORGANIGRAMA
hbrido
director
FUNCIONAL
gerente de
soporte
gerente de
RRHH
gerente de
tecnologa
gerente de
servicios
nancieros
BASADO POR PRODUCTOS
gerencia de
coordinacion a
incidentes
gerencia de
anlisis de
artefactos
gerencia de
concientizacin
058
Tabla 8: Fortalezas y Debilidades del Modelo Hbrido.

MODELO HBRIDO
FORTALEZAS
- Coordinacin entre y dentro de las lneas del
producto.
- Coincidencia de objetivos entre las divisio-nes y la
central.
- Eciencia en los departamentos centraliza-dos.
- Adaptabilidad, coordinacin en las divisio-nes.
DEBILIDADES
- Se crean conictos entre el personal corpo-rativo y
el divisional.
- Altos costos Administrativos.
1.1.4.3.5 Matricial
Existen condiciones para la estructura matricial:
- Existe presin para compartir recursos escasos entre las lneas de producto.
- Existe presin ambiental con relacin a dos o ms resultados cruciales.
- El entorno de la organizacin es complejo e incierto. (Frecuentes cambios externos y alta interdependencia
departamental. Alta necesidad de coordinacin y procesamiento de informacin.)
La estructura formaliza los equipos horizontales junto con la tradicional jerarqua vertical. La estructura
matricial es mejor cuando:
- La incertidumbre del entorno es alta.
- Los objetivos reejan un requerimiento doble, como metas de producto y funcionales.
- Funciona mejor en organizaciones de tamao mediano con pocas lneas de productos.
059
ORGANIGRAMA
matricial
director
FUNCIONES VERTICALES
gerente de
soporte
gerente de
RRHH
gerente de
tecnologa
gerente de
servicios
nancieros
PROYECTOS
gerencia de
coordinacin a
incidentes
gerencia de
anlisis de
artefactos
gestin
de incidentes
LNEAS DE PRODUCCIN HORIZONTAL
Figura 10: Modelo de Organigrama Matricial.

Tabla 9: Fortalezas y Debilidades del Modelo Matricial.
MODELO MATRICIAL
FORTALEZAS
- Logra la coordinacin necesaria para satis-facer las
demandas duales de los clientes.
- Comparte exiblemente los recursos huma-nos
entre productos.
- Adaptada para decisiones complejas y cambios
frecuentes en un entorno inestable.
- Proporciona oportunidades para el desarro-llo de
habilidades tanto funcionales como en productos.
- Es ms adecuada en organizaciones de tamao
mediano con productos mltiples.
- Recursos Humanos compartidos.
DEBILIDADES
- Somete a los participantes a la experiencia de una
autoridad dual; esto puede ser frus-trante y ocasionar confusin.
- Implica que los participantes necesitan bue-nas
habilidades interpersonales y mucha capacitacin.
- Consume tiempo; implica frecuentes reunio-nes y
sesiones para la solucin de conic-tos.
- No funcionar a menos que los participantes
entiendan y adopten relaciones colegiadas en lugar
de tipo vertical.
- Requiere grandes esfuerzos para mantener el
equilibrio de poder.
060
1.2 Recomendaciones generales respecto de la infraestructura fsica necesaria en las etapas

iniciales
Esta seccin pretende brindar la informacin bsica necesaria para la creacin de un centro de cmputo que
iniciar a brindar los respectivos servicios tecnolgicos de informacin para un CSIRT en formacin.
Obviamente con el crecimiento de la experiencia y el nivel de madurez en sus servicios se po-dr escalar en
robustecer cada uno de los puntos segn sea la necesidad de cada uno de los servicios que estn implicados.
1.2.1 Recomendaciones de Seguridad Fsica y Ambiental

La instalacin y ubicacin fsica dentro de la organizacin depende de muchos factores, entre los que
podemos citar: el servicio que se pretende obtener, el tamao de la organizacin, las disponibilidades de
espacio fsico existente o planicado, etc.
Se comprende dentro del siguiente detalle la seguridad fsica y ambiental de las reas, seguri-dad del equipo y
controles generales.
Generalmente, la instalacin fsica de un centro de cmputo exige tener en cuenta por lo me-nos los siguientes puntos:
1.2.1.1 Local Fsico
Donde se analizar el espacio disponible, el acceso de equipos y personal, instalaciones de suministro elctrico, acondicionamiento trmico y elementos de seguridad disponibles.
1.2.1.2 Espacio y Movilidad
Caractersticas de las salas, altura, anchura, posicin de las columnas, posibilidades de movili-dad de los equipos, suelo mvil o suelo falso, etc.
1.2.1.3 Tratamiento Acstico
Los equipos ruidosos como las impresoras con impacto, equipos de aire acondicionado o equi-pos sujetos a
una gran vibracin, deben estar en zonas donde tanto el ruido como la vibracin se encuentren amortiguados.
1.2.1.4 Ambiente Climtico
En cuanto al ambiente climtico, la temperatura de una ocina con computadoras debe estar comprendida
entre 18 y 21 grados centgrados y la humedad relativa del aire debe estar com-prendida entre el 45% y el
65%. En todos los lugares hay que contar con sistemas que renue-ven el aire peridicamente. No menos
importante es el ambiente sonoro por lo que se reco-mienda no adquirir equipos que superen los 55
decibeles, sobre todo cuando trabajan muchas personas en un mismo espacio.
1.2.1.5 Instalacin Elctrica

El suministro elctrico a un centro de cmputo, y en particular la alimentacin de los equipos, debe hacerse
bajo unas condiciones especiales, como la utilizacin de una lnea independiente del resto de la instalacin
para evitar interferencias, con elementos de proteccin y seguridad especcos y en muchos casos con sistemas de alimentacin ininterrumpida (equipos electr-genos, instalacin de bateras, etc.).
061
1.2.1.6 Picos y Ruidos Electromagnticos

Las subidas (picos) y cadas de tensin no son el nico problema elctrico al que se han de enfrentar los
usuarios. Tambin est el tema del ruido que interere en el funcionamiento de los componentes electrnicos. El ruido interere en los datos, adems de favorecer la escucha electrnica.
1.2.1.7 Cableado
Los cables que se suelen utilizar para construir las redes locales van del cable telefni-co normal al
cable coaxial o la bra ptica. Algunos edicios de ocinas ya se constru-yen con los cables instalados
para evitar el tiempo y el gasto posterior, y de forma que se mi-nimice el riesgo de un corte, rozadura u otro
dao accidental. Es importante tener presente que el cableado posee varias categoras y el asesorarse cul es
la ms indicada para el uso que se requiera es una parte vital del proceso de seleccin. Y por ltimo aplicar
procesos de certica-cin sobre el cableado instalado es altamente recomendable.
Los riesgos ms comunes para el cableado se pueden resumir en los siguientes:
1. Interferencia: estas modicaciones pueden estar generadas por cables de alimenta-cin de maquinaria
pesada o por equipos de radio o microondas. Los cables de bra ptica no sufren el problema de
alteracin (de los datos que viajan a travs de l) por accin de campos elctricos, que si sufren los cables
metlicos.
2. Corte del cable: la conexin establecida se rompe, lo que impide que el ujo de datos circule por el cable.
3. Daos en el cable: los daos normales con el uso pueden daar el apantallamiento que preserva la integridad de los datos transmitidos o daar al propio cable, lo que hace que las comunicaciones dejen de ser ables.
En la mayor parte de las organizaciones, estos problemas entran dentro de la categora de da-os naturales.
Sin embargo tambin se pueden ver como un medio para atacar la red si el ob-jetivo es nicamente interferir
en su funcionamiento.
El cable de red ofrece tambin un nuevo frente de ataque para un determinado intruso que in-tentase acceder
a los datos. Esto se puede hacer:
1. Desviando o estableciendo una conexin no autorizada en la red: un sistema de administracin y
procedimiento de identicacin de acceso adecuados har difcil que se puedan obtener privilegios de
usuarios en la red, pero los datos que uyen a tra-vs del cable pueden estar en peligro.
2. Haciendo una escucha sin establecer conexin, los datos se pueden seguir y pueden verse comprometidos.
3. Luego, no hace falta penetrar en los cables fsicamente para obtener los datos que transportan.
062
1.2.1.7.1 Cableado de Alto Nivel de Seguridad

Son cableados de redes que se recomiendan para instalaciones con grado de seguridad militar. El objetivo es
impedir la posibilidad de inltraciones y monitoreos de la informacin que circula por el cable. Consta de un
sistema de tubos (hermticamente cerrados) por cuyo interior circu-la aire a presin y el cable. A lo largo de la
tubera hay sensores conectados a una computado-ra. Si se detecta algn tipo de variacin de presin se
dispara un sistema de alarma.
1.2.1.7.2 Pisos de Placas Extrables

Los cables de alimentacin, comunicaciones, interconexin de equipos, receptculos aso-ciados con
computadoras y equipos de procesamiento de datos pueden ser, en caso necesario, alojados en el espacio que, para tal n se dispone en los pisos de placas extrables, debajo del mismo.
1.2.1.7.3 Sistema de Aire Acondicionado

Se debe proveer un sistema de calefaccin, ventilacin y aire acondicionado separado, que se dedique al
cuarto de computadoras y equipos de proceso de datos en forma exclusiva. Te-niendo en cuenta que los
aparatos de aire acondicionado son causa potencial de incen-dios e inundaciones, es recomendable instalar redes de proteccin en todo el sistema de cae-ra al interior y al exterior, detectores y extintores de incendios, monitores y alarmas efectivas.
1.2.1.7.4 Emisiones Electromagnticas

Desde hace tiempo se sospecha que las emisiones de muy baja frecuencia que generan algu-nos perifricos,
son dainas para el ser humano. Segn recomendaciones cientcas estas emisiones podran reducirse mediante ltros adecuados al rango de las radiofrecuencias, sien-do estas totalmente seguras para las personas.
Para conseguir que las radiaciones sean m-nimas hay que revisar los equipos constantemente y controlar su
envejecimiento.
1.2.1.8 Iluminacin
El sistema de iluminacin debe ser apropiado para evitar reejos en las pantallas, falta de luz en determinados
puntos, y se evitar la incidencia directa del sol sobre los equipos. Las oci-nas mal iluminadas son la principal
causa de la prdida de la productividad en las organiza-ciones y de un gasto energtico excesivo. Una
iluminacin deciente provoca dolores de cabeza y perjudica a los ojos.
1.2.1.9 Seguridad Fsica del Local

Se estudiar el sistema contra incendios, teniendo en cuenta que los materiales sean incom-bustibles (pintura
de las paredes, suelo, techo, mesas, estanteras, etc.). Tambin se estudiar la proteccin contra inundaciones
y otros peligros fsicos que puedan afectar a la instalacin y condiciones geogrcas del lugar.
063
1.2.1.10 Prximos pasos

Es inevitable el seguir creciendo sobre la base instalada y es all donde se hace muy importan-te el no perder
de vista que es necesario reforzar otros elementos para que apoyen la estrate-gia de escalabilidad y robustecimiento de la seguridad. A continuacin se listan los elementos importantes que deben de ser tomados en
cuenta segn sea el caso:
1.2.1.10.1 Aseguramiento Contra Situaciones Hostiles

Robo de Equipo e Informacin, Fraude electrnico y Sabotaje.
1.2.1.10.2 Control de Accesos

Establecer control de accesos de personas y vehculos, implementacin de detectores de meta-les, sistemas
biomtricos (emisin de calor, huella digital, vericacin de voz, vericacin de patrones oculares), vericacin
automtica de rmas, seguridad con animales, proteccin elec-trnica (barreras infrarrojas y de microondas,
detectores ultrasnicos, circuitos cerrados, sono-rizacin y dispositivos luminosos).
1.2.1.11 Conclusiones
Evaluar y controlar permanentemente la seguridad fsica del local es la base para comenzar a integrar la seguridad como una funcin primordial dentro de cualquier organizacin.
Tener controlado el ambiente y acceso fsico permite:
- Disminuir siniestros.
- Trabajar mejor manteniendo la sensacin de seguridad.
- Descartar falsas hiptesis si se produjeran incidentes.
- Tener los medios para luchar contra accidentes.
Las distintas alternativas estudiadas son sucientes para conocer en todo momento el estado del medio en
el que nos desempeamos; y as tomar decisiones sobre la base de la informacin brindada por los
medios de control adecuados.
Estas decisiones pueden variar desde el conocimiento de las reas que recorren ciertas perso-nas hasta el
extremo donde pueden evacuar el local en caso de accidentes.
1.2.2 Recomendaciones sobre la arquitectura de redes de un CSIRT

En esta seccin se brindan varias recomendaciones sobre: el ambiente fsico, infraestructura de red, hardware,
software, infraestructura de telecomunicaciones y cuatro diagramas que de-tallan posibles escenarios de
implementacin de una topologa de red para un CSIRT segn sean sus posibilidades y necesidades.
Es importante hacer mencin que este detalle brinda un bosquejo bastante global de los ele-mentos que
tienen que ser tomados en cuenta para la implementacin de una arquitectura de red para un CSIRT en
particular.
064
1.2.2.1 Ambiente Fsico

Las reas relevantes a tratar dentro del ambiente fsico son las siguientes:
- reas Administrativas: las reas administrativas as como las salas de reuniones o apoyo podrn ser compartidas con el resto de la organizacin.
- reas Operativas: tales como salas de trabajo de los equipos tcnicos, sala de servido-res y sala de laboratorios son considerados ambientes crticos y debern tener imple-mentaciones de aspectos de seguridad fsica
especca.
Es importante considerar dentro de todas las reas fsicas cuales pueden ser tomadas como crticas y cules
no. Para los ambientes crticos debern ser contempladas las siguientes ca-ractersticas de seguridad:
- Ambiente aislado de otros departamentos.
- Segmentacin del Circuito de Servicios: deben de estar separadas fsicamente las redes de computadores as
como el acceso hacia el Internet.
- Acceso restringido al ambiente de trabajo, teniendo puertas con mecanismos de se-guridad como claves,
botones magnticos u otros recursos que permitan acceso res-tringido y forma de identicar y mantener
almacenados los datos de acceso.
- Obedecer la poltica de seguridad de informacin del CSIRT y/u organizacin.
Se recomienda que el ambiente fsico contemple ciertas caractersticas de seguridad, como:
- Que el acceso y permanencia en el local de terceras personas sea acompaado por in-tegrantes del CSIRT.
- Tener siempre a disposicin medios de proteccin y prevencin: extintores, senso-res de humo, rociadores,
circuito interno de televisin, piso falso, paredes refractarias, caja fuerte para el almacenamiento de documentos secretos, sistema empresarial de almacenaje de copias de seguridad.
A continuacin se listan las reas fsicas mnimas que se recomiendan para la implementacin operativa de un
CSIRT:
- Recepcin.
-Ocina del Director.
- Cuarto de Seguridad. (Caja Fuerte)
- Sala de Reuniones.
- Sala de Archivos y Almacenamiento de Medios.
065
- Sala de Capacitacin/Entrenamiento.
- Sala de Operaciones.
- Laboratorio.
- Sala de Servidores.
- Sanitarios.
Obviamente dentro de una organizacin a la que pertenezca el CSIRT gozar del uso de reas comunes a todos.
(Espacios abiertos, jardines, corredores, sanitarios, reas de parqueo de vehculos, etc.) De lo contrario,
tambin tendrn que ser tomadas en cuenta dentro de su de-nicin.
1.2.2.2 Infraestructura de Red

La infraestructura de la red de computadores del CSIRT debe estar separada de la infraestruc-tura de la organizacin en que est hospedada. El CSIRT debe tener una estructura propia de subredes y dominios. Red de la
organizacin y red del CSIRT.
Se recomienda que el CSIRT tenga una estructura de red de computadores aislada, permitien-do implementar
segmentos de redes con funciones especcas. Al menos deben de existir dos segmentos dentro de la red
CSIRT:
- Red para la operacin en ambiente de produccin: para el almacenaje de los datos y ejecucin de las tareas
relativas a los servicios.
- Red para tareas de laboratorio: para la aplicacin de pruebas y estudios.
Las redes que se conectan con el ambiente externo (Internet) deben de ser protegidas por me-dio de dispositivos de seguridad segn su necesidad. (Firewall, Proxy, IDS, IPS, etc.)
1.2.2.3 Hardware
Para que un CSIRT pueda operar con todas sus posibilidades se hace necesario poseer equi-pos de uso general.
En la siguiente tabla se listan los elementos necesarios a ser tomados en cuenta.
Tabla 10: Listado de equipos de hardware necesarios para un CSIRT.
EQUIPO
Equipos y medios
de conectividad
ELEMENTOS
- Routers.
- Switches.
- Hubs.
- Cableado Estructurado.
- Enlace con el Internet que cuente con: una velocidad adecuada, direccin IP vlida / bloque de direcciones IP vlidas.
- Dispositivos de seguridad. (Antivirus, IDS, IPS)
066
Equipos y medios
de conectividad
- Firewall.
- Deteccin de Intrusos.
- Correo electrnico, WEB, NTP, DNS.
- Registro de bitcoras de sistemas.
- Archivos.
- Intranet.
- Acceso Remoto (RPV).
- Backup.
- De Pruebas.
Estaciones de Trabajo y
Equipos Porttiles.
- Estaciones de trabajo.
- Computadoras porttiles.
- Accesorios: pen drive, CDs, DVDs, Discos
Duros Externos, He-rramientas, etc.
Equipos para la seguridad en

ambiente fsico.
- Caja Fuerte a prueba de fuego para almacenar

documentos y copias de seguridad.
- Infraestructura de proteccin contra incendios.
(Prevencin, de-teccin y alarma.)
- Sistema de refrigeracin y aire acondicionado
compatible con las especificaciones de los equipos
adquiridos.
- Infraestructura de proteccin contra interrupciones en el suminis-tro de energa elctrica.
(Estabilizadores, nobreaks, grupos de generadores
compartidos con las instalaciones del rgano que
acoger al CSIRT.)
Otros
- Proyector multimedia porttil.

- Impresora Multifuncional. (Impresora, fax y
escner.)
- Dispositivos para la realizacin de copias de
seguridad: grabado-res de CD, DVD y Cintas Magnticas.
- Trituradora de papel.
- Material de Oficina.
1.2.2.4 Software
Dentro de los tipos de software que debe utilizar una organizacin CSIRT se encuentran las siguientes recomendaciones:
- Que los sistemas operacionales de los servidores, estaciones de trabajo y equipos por-ttiles utilicen software
libre, siempre que esto sea posible.
067
- Procesos de aseguramiento de sistemas.

- Sistemas operacionales.
-Aplicaciones y conguraciones de los equipos utilizados en la red operacional CSIRT que sigan un
patrn y cumplan los siguientes requisitos:
*Estar congurados en modo seguro.
*Tengan instaladas las ltimas actualizaciones y correcciones de seguridad.
*Poseer sistemas de registro de eventos habilitados. (Bitcoras).
- Sistemas de control del ujo de trabajo (Workow) para el registro y seguimiento de in-cidentes.
- Sistemas de informacin en la Web para recoger informaciones de incidentes y divulga-cin de alertas,
recomendaciones y estadsticas.
- Aplicativos de Firewall corporativo para las estaciones de trabajo y equipos porttiles.
- Aplicativos para la deteccin y prevencin de intrusos.
- Servicios de correo electrnico, Web, NTP y DNS.
- Aplicativos de Criptografa y Firma Digital.
- Aplicativos para uso en el Laboratorio. (Aplicativos para el anlisis forense)
- Utilizacin de programas de virtualizacin de servidores y estaciones de trabajo para usos internos y de
laboratorio.
1.2.2.5 Infraestructura de Telecomunicaciones

A continuacin se listan los componentes necesarios para la implementacin de los servicios de un CSIRT:
- Conexin de Alta Velocidad con el Internet (Mnimo)
- PBX, extensiones y correo de voz.
- Equipo de FAX
- Telefona Mvil para hacer viable la operacin 7x24.
068
1.2.2.6 Diagramas Sugeridos

1.2.2.6.1 Esquema Uno: Red Bsica Segura
diagrama uno
RED BSICA SEGURA
internet
ruteador
WAN
DMZ
LAN
FIREWALL
estaciones de trabajo
servidor
DNS
servidor de
correo electrnico
servidor
web
estacin
de trabajo
SERVICIOS PBLICOS
laptops
impresora
de red
PDAs
servidores
servidor de
base de datos
servidor de
dominio
servidor de
aplicaciones
RED INTERNA
Figura 11: Diagrama Uno: Red Bsica Segura.
Tabla 11: Detalles sobre un esquema de red bsica segura.
detalles
caractersticas
software
descripcin
- Esquema para brindar servicios reactivos.
- No posee redundancia de servidores.
- Dos segmentos bsicos de red administrados por
un Firewall.
- Acceso a Internet mnimo de 2 Mbps.
- Se puede utilizar software libre.
069
1.2.2.6 Diagramas Sugeridos

1.2.2.6.1 Esquema Uno: Red Bsica Segura
diagrama dos
RED SEGURA REDUNDANTE
internet
FIREWALL
ruteador
FIREWALL
WAN
LAN
DMZ
estaciones de trabajo
DNS
correo electrnico
web
SERVICIOS PBLICOS
estacin
de trabajo
laptops
impresora
de red
PDAs
servidores
base de datos
dominio
aplicaciones
RED INTERNA
Figura 12: Diagrama Dos: Red Segura Redundante.
Tabla 12: Detalles sobre un esquema de redes seguras redundantes
detalles
caractersticas
software
descripcin
- Esquema para brindar servicios reactivos.
- Con redundancia de servidores.
- Dos segmentos de red regulados por Firewalls.
- Acceso a Internet mnimo de 2 Mbps.
070
1.2.2.6.3 Esquema Tres: Red Segura Segmentada y Redundante

diagrama tres
RED SEGURA SEGMENATDA
Y REDUNDANTE
internet
sensor
ruteador
FIREWALL
servidores
virtuales
RED DE PRUEBAS
FIREWALL
sensor
DMZ
DNS
ruteador
WAN
FIREWALL
sistema
IDS
ruteador
sensor
relay
SMTP
proxy
reverso
estacin
de trabajo
laptops
impresora
de red
PDAs
base de datos
RED INTERNA
WEB
correo
electrnico
bases
de datos
SERVIDORES
Figura 13: Diagrama Tres: Red Segura Segmentada y Redundante.
Tabla 13: Detalles sobre un esquema de redes seguras segmentadas y redundantes.
detalles
caractersticas
descripcin
- Esquema para brindar servicios reactivos y
proactivos.
- Sensores y servidor con Sistema de Deteccin de
Intrusos (IDS).
- Con redundancia de servidores.
- Enlaces a Internet Redundantes.
- Alta disponibilidad en los servicios.
- Tres segmentos de red para servicios de la
organizacin.
071
- Una red especializada para pruebas. (Laboratorio

de Pruebas)
- Accesos entre segmentos regulados por varios
Firewalls.
- Acceso a Internet
- Enlace principal a 8 Mbps.
- Enlace secundario para pruebas a 2 Mbps.
caractersticas
software
1.2.2.6.4 Esquema Cuatro: Red Segura Segmentada Separada de la Organizacin.

diagrama cuatro
RED SEGURA SEGMENTADA
SEPARADA DE LA ORGANIZACIN
INTERNET
RED HOST
RED CSIRT
sensor
ruteador
ruteador
sensor
ruteador
ruteador
sistema
IDS
FIREWALL
FIREWALL
FIREWALL
estacin
de trabajo
laptops
estacin
de trabajo
laptops
impresora
de red
PDAs
impresora
de red
PDAs
servidores
de
aplicaciones
OPERACIONES
servidor
web
bitcoras
DNS
estaciones
de trabajo
correo
electrnico
servidores
vitales
DMZ
LABORATORIO
RED INTERNA
Figura 14: Diagrama Cuatro: Red Segura Segmentada separada de la Organizacin.

Tabla 14: Detalles sobre un esquema de red segmentada separada de la organizacin.
detallese
caractersticas
descripcin
- Esquema para brindar servicios reactivos y proactivos.
- Separacin fsica de la red CSIRT y de la organizacin.
072
- Enlaces para el acceso al Internet redundantes

para la red CSIRT.
- Sensores y Servidor con Sistema de Deteccin de
Intrusos (IDS).
- Red aislada para Pruebas de laboratorio.
- Tres redes diferentes.
- Niveles de acceso internos regulado por los
Firewalls entre la Orga-nizacin y el CSIRT.
- Acceso a Internet
- Enlace de la Organizacin: 2 Mbps.
- Enlaces redundantes CSIRT: 4 Mbps.
- Enlace para red de Laboratorio: 2 Mbps.
software
1.2.3 Servicios informticos iniciales de un CSIRT

Los servicios informticos que brinde un CSIRT deben de ir de la mano del tipo de servicios que otorgue el
CSIRT a su comunidad. Para ello es relevante tener claro que tipos de servicio brindar el CSIRT y sus respectivas necesidades de servicios informticos que tiene que im-plementar.
1.2.3.1 Servicios CSIRT

Un CSIRT puede realizar funciones proactivas, reactivas y de investigacin para ayudar a pro-teger y asegurar
los bienes crticos de una organizacin o de una comunidad. No hay un grupo de funciones o servicios
estndares que pueda ofrecer un CSIRT. Cada equipo elige sus ser-vicios basados en las necesidades de su
rea de cobertura de servicio.
Para detallar esto se presenta la siguiente tabla:
Tabla 15: Servicios CSIRT.
servicios
Servicios Reactivos
procesos
- Servicio de alertas.
- Gestin de incidentes.
- Anlisis de incidentes.
- Respuesta a incidentes en sitio.
- Soporte de respuesta a incidentes.
- Gestin de vulnerabilidades.
- Anlisis de vulnerabilidades.
- Respuesta a vulnerabilidades.
- Coordinacin de respuesta a vulnerabilidades.
- Gestin de Artefactos (*).
- Anlisis.
- Respuesta.
- Coordinacin de la respuesta.
073
Servicios Proactivos
Calidad de los
servicios de gestin
de la seguridad
- Comunicados.
- Vigilancia tecnolgica.
- Auditoras de seguridad o evaluaciones.
- Conguracin y mantenimiento de seguridad,
herramientas y aplicaciones e infraestructura.
- Desarrollo de herramientas de seguridad.
- Servicios de deteccin de intrusos.
- Difusin de informacin relacionada con la seguridad.
- Anlisis de riesgos.
- Continuidad de negocio y plan de recuperacin
de desastres.
- Sensibilizacin en seguridad.
- Educacin / Entrenamiento.
- Evaluacin de productos o certicacin.
(*) Artefacto: herramientas, programas o porciones de cdigo utilizadas por los atacantes para lograr vulnerar
la seguridad de un sistema.
Debe tenerse en cuenta que algunos servicios tienen tanto un aspecto reactivo como uno proactivo. Por
ejemplo, la gestin de vulnerabilidades puede realizarse en respuesta al descu-brimiento de una vulnerabilidad
que est siendo activamente explotada. Pero tambin puede hacerse proactivamente revisando y testeando
cdigo para determinar dnde hay vulnerabili-dades, por lo tanto los problemas pueden ser reparados antes
de que sean ampliamente cono-cidos o explotados.
Algunos equipos pueden ofrecer muchos servicios de esta lista; otros pueden tener capacidad para proveer
algunos pocos; an otros equipos pueden compartir la responsabilidad de proveer estos servicios con otras
partes de la organizacin de la que dependen, o pueden tercerizar algunos servicios para respuesta a un
incidente o contratar a un proveedor de servicios de ges-tin de la seguridad.
La experiencia ha demostrado que cualquiera que sean los servicios que un CSIRT elige ofre-cer, la organizacin de la que dependen o gerencia debe asegurar que el equipo tiene los re-cursos necesarios (gente,
experiencia tcnica, equipamiento e infraestructura) para proveer un servicio valioso para los miembros del
rea de cobertura, o el CSIRT no tendr xito y sus des-tinatarios no informarn incidentes al equipo.
Adems, como hay cambios constantes en la tecnologa y el uso de Internet, pueden emerger otros servicios
que necesiten ser provistos por un CSIRT. Esta lista de servicios por lo tanto necesitar evolucionar y cambiar
con el transcurso del tiempo.
1.2.3.2 Servicios informticos de un CSIRT

Los servicios informticos de un CSIRT deben estar acorde a la administracin de la seguridad de la organizacin y deben dividir sus tareas en tres grupos relevantes:
074
- Autenticacin: establecer las entidades que pueden tener acceso al universo de recursos de
cmputo que posee un CSIRT.
- Autorizacin: es el hecho de que las entidades autorizadas a tener acceso a los recursos de
cmputo, tengan acceso nicamente a las reas de trabajo sobre las cuales ellas deben tener dominio.
- Auditora: se reere a la continua vigilancia de los servicios en produccin. Entra den-tro de este
Servicios
Proactivos
grupo el mantener
estadsticas
de acceso, estadsticas de uso y pol-ticas de acceso fsico a los recursos.
Los servicios informticos para un CSIRT, y especcamente, la denicin de los sistemas in-formticos necesarios para su operacin deben de ser consistentes con los mtodos de protec-cin que el CSIRT posea.
A continuacin se listan los mtodos de proteccin ms comnmente empleados dentro de una estructura
CSIRT.
Tabla 16: Mtodos comnmente utilizados para la proteccin en un CSIRT.
Mtodo
Descripcin
Sistemas de
Deteccin de Intrusos
Permiten analizar las bitcoras de los sistemas

en busca de pa-trones de comportamiento o
eventos que puedan considerarse sospechosos,
sobre la base de la informacin con la que han
sido previamente alimentados. Pueden considerarse como monitores.
Sistemas Orientados
a la Conexin de Red
Monitorean las conexiones que se intentan

establecer en una red o equipo en particular,
siendo capaces de efectuar una ac-cin sobre la
base de mtricas como: origen y destino de la
conexin, servicio solicitado, permisos, etc. Las
acciones que pueden emprender suelen ir
desde el rechazo de la conexin hasta alerta
al administrador.
Sistemas de Anlisis
de Vulnerabilidades
Analizan sistemas en busca de vulnerabilidades conocidas anticipadamente. La desventaja de estos sistemas es que pue-den ser
utilizados tanto por personas autorizadas como
por personas que buscan acceso no autorizado
al sistema.
Sistemas de Proteccin
de Integridad de Informacin
Sistemas que mediante criptografa o sumas de

verificacin tratan de asegurar que no ha
habido alteraciones inde-seadas en la informacin que se intenta proteger.
Sistemas de Proteccin a la
Privacidad de la Informacin
Herramientas que utilizan criptografa para asegurar que la infor-macin slo sea visible para quien
tiene autorizacin. Su aplica-cin se realiza principalmente en las comunicaciones entre dos entidades.
075
Resumiendo, un modelo de seguridad debe de estar formado por mltiples componentes o ca-pas que pueden
ser incorporadas a la organizacin CSIRT segn vaya madurando en la im-plementacin y aplicacin de los
mtodos de proteccin mencionados. Puntualmente se brinda un listado de aplicaciones de software que
entran dentro del esquema de los distintos mtodos de proteccin y que son elementos fundamentales para
operativizar los distintos servicios in-formticos que posea un CSIRT.
1.2.3.2.1 Aplicaciones
que apoyan la implementacin de los servicios informti-cos CSIRT
1.2.3.2.1.1 Sistema de Seguimiento de Incidentes
Denominado en ingls como issue tracking system, trouble ticket system o incident ticket sys-tem. Es un
paquete de software que administra y mantiene listas de incidentes, conforme son requeridos. Los sistemas
de este tipo son comnmente usados en la central de llamadas de servicio al cliente de una organizacin para
crear, actualizar y resolver incidentes reportados por usuarios, o inclusive incidentes reportados por otros
empleados de la organizacin. Un sis-tema de seguimiento de incidencias tambin contiene una base de
conocimiento que contiene informacin de cada cliente, soluciones a problemas comunes y otros datos
relacionados. Un sistema de reportes de incidencias es similar a un Sistema de seguimiento de errores
(bugtra-cker) y, en algunas ocasiones, una compaa de software puede tener ambos, y algunos bu-gtrackers
pueden ser usados como un sistema de seguimiento de incidentes, y viceversa.
1.2.3.2.1.2 Correo Electrnico Seguro

El empleo de certicados personales de empresa le ayudar a asegurar sus comunicaciones a travs del correo
electrnico. Por un lado podr rmar sus mensajes desde los clientes de co-rreo de mayor uso en la actualidad, garantizando de esta manera su autenticidad (que el emi-sor del mensaje es quien dice ser), integridad
(que el contenido del mensaje no ha sido altera-do) y no repudio (que no se podr negar la autora del mensaje). El proceso de rma de un e-mail se basa en la criptografa de clave pblica o asimtrica y puede resumirse de la siguiente forma: el emisor crear un resumen a partir del propio mensaje (hash) y lo cifrar con su
clave privada, este resumen ser enviado junto con el mensaje original al receptor, el cual, al recibir-lo, descifrar el hash recibido al tiempo que crear un nuevo resumen del mensaje que le llega. Si al comparar ambos
hash stos son idnticos la rma ser vlida. Este proceso, que en la teora resulta algo complejo, se hace
totalmente transparente al usuario a travs de las aplica-ciones de gestin de correo. Por otro lado, de
manera alternativa o complementaria a la rma de un documento, a travs de un certicado personal de
empresa podremos cifrar el contenido de un mensaje, garantizando de esta manera la condencialidad del
mismo, ya que slo el re-ceptor del mensaje encriptado podr desencriptarlo. El procedimiento de cifrado es
inverso al de rma: el emisor cifrar el mensaje con la clave pblica del receptor, por lo que ste ser el nico
que podr descifrarlo usando su clave privada (que slo l conoce).
076
1.2.3.2.1.3 Sistemas de Comunicaciones Seguras

Existen varios sistemas de comunicaciones seguras en el mercado. Es importante saber qu tipo de seguridad
brinda y es por ello que se brinda un listado que describe las caractersticas ms importantes de cada uno:
- SSH (Secure Shell), stelnet: SSH y stelnet son programas que le permiten efectuar co-nexiones con
sistemas remotos y mantener una conexin cifrada. Con esto evitamos, entre otras cosas, que las claves
circulen por la red sin cifrar.
- Cryptographic IP Encapsulation (CIPE): CIPE cifra los datos a nivel de red. El viaje de los paquetes entre
hosts se hace cifrado. A diferencia de SSH que cifra los datos por conexin, lo hace a nivel de socket. As como
una conexin lgica entre programas que se ejecutan en hosts diferentes, est cifrada. CIPE se puede usar en
tunnelling para crear una Red Virtual Privada (RPV). El cifrado a bajo nivel tiene la ventaja de poder hacer
trabajar la red de forma transparente entre las dos redes conectadas en la RPV sin ningn cambio en el
software de aplicacin.
- SSL: o Secure Sockets Layer, proporciona los siguientes servicios:
* Cifrado de datos: la informacin transferida, aunque caiga en manos de un atacante, ser
indescifrable, garantizando as la condencialidad.
*Autenticacin de servidores: el usuario puede asegurarse de la identidad del servidor al que se
conecta y al que posiblemente enve informacin personal condencial.
* Integridad de mensajes: impide que modicaciones intencionadas o accidentales en la informacin pasen inadvertidas cuando viaja por el Internet.
*Opcionalmente, autenticacin de cliente: permite al servidor conocer la identidad del usuario,
con el n de decidir si puede acceder a ciertas reas protegidas.
1.2.3.2.1.4 Firewall
Es una parte de un sistema o una red que est diseado para bloquear el acceso no autoriza-do, permitiendo
al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o con-junto de dispositivos congurados para permitir, limitar, cifrar, descifrar, el trco entre los dife-rentes mbitos sobre la base de un conjunto
de normas y otros criterios. Pueden ser imple-mentados en hardware o software, o una combinacin de
ambos. Se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a
redes privadas conec-tadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la
intra-net pasan a travs de l, examina cada mensaje y bloquea aquellos que no cumplen los crite-rios de
seguridad especicados. Tambin es frecuente conectar una tercera red, llamada zona desmilitarizada o DMZ,
en la que se ubican los servidores de la organizacin que deben per-manecer accesibles desde la red exterior.
Correctamente congurado aade una proteccin necesaria a la red, pero que en ningn caso debe considerarse suciente. La seguridad infor-mtica abarca ms mbitos y ms niveles de trabajo y proteccin.
077
1.2.3.2.1.5 Wrappers
Un Wrapper es un programa que controla el acceso a un segundo programa. El Wrap-per literalmente
cubre la identidad de este segundo programa, obteniendo con esto un ms alto nivel de seguridad. Los
Wrappers son usados dentro de la seguridad en sis-temas UNIXs. Estos programas nacieron por la
necesidad de modicar el comportamien-to del sistema operativo sin tener que modicar su funcionamiento.
Los Wrappers son ampliamente utilizados, y han llegado a formar parte de he-rramientas de
seguridad por las siguientes razones:
- Debido a que la seguridad lgica est concentrada en un solo programa, los Wrappers son
fciles y simples de validar.
- Debido a que el programa protegido se mantiene como una entidad separada, ste puede ser actualizado sin necesidad de cambiar el Wrapper.
- Debido a que los Wrappers llaman al programa protegido mediante llamadas es-tndar al
sistema, se puede usar un solo Wrapper para controlar el acceso a di-versos programas que se necesiten
proteger.
- Permite un control de accesos exhaustivo de los servicios de comunicaciones, adems de buena
capacidad de Logs y auditoras de peticiones a dichos servicios, ya sean autorizados o no.
1.2.3.2.1.6 Listas de Control de Acceso

Las Listas de Control de Accesos (ACL) proveen de un nivel de seguridad adicional a los clsicos provistos por los Sistemas Operativos. Estas listas permiten denir permisos a usuarios y grupos concretos. Por
ejemplo pueden denirse sobre un Proxy una lista de todos los usuarios (o grupos de ellos) a quien se les
permite el acceso a Internet, FTP, etc. Tambin podrn denirse otras caractersticas como limitaciones de
anchos de banda y horarios.
1.2.3.2.1.7 HoneyPot
Es el software o conjunto de computadores cuya intencin es atraer a atacantes, simulando ser sistemas
vulnerables o dbiles a los ataques. Es una herramienta de seguridad informtica utilizada para recoger informacin sobre los atacantes y sus tcnicas. Los Honeypots pueden distraer a los atacantes de las mquinas ms
importantes del sistema, y advertir rpidamente al administrador del sistema de un ataque, adems de
permitir un examen en profundidad del atacante, durante y despus del ataque al honeypot.
Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y
se les conoce como honeypots de baja interaccin y son usados fundamental-mente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha ms informacin; sus nes suelen ser de investigacin y se los conoce como honeypots de alta interaccin.
078
Un tipo especial de honeypot de baja interaccin son los sticky honeypots (honeypots pegajo-sos) cuya misin
fundamental es la de reducir la velocidad de los ataques automatizados y los rastreos.
En el grupo de los honeypots de alta interaccin nos encontramos tambin con los honeynet.
Tambin se llama honeypot a un website o sala de Chat, que se ha creado para descubrir a otro tipo de
usuarios con intenciones criminales.
1.2.3.2.1.8 Sistemas de Deteccin de Intrusos

Un sistema de deteccin de intrusos (IDS) es un componente ms dentro del modelo de seguridad de
una organizacin. Consiste en detectar actividades inapropiadas, incorrec-tas o anmalas desde el
exteriorinterior de un sistema informtico.
Los sistemas de deteccin de intrusos pueden clasicarse, segn su funcin y compor-tamiento en:
- HostBased IDS: operan en un host para detectar actividad maliciosa en el mismo.
- NetworkBased IDS: operan sobre los ujos de informacin intercambiados en una red.
- KnowledgeBased IDS: sistemas basados en Conocimiento.
- BehaviorBased IDS: sistemas basados en Comportamiento. Se asume que una in-trusin puede
ser detectada observando una desviacin respecto del comportamiento normal o esperado de un usuario en el
sistema.
La idea central de este tipo de deteccin es el hecho de que la actividad intrusiva es un conjun-to de actividades anmalas. Si alguien consigue entrar de forma ilegal al sistema, no ac-tuar como un usuario
comprometido; su comportamiento se alejar del de un usuario normal.
Sin embargo en la mayora de las ocasiones una actividad intrusiva resulta del agrega-do de otras actividades individuales que por s solas no constituyen un comportamiento intrusi-vo de ningn tipo. As las intrusiones pueden clasicarse en:
- Intrusivas pero no anmalas: denominados Falsos Negativos (el sistema err-neamente indica
ausencia de intrusin). En este caso la actividad es intrusiva pero co-mo no es anmala no es detectada. No
son deseables, porque dan una falsa sensacin de seguridad del sistema.
- No intrusivas pero anmalas: denominados Falsos Positivos (el sistema err-neamente indica la
existencia de intrusin). En este caso la actividad es no in-trusiva, pero como es anmala el sistema
decide que es intrusiva. Deben inten-tar minimizarse, ya que en caso contrario se ignorarn los avisos del
sistema, incluso cuando sean acertados.
079
- No intrusiva ni anmala: son Negativos Verdaderos, la actividad es no intrusiva y se indica como tal.
- Intrusiva y anmala: se denominan Positivos Verdaderos, la actividad es intrusiva y es detectada.
Los detectores de intrusiones anmalas requieren mucho gasto computacional, ya que se si-guen normalmente varias mtricas para determinar cunto se aleja el usuario de lo que se con-sidera comportamiento
normal.
1.2.3.2.1.9 Call Back

Este procedimiento es utilizado para vericar la autenticidad de una llamada va Modem. El usuario
llama, se autentica contra el sistema, se desconecta y luego el servidor se conecta al nmero que en teora
pertenece al usuario. La ventaja reside en que si un intruso desea ha-cerse pasar por el usuario, la llamada se
devolver al usuario legal y no al del intruso, siendo este desconectado. Como precaucin adicional, el
usuario deber vericar que la llamada (re-torno) proceda del nmero a donde llam previamente.
1.2.3.2.1.10 Gestor de Contraseas

Es un programa que se utiliza para almacenar una gran cantidad de parejas usua-rio/contrasea. La base de
datos donde se guarda esta informacin est cifrada mediante una nica clave (contrasea maestra o en ingls
master password), de forma que el usuario slo tenga que memorizar una clave para acceder a todas las
dems. Esto facilita la administracin de contraseas y fomenta que los usuarios escojan claves complejas sin
miedo a no ser capa-ces de recordarlas posteriormente.
1.2.3.2.1.11 Anti Sniers

Esta tcnica consiste en detectar Sniers en el sistema. Generalmente estos programas se basan en vericar
el estado de la tarjeta de red, para detectar el modo en el cual es-t actuando (recordar que un Snier
la coloca en Modo Promiscuo) y el trco de datos en ella.
1.2.3.2.1.12 Herramientas Criptogrcas

Tales como:
- Criptografa: la palabra Criptografa proviene etimolgicamente del griego (Kriptos: Oculto) y
(Grafo: Escritura) y signica arte de escribir con clave secreta o de un modo enigmtico. Hace varios aos
que dej de ser un arte para convertirse en una tc-nica (o conjunto de ellas) que tratan sobre la
proteccin (ocultamiento ante per-sonas no autorizadas) de la informacin. Entre las disciplinas que
engloba cabe destacar la Teora de la Informacin, la Matemtica Discreta, la Teora de los Grandes Nmeros y
la Complejidad Algortmica. Es decir que la Criptografa es la ciencia que consiste en transformar un
mensaje inteligible en otro que no lo es (mediante claves que slo el emisor y el destinatario conocen), para
despus devolverlo a su
080
forma original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo. El mensaje cifrado
recibe el nombre de Criptograma.
- Criptoanlisis: Es el arte de estudiar los mensajes ilegibles, encriptados, para transformarlos en
legibles sin conocer la clave, auque el mtodo de cifrado empleado siempre es conocido.
- Criptosistema: todo Criptosistema cumple la condicin DK(EK(m)) = m es decir, que si se tiene un
Servicios
Proactivos
mensaje m, se cifra
empleando
la clave K y luego se descifra empleando la misma clave, se obtiene el mensaje
original m. Existen dos tipos fundamentales de Criptosistemas utilizados para cifrar datos e informacin
digital y ser enviados poste-riormente despus por medios de transmisin libre.
* Simtricos o de clave privada: se emplea la misma clave K para cifrar y descifrar, por lo tanto el
emisor y el receptor deben poseer la clave. El mayor inconveniente que presentan es que se debe contar
con un canal seguro para la transmisin de dicha clave.
* Asimtricos o de llave pblica: se emplea una doble clave conocidas como Kp (clave
privada) y KP (clave Pblica). Una de ellas es utilizada para la transformacin E de cifrado y la
otra para el descifrado D. En muchos de los sistemas existentes estas clave son intercambiables, es decir
que si empleamos una para cifrar se utiliza la otra para descifrar y viceversa.
* Entre los algoritmos utilizados se encuentran: Transposicin, Cifrados Monoalfabticos
(Algoritmo de Csar y Sustitucin General).
- Algoritmos Simtricos: La mayora de los algoritmos simtricos actuales se apo-yan en los conceptos de Confusin y Difusin, estos mtodos consisten en ocultar la relacin entre el texto plano, el texto
cifrado y la clave (Confusin); y repartir la inuen-cia de cada bit del mensaje original lo ms posible entre el
mensaje cifrado (Difusin). A continuacin se listan algunos algoritmos: Redes de Feistel, DES, DES Triple,
IDEA, Blowsh, RC5, CAST, Rijndael (AES).
- Algoritmos Asimtricos (Llave Privada / Llave Pblica): Su principal caracterstica es que no se basa en
una nica clave sino en un par de ellas: una conocida (Pblica) y otra Privada. Actualmente existen muchos
algoritmos de este tipo pero han de-mostrado ser poco utilizables en la prctica ya sea por la longitud de
las clave, la longi-tud del texto encriptado generado o su velocidad de cifrado extremadamente largos.
* RSA: es el ms empleado en la actualidad, sencillo de comprender e implementar, aunque la
longitud de sus claves es bastante considerable (ha pasado desde sus 200 bits originales a 2048 actualmente).
*Curvas Elpticas (CEE): la eciencia de este algoritmo radica en la longitud reducida de
las claves, lo cual permite su implementacin en sistemas de ba-jos recursos como telfonos celulares
y Smart Cards.
081
Puede hacerse la siguiente comparacin con RSA, obteniendo el mismo nivel de seguridad:
CCE de 163 bits = RSA de 1024 bits
CCE de 224 bits = RSA de 2048 bits
- Autenticacin: Se entiende por Autenticacin cualquier mtodo que permita ga-rantizar
alguna caracterstica sobre un objeto dado.
*Firmas Digitales: Una rma digital se logra mediante una Funcin Hash de Resumen. Esta
funcin se encarga de obtener una muestra nica del mensaje original. Dicha muestra es ms pequea y es
muy difcil encontrar otro mensaje que tenga la misma rma. Las funciones Hash estn basadas en que un
mensaje de longitud arbitraria se transforma en un mensaje de longitud constante dividiendo el mensaje en partes iguales, aplicando la funcin de transformacin a cada parte y sumando todos los resultados
obtenidos. Actualmente se recomienda utilizar rmas de al menos 128 bits (38 dgitos) siendo 160 bits (48
dgitos) el valor ms utilizado.
*MD5: El Message Diggest 5 procesa los mensajes de entrada en bloques de 512, y produce una
salida de 128 bits.
*SHA-1: genera rmas de 160 bits a partir de bloques de 512 bits del mensaje original.
- PGP (Pretty Good Privacy): es un programa desarrollado por Phil Zimmermann y cuya nalidad es
proteger la informacin distribuida a travs de Internet mediante el uso de criptografa de clave pblica, as
como facilitar la autenticacin de documentos gracias a rmas digitales. Utilizado correctamente, PGP puede
proporcionar un gran nivel de se-guridad. A diferencia de protocolos de seguridad como SSL, que slo protege
los datos en trnsito (es decir, mientras se transmiten a travs de la red), PGP tambin puede uti-lizarse para
proteger datos almacenados en discos, copias de seguridad, etctera. PGP usa una funcin de 4 claves.
- Esteganografa: consiste en ocultar en el interior de informacin aparentemente inocua, otro
tipo de informacin (cifrada o no). El texto se enva como texto plano, pe-ro entremezclado con mucha
cantidad de basura que sirve de camuaje al mensaje enviado. El mtodo de recuperacin y lectura slo es
conocido por el destinatario del mensaje y se conoce como separar el grano de la paja. Los mensajes suelen
ir ocul-tos entre archivos de sonido o imgenes y ser enormemente grandes por la cantidad ex-tra de informacin enviada (a comparacin del mensaje original).
1.2.3.2.1.13 Aplicaciones de aseguramiento de protocolos y servicios

Cuando se implementan aplicaciones informticas se instalan servicios que estn asociados a protocolos que
permiten su funcionalidad bajo un ambiente determinado. Cada uno de los pro-tocolos y servicios tienen su
debilidad ya sea en su implementacin o en su uso.
082
Ya que es necesaria la conectividad entre equipos, se ha de ofrecer los mnimos servi-cios necesarios
para que todo funcione correctamente; esto choca frontalmente con las polti-cas de la mayora de fabricantes y empresas, que por defecto mantienen la mayora de servicios abiertos al instalar un equipo
nuevo: es responsabilidad del administrador preocupar-se de cerrar los que no sean estrictamente necesarios.
A continuacin se brinda un listado de los protocolos y servicios comunes dentro de la imple-mentacin de
una red informtica: NetBIOS, ICMP, FINGER, POP, NNTP, NTP, TFTP, FTP, TELNET, SMTP, Servidores Web.
1.2.3.2.1.14 Otros Protocolos de Seguridad

- SSH (Secure SHell, en espaol: intrprete de rdenes segura): es el nombre de un pro-tocolo y del
programa que lo implementa, y sirve para acceder a mquinas remotas a travs de una red. Permite manejar
por completo la computadora mediante un intrprete de comandos, y tambin puede redirigir el trco de X
para poder ejecutar programas grcos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo.
Adems de la conexin a otras mquinas, SSH nos permite copiar datos de forma segura (tanto -cheros
sueltos como simular sesiones FTP cifradas), gestionar claves RSA para no es-cribir claves al conectar a las
mquinas y pasar los datos de cualquier otra aplicacin por un canal seguro tunelizado mediante SSH.
- S/MIME: El protocolo MIME Seguro fue propuesto por la empresa RSA y des-pus de su
aparicin fue propuesto como estndar por la IETF pero por proble-mas de derechos y restricciones de
patentes no pudo ser posible. Utiliza tcnicas si-milares a PGP e incorpora certicados X.509. Aunque no
cuente con el apoyo necesa-rio para ser considerado un estndar, est implementado en muchos programas
de co-rreo electrnico. Tiene la ventaja sobre PGP, que al utilizar Autoridades de Certica-cin, es ideal para
ser utilizado por empresas y para el comercio electrnico.
- SOCKS: En sus orgenes este protocolo fue aprobado por el IETF como un es-tndar para la
autenticacin ante un Firewalls. Actualmente, y combinado con SSL provee las bases para construir RPV
altamente seguras. Socks permite la conexin de equipos situados tras un Firewall. Inicialmente fue
pensado para permitir el ac-ceso desde una red interna a servicios disponibles en el exterior, sin embargo
puede emplearse en sentido contrario, para el acceso desde el exterior de la organiza-cin (protegida
con un Firewall). La conexin es validada por el sistema de autentica-cin y despus el servidor Socks acta
de intermediario con la aplicacin situada en el servidor destino. Socks actua de envoltura sobre el protocolo UDPTCP permitiendo que los equipos protegidos por el Firewall puedan conectarse a una red insegura,
utili-zando su propia direccin y devolviendo los resultados al cliente. Debe notarse que So-cks slo autentica
las conexiones pero no produce ningn tipo de cifrado de los datos por lo que se hace necesario combinarlo
con algn algoritmo que si lo haga (SSH, SSL, PPTP, IPSec, etc).
- Kerberos: es un protocolo de autenticacin de redes de ordenador que permite a dos computadores
en una red insegura demostrar su identidad mutuamente de manera se-gura. Sus diseadores se concentraron primeramente en un modelo de cliente-servidor, y brinda autenticacin mutua: tanto cliente como
servidor verican la identidad uno del otro. Los mensajes de autenticacin estn protegidos para evitar eavesdropping (escu-char secretamente) y ataques de Replay (Ataques de Reinyeccin). Kerberos se basa en criptografa de clave simtrica y requiere un tercero de conanza. Adems, existen extensiones del protocolo para
poder utilizar criptografa de clave asimtrica.
083
1.2.3.2.1.15 Redes Privadas Virtuales (RPV)

La tecnologa de RPV proporciona un medio para usar el canal pblico de Internet co-mo un canal
apropiado para comunicar los datos privados. Con la tecnologa de encriptacin y encapsulamiento, una RPV
bsica, crea un pasillo privado a travs de una red insegura. Es decir que la red pblica slo proporciona la
infraestructura para enviar los datos.
El objetivo fundamental de una RPV es proteger los datos durante la transmisin a travs de la red, permitiendo el uso de redes pblicas como si fueran privadas (virtualmente privadas). Esta proteccin previene el
mal uso, modicacin, uso no autorizado e interrupciones de acceso a la informacin mientras atraviesa los
distintos segmentos de la red (o redes).
Una RPV no protege la informacin mientras est alojada en el origen, o cuando llega y se aloja en su destino. Tambin puede dejar expuesto los datos durante alguno de los procesos de encriptacin en la
red (redes internas antes de la encriptacin o redes ex-ternas despus de la desencriptacin). Una RPV
solo protege los aspectos de protec-cin en la comunicacin, no protege la informacin alojada en el disco
o impresa en pantalla.
1.2.3.2.1.16 Software Antivirus

Los antivirus nacieron como una herramienta simple cuyo objetivo fuera detectar y eliminar virus informticos,
con el transcurso del tiempo, la aparicin de sistemas operativos ms avanzados e Internet, los antivirus han
evolucionado hacia programas ms avanzados que no slo buscan detectar un Virus informtico, sino
bloquear, desinfectar y prevenir una infeccin de los mismos, as como actualmente ya son capaces de
reconocer otros tipos de malware, como spyware, rootkits, etc.
El funcionamiento de un antivirus vara de uno a otro, aunque su comportamiento normal se basa en contar
con una lista de virus conocidos y su formas de reconocerlos (las llamadas rmas o vacunas), y analizar contra
esa lista los archivos almacenados o transmitidos desde y hacia un ordenador.
Adicionalmente, muchos de los antivirus actuales han incorporado funciones de deteccin proactiva, que no se
basan en una lista de malware conocido, sino que analizan el comportamiento de los archivos o comunicaciones para detectar cules son potencialmente dainas para el computador, con tcnicas como Heurstica,
HIPS, etc.
Usualmente, un antivirus tiene un (o varios) componente residente en memoria que se encarga de analizar y
vericar todos los archivos abiertos, creados, modicados, ejecutados y transmitidos en tiempo real, es decir,
mientras el ordenador est en uso.
Asimismo, cuentan con un componente de anlisis bajo demando (los conocidos scanners, exploradores, etc.),
y mdulos de proteccin de correo electrnico, Internet, etc.
El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas informticas
que puedan afectar un computador y bloquearlas antes de que la misma pueda infectar un equipo, o poder
eliminarla tras la infeccin. Actualmente hay una gran mayora de antivirus pero no todos se asemejan al
pretendido por todos, un antivirus ecaz en todos los sentidos.
084
1.2.3.2.1.1 Herramientas de anlisis Forense

La Informtica Forense es una ciencia relativamente nueva y no existen estndares aceptados, aunque algunos
proyectos estn en desarrollo.
En la actualidad existen varias herramientas que nos sirven para realizar anlisis forenses informticos sobre:
-Recuperacin de evidencias en Discos Duros.
- Recuperacin de contraseas.
- Deteccin y recuperacin de Virus, Troyanos y Spyware.
- Seguridad en el correo electrnico (Hoax).
- Anlisis de redes P2P.
- Mviles y tarjetas SIM.
- Procesos en el computador del usuario.
- Anonimato.
- Investigacin de informacin.
1.2.3.2.1.18 Voz sobre IP (VoIP)

Voz sobre Protocolo de Internet, tambin llamado Voz sobre IP, VozIP, VoIP (por sus siglas en ingls), es un
grupo de recursos que hacen posible que la seal de voz viaje a travs de Internet empleando un protocolo IP
(Internet Protocol). Esto signica que se enva la seal de voz en forma digital en paquetes en lugar de enviarla
(en forma digital o analgica) a travs de circuitos utilizables slo para telefona como una compaa telefnica
convencional o PSTN (sigla de Public Switched Telephone Network, Red Telefnica Pblica Conmutada).
Los Protocolos que son usados para llevar las seales de voz sobre la red IP son comnmente referidos como
protocolos de Voz sobre IP o protocolos IP. El trco de Voz sobre IP puede circular por cualquier red IP, incluyendo aquellas conectadas a Internet, como por ejemplo redes de rea local (LAN).
Es muy importante diferenciar entre Voz sobre IP (VoIP) y Telefona sobre IP:
- VoIP es el conjunto de normas, dispositivos, protocolos, en denitiva la tecnologa que permite la
transmisin de la voz sobre el protocolo IP.
- Telefona sobre IP es el conjunto de nuevas funcionalidades de la telefona, es decir, en lo que se
convierte la telefona tradicional debido a los servicios que nalmente se pueden llegar a ofrecer gracias a
poder portar la voz sobre el protocolo IP en redes de datos.
085
11.3.1 Benecios en la implementacin de un CSIRT

Un Centro de Respuesta a Incidentes de Seguridad Informtica tiene como benecio principal la capacidad que
le brindar a su comunidad en poderles proveer un servicio en el manejo de una respuesta rpida que permita
contener un incidente de seguridad informtica y segn sea el caso el poder posibilitar la recuperacin del
dao causado por el mismo. Las relaciones o alianzas con pares que tenga el centro as como el acceso compartido a estrategias de res-puesta y alertas tempranas hacen ms efectiva su operacin.
Tambin contribuyen en procesos de aseguramiento de sistemas, identicacin de vulnerabili-dades hasta la
deteccin de incidentes.
A continuacin se listan los benecios que se obtiene al tener un CSIRT:
- Un punto de contacto focal y conable dentro de la comunidad para el manejo de inci-dentes de
seguridad informtica.
- Promueve un desarrollo en la utilizacin de infraestructura tecnolgica basado en las buenas y
mejores prcticas para la adecuada coordinacin de la respuesta a incidentes de seguridad informtica.
- Un punto especializado y asesor para la proteccin de las distintas actividades inform-ticas de los
sectores que conforman su comunidad objetivo.
- Brinda informacin sobre vulnerabilidades y las asocia con sus respectivas recomenda-ciones para la
su mitigacin y/o control.
- Provee servicios de publicacin de informacin ecaces con la nalidad de socializar la cultura de
seguridad informtica.
- Participa y comparte experiencias con equipos similares y proveedores de servicios de seguridad
informtica para su promocin y actualizacin, as como para el estableci-miento de mejores estrategias para
el manejo de incidentes de seguridad informtica.
- Administra puntos de contacto con otros CSIRT para respaldar las distintas estrategias de seguridad
informtica en un sentido ms global.
- Apoya a otras instituciones que lo requieran a desarrollar capacidades propias para el manejo de
incidentes as como la implantacin de buenas y mejores prcticas de segu-ridad informtica.
- Posee un equipo personal especializado en constante proceso de actualizacin con la intencin de
brindar servicios de soporte informticos con un alto nivel de ecacia y e-ciencia a los distintos requerimientos que la comunidad demande de su respectivo CSIRT.
- Promueve y desarrolla materiales de concientizacin, educacin y entrenamiento en va-riedad de
temas de seguridad informtica.
086
1.3.2 Anlisis FODA General para un CSIRT

Luego se hace necesario realizar un proceso de anlisis que evalu si las medidas adoptadas son relevantes, si
estn fuera o dentro de la organizacin as mismo, si provee un valor positivo o negativo.
Para poder analizar la situacin ante la creacin de un CSIRT se presenta el siguiente anlisis FODA (Fortalezas,
Oportunidades, Debilidades, Amenazas) que apoya la conformacin de un cuadro situacional que nos permite
obtener un diagnstico preciso que nos apoye en el proceso de tomas de decisiones acordes con los objetivos
y polticas de nuestro CSIRT.
ANLISIS FODA GENERAL PARA UN CSIRT
ELEMENTO
DESCRIPCIN
FORTALEZAS
- Posee el respaldo de la organizacin que lo hospeda as como el

re-corrido que la misma tenga en la comunidad a la que pertenece.
- Un punto focal para la notificacin y tratamiento de incidentes de
se-guridad.
- Disponibilidad de personal tcnico calificado y actualizado.
- Dado el conocimiento que posee su personal, el CSIRT es relevante para el
proceso de educacin para la seguridad y prevencin de inci-dentes.
OPORTUNIDADES
- Desarrollo de relaciones comerciales de largo plazo con los clientes.

- Bsquedas de alianzas con terceros que complementen los servicios en el
mercado objetivo.
- Gran necesidad de coordinacin de incidentes de seguridad inform-tica.
- Proyecto de inters general para todos los sectores de la sociedad.
- No existe una centralizacin en la medicin y seguimiento de la seguridad informtica en el segmento de servicio.
DEBILIDADES
- Experiencia.
- Reconocimiento del trabajo del nuevo CSIRT.
- Los sectores pblico y privado no tienen la prioridad ni la costumbre de
asesorarse por un ente especializado en temas de seguridad in-formtica.
- Infraestructura TIC dbil.
- Incipiente regulacin de servicios informticos.
AMENAZAS
- Desaceleracin de la economa mundial y local.

- Rpida obsolescencia de los equipos informticos.
- Competidores ya establecidos en el mercado de la seguridad inform-tica.
- Respaldo financiero limitado.
- Bajos incidentes de seguridad informtica pueden desembocar en dificultar
el auto sostenimiento del CSIRT.
087
1.3.3 Creacin de un Presupuesto Preliminar de Inversin y Funcionamiento

Es un presupuesto que deber de ser ajustado de acuerdo con las validaciones que se realicen al modelo de la
comunidad objetivo que atender. Usualmente los rubros se proyectan para un mnimo de un ao y cubre los
siguientes puntos:
- Presupuesto de Inversin: comprende todo el cuadro de adquisicin de mquina y equipo que permiServicios Proactivos
tan asegurar el proceso productivo y ampliar la cobertura del mercado. Los principales componentes considerados para el Presupuesto de Inversin son:
* Estudios y Diseos: Los costos incluyen las evaluaciones de riesgos y vulnerabilidades de
seguridad de la informacin, que permitan prevenir la accin de los incidentes y crear una lnea base para el
desarrollo de los servicios y el monitoreo de la seguridad de la informacin en las entidades atendidas.
* Plataforma Tecnolgica: incluye el hardware y software requerido para garantizar la operacin
y la seguridad de la informacin propia del CSIRT as como la necesaria para la prestacin de los servicios
ofrecidos. Comprende los siguientes rubros: Hardware, Software, Servicios de Seguridad, Mantenimiento y
Reparaciones, Desarrollo Web, Tecnologas de Seguridad de la Red y de la Informacin, Gestin de Equipos de
Seguridad, Monitoreo de Equipos de Seguridad, Correlacin de Equipos de Seguridad, Proteccin a los Sistemas.
* Mobiliario.
* Seguros de Equipos e Infraestructura.
- Presupuesto de Funcionamiento: tienen que ver con la razn principal de la entidad CSIRT. Los
componentes son:
* Costo de Personal: debe de disearse en base a la estructura organizacional del CSIRT con
salarios acordes al mercado laboral y los perles requeridos. Los probables elementos son los siguientes:
Director, Directores, Jefes de Grupo, Profesionales Certicados en Seguridad, Equipo Base, Personal Administrativo. Tambin es importante proyectar las prestaciones de ley respectivas.
* Reclutamiento: asume la contratacin de un tercero para el proceso de bsqueda y reclutamiento del personal del CSIRT.
* Entrenamiento y Capacitacin: costos asociados con la preparacin tcnica del personal para
un mejor desempeo en la operacin.
* Operacin: Costos estimados asociados a la operacin diaria del CSIRT en la prestacin de los
servicios ofrecidos tales como: Logstica para conferencias y talleres, Costos de Presentacin, Suscripciones a
Medios Especializados, Traducciones, Elaboracin de Talleres, Publicaciones, Publicidad y Materiales Informativos, Viticos.
* Infraestructura: Alquiler de Establecimiento, Servicios Pblicos, Mantenimiento.
* Impuestos de Ley: Impuestos Municipales, Impuestos Fiscales, Registro de Comercio, etc. Es
importante detallar todos los impuestos que apliquen.
088
* Costo Variable Adicional: Auditoras de Seguridad, Conguracin y Mantenimiento de la

Seguridad, Anlisis de Riesgos, Planicacin de la continuidad de la operacin y recuperacin tras un desastre,
Recopilacin de Pruebas Forenses, Respuesta a Incidentes In Situ, Evaluacin de Productos.
- Presupuesto de Ventas de Servicios: se estima con base en tarifas y comportamien-tos esperados del
mercado y considerando la operacin del CSIRT durante el ao de operacin.
Proactivos
*Servicios
Ventas de
Servicios: Cursos de Capacitacin, Auditoras de Seguridad, Conguracin y Mantenimiento de la Seguridad Informtica, Anlisis de Riesgos, Planicacin de la Continuidad de la Operacin y
Recuperacin tras un Desastre, Recopilacin de Pruebas Forenses, Respuesta a Incidentes In Situ, Evaluacin
de Productos.
089
1.4 Conclusiones
- La convergencia de los sistemas multiplica exponencialmente los problemas de seguridad planteados. El equilibro es difcil, el espectro a cubrir es amplio y, como di-cultad extra, el campo de trabajo es
intangible. Esto hace necesario desarrollar tcnicas y/o adaptar las existentes de forma tal de circunscribir
nuestro trabajo de conse-guir informacin dentro de un marco de seguridad.
- CuandoServicios
se diseaProactivos
un sistema se lo hace en base a su operatividad y/o funcionalidad de-jando de lado
la Seguridad. Ser necesario establecer una pertenencia y corres-pondencia entre las tcnicas adoptadas conformando un sistema de seguridad; y no procedimientos aislados que contribuyan al caos
general existente. Esto slo puede lograrse al integrar la seguridad desde el comienzo, desde el diseo, desde
el desarrollo.
- Las tecnologas involucradas en estos procesos condicionan las tcnicas empleadas, los tiempos
condicionan esas tecnologas y, paradjicamente, las legislaciones deben adaptarse a los rpidos cambios
producidos. Esto hace obligatorio no legislar sobre tecnologas actuales, sino sobre conceptos y abstracciones
que podrn ser implemen-tados con distintas tecnologas en el presente y el futuro. Es urgente legislar un
marco legal adecuado, no solo que castigue a los culpables sino que desaliente acciones hosti-les futuras.
- Algunos pocos mtodos realmente novedosos de inltracin ponen en jaque los sistemas de
seguridad. Aqu, se prueba la incapacidad de lograr 100% de segu-ridad, pero tambin es hora de
probar que los riesgos, la amenaza, y por ende los daos pueden ser llevados a su mnima expresin.
Muchas veces basta con restringir accesos a informacin no utilizada o que no corresponde a los nes
plan-teados. Otras veces la capacitacin ser la mejor herramienta para disminuir drstica-mente los daos.
- La seguridad es un estado mental, la seguridad perfecta requiere un nivel de perfec-cin que
realmente no existe, y de hecho dudo que algn da exista, pero los riesgos deben y pueden ser manejables.
- El costo en el que se incurre suele ser bajo comparado con aquellos luego de producido un dao. El
desconocimiento y la falta de informacin son el principal inconveniente cuando se evala la inclusin de
seguridad como parte de un sistema.
- El desarrollo de software es una ciencia imperfecta; y como tal es vulnerable. Es una realidad, la
seguridad involucra manipulacin de naturaleza humana. Hay que com-prender que la seguridad consiste en
tecnologa y poltica, es decir que su combinacin y su forma de utilizacin determina cuan seguros son los
sistemas. El problema de la seguridad no puede ser resuelto por nica vez, es decir que constituye un
viaje permanente y no un destino.
090
CAPTULO 2
Tipologas de centros
de Respuesta.
091
CAPTULO 2
INFORMACIN
NOMBRE DOCUMENTO: Tipologas de Centros de Respuesta.
FECHA DE CREACIN:Mxico D.F., Diciembre de 2009.
AUTOR: Ing. Ruben Aquino Luna.
Resumen.
Se describen los modelos organizacionales existentes para centros de respuesta a incidentes de seguridad
de la informacin con el objetivo de unificar la terminologa y obtener conocimien-to en las formas de
organizacin ms comnmente utilizadas. Asimismo se describen las prin-cipales ventajas y desventajas de
cada modelo y se sealan las situaciones a las que mejor se adapta cada uno.
092
2. Modelos organizacionales de centros de respuesta a incidentes

Al crear un Centro de Respuesta a Incidentes de Seguridad es fundamental decidir el modelo organizacional a
utilizar. La respuesta efectiva ante incidentes depende de una planeacin precisa del modo de operacin del
centro de respuesta.
Al planear un centro de respuesta a incidentes debe denirse la estructura que tendr de acuerdo a los objeServicios Proactivos
tivos, visin y misin del mismo. Existen muchos factores que deben tomarse en cuenta para denir el modelo
adecuado de centro de respuesta. Entre esos factores, algunos fundamentales son:
- El mbito de accin u operacin
- Misin del centro de respuesta
- Servicios que se pretende proporcionar
- Posicin del centro de respuesta en la estructura organizacional
- Cules sern las obligaciones y la autoridad del centro de respuesta
- Infraestructura actual e infraestructura necesaria
- Financiamiento de la operacin del centro de respuesta
- Estructura del Centro de Respuesta
La estructura de un Centro de Respuesta depende del alcance y mbito de accin del mismo dentro de una
organizacin. Es importante denir un modelo organizacional adecuado para el Centro de Respuesta, de tal
forma que se contemplen todas las operaciones que se realizarn. Seleccionar adecuadamente un modelo
permite establecer mtodos adecuados para tareas y servicios que van desde cmo reportar un incidente por
algn miembro de la organizacin hasta la restauracin de los servicios afectados por un incidente de seguridad, incluyendo todo lo que ello implica, como la forma de responder al incidente y el proceso para el anlisis
de la evidencia.
2.1 Modelos de referencia

La estructura organizacional de un centro de respuesta a incidentes dene aspectos como la ubicacin fsica
del centro de respuesta, su lugar en la organizacin y en la circunscripcin y los mecanismos de interaccin con
ellas.
Hay cuatro (tres en realidad) categoras principales en lo que se reere a estructuras de un Centro de Respuesta:
2.1.1 Equipo de seguridad

Este es un modelo bajo el cual una organizacin responde a incidentes de seguridad con los recursos humanos
y materiales existentes sin que exista un equipo o centro dedicado para la respuesta a incidentes. Esto generalmente signica que la respuesta a un incidente se realiza por parte de la persona que administra los dispositivos o recursos involucrados en l. De este modo, la respuesta a los incidentes de seguridad de la informacin
es muy heterognea ya que, aunque podra contarse con algn tipo de guas bsicas, el xito en la respuesta al
incidente depender en gran medida de la capacidad y habilidades de administradores de sistemas, de red,
desarrolladores, etc. Con este tipo de modelo es complicada la implementacin de mejores prcticas en la
respuesta a incidentes y la investigacin y seguimiento coordinados. Hay tambin muy poca retroalimentacin
sobre un incidente y, por tanto, el aprendizaje para robustecer la seguridad de la informacin es muy limitado.
093
2.1.2 Equipo de respuesta a incidentes centralizado.

En este modelo, existe un nico equipo de respuesta a incidentes que se encarga del manejo de todos los
incidentes. Es un modelo adecuado para organizaciones pequeas y para aquellas organizaciones grandes cuya
infraestructura tecnolgica no est en sitios geogrcamente distantes. El centro de respuesta centralizado es
el nico punto de contacto en toda la organizacin para la respuesta a incidentes y reportes de vulnerabilidades.
2.1.3 Equipos de respuesta a incidentes distribuidos.

En este modelo, la organizacin cuenta con varios equipos de respuesta a incidentes. Todos los equipos
conforman el centro de respuesta. Se crean o denen equipos de respuesta a incidentes para responder
incidentes especcos. Los equipos pueden crearse de acuerdo a segmentos lgicos o fsicos. En este caso, los
equipos de respuesta pueden crearse por cada divisin de la organizacin o bien por unidades geogrcas. Es
importante que todos los equipos estn coordinados por una unidad central que permita garantizar que el
servicio de respuesta a incidentes que proporciona cada uno de los equipos es consistente con el de todos los
dems y con el que la organizacin ha denido. Establecer una entidad de coordinacin centralizada tambin
facilita el intercambio de informacin entre los distintos equipos de respuesta, lo cual es fundamental en este
modelo ya que puede haber incidentes en que deban integrarse de manera coordinada ms de uno de los
equipos de respuesta. Claramente, este modelo es ms adecuado para grandes organizaciones o bien para
aquellas que cuentan con varias unidades en diversos sitios geogrcos.
2.1.4 Equipo coordinador.

Este modelo organizacional de centros de respuesta se reere a un centro de respuesta que trabaja con otros
centros de respuesta. Esto es, se trata de un equipo que proporciona asesora e informacin a otros equipos
de otras entidades sobre las que no necesariamente ejerce autoridad directa. El centro de respuesta coordina
y facilita el manejo de incidentes entre varias organizaciones, que pueden ser internas y/o externas, que
pueden incluir divisiones o subsidiarias de una organizacin, entidades de un mismo gobierno, organizaciones
pertenecientes a un mismo dominio o dentro de un estado o pas. Su funcin principal es proporcionar anlisis
de incidentes y de vulnerabilidades, soporte y servicios de coordinacin. Una actividad importante de este tipo
de centros es la generacin de guas, boletines, mejores prcticas, avisos sobre soluciones para mitigar el
impacto de incidentes y sobre recuperacin luego de la ocurrencia de alguno.
094
2.2 Centros de respuesta existentes

Cuando se planea la creacin de un nuevo centro de respuesta, es muy til echar un vistazo a los centros que
ya existen y que han operado por algn tiempo en alguna parte del mundo. Es muy probable que el centro que
se planea crear tengo algo o mucho en comn con alguno o algunos de los centros que existen en la actualidad
y en cuyo modelo puede basarse la planeacin.
Las ventajas de revisar la estructura de los grupos existentes son varias. Por un lado, se puede contactar al
centro existente para conocer cmo se form ese centro de respuesta y cmo opera en su mbito de accin,
cules fueron los principales obstculos en la creacin y consolidacin del centro de respuesta y, por supuesto,
cul es el modelo y la estructura bajo los que funcionan. Por otra parte, hay muchos grupos de respuesta que
pueden tener la disposicin inclusive de apoyar, a travs de proporcionar asesora, la creacin del nuevo
centro de respuesta. El apoyo puede resultar muy valioso pues se trata de experiencias probadas. Es importante saber, sin embargo, que no podemos delegar la responsabilidad de la planeacin y creacin del centro de
respuesta a incidentes en otra organizacin ya que, como se ha mencionado, el xito en la operacn del
centro depende de cubrir de manera efectiva las necesidades particulares para las que est siendo creado.
2.3 Nombre del centro de respuesta

No hay algn requisito respecto de cmo deben nombrarse a un centro de respuesta a incidentes. En realidad
un centro de respuesta puede tener cualquier nombre. El reconocimiento de los centros de respuesta que
existen en la actualidad se ha dado ms bien a travs de la reputacin que han logrado por el trabajo que
realizan.
Si bien no existen requisitos para el nombre de un centro de respuesta a incidentes de seguridad, hay algunos
de uso frecuente que seguramente alguna vez hemos visto, particularmente siglas en ingls como las siguientes:
IRT - Incident Response Team
CSIRT - Computer Security Incident Response Team
CIRT - Computer Incident Response Team
CIRC - Computer Incident Response Capability
SIRT - Security Incident Response Team
SERT - Security Emergency Response Team
CERT - Computer Emergency Response Team
De esta lista, quiz los mas frecuentes sean los dos primeros y el ultim. ste ltimo, sin embargo, es un
nombre que slo puede usarse con el permiso del Software Engineering Institute (SEI) de la Universidad de
Carnegie Mellon, en Estados Unidos.
095
2.4 La circunscripcin del centro de respuesta

Un factor importante para elegir el modelo organizacional para un centro de respuesta a incidentes es denir
la circunscripcin en la que tendr cobertura. Al denir la circunscripcin quedar claro si el centro de respuesta proporcionar servicio a entidades externas o solamente a la organizacin dentro de la cual se constituye.
Esta denicin depende de los objetivos para los cules se crea el centro de respuesta y no necesariamente
tiene que ver con el sector de la sociedad al que pertenece la organizacin en la que se crea el centro de
respuesta. Una organizacin comercial puede crear un centro de respuesta para vender el servicio de respuesta a incidentes o bien para atender sus necesidades propias en la materia. Lo mismo ocurre en otros
sectores, como el de gobierno e incluso el educativo.
Un segundo factor fundamental para elegir el modelo organizacional y que tiene tambin que ver con la
denicin de la circunscripcin para el centro de respuesta es la cobertura geogrca que tendr. Si todo se
encuentra concentrado en una misma ubicacin geogrca, puede optarse por un esquema centralizado,
mientas que si la cobertura incluir ubicaciones geogrcas distintas, seguramente deber optarse por un
esquema distribuido.
2.5 Misin del centro de respuesta.

La misin del centro de respuesta es una denicin breve, clara y precisa del propsito y de la funcin del
centro de respuesta. Con la denicin de la circunscripcin y de la misin del centro de respuesta, pueden
delinearse los servicios y el alcance que tendr cada uno de ellos. Con todos estos elementos, se va conformando la eleccin del modelo organizacional adecuado para el centro de respuesta.
2.6 Servicios principales

Un centro de respuesta a incidentes puede proporcionar diversos servicios de seguridad de la informacin,
pero es conveniente que cuando est recin formado, se enfoque de manera principal el servicio de respuesta
a incidentes y algunos que puedan identicarse como necesarios y tiles para la operacin del centro. A partir
de proporcionar esos servicios de manera adecuada, el centro de respuesta podr ir hacindose presente en el
mbito de accin y generando conanza en la o las organizaciones en las que acta y, a partir de ello, se
pueden contemplar la implementacin de otros servicios asociados.
El manejo de incidentes es en s mismo un servicio que puede incluir diversos aspectos: gestin de incidentes,
atencin en sitio, coordinacin de equipos, cmputo forense, anlisis de software malicioso, etc.
Si bien la tarea principal de un centro de respuesta a incidentes de seguridad de la informacin es esencialmente el manejo de incidentes, es realmente difcil que las actividades se limiten a esa tarea nicamente. Las
razones para realizar actividades adicionales a la respuesta a inci-dentes tienen que ver con el entorno del
centro de respuesta y con las necesidades que se van observando durante la operacin del mismo. Sobre el
primer caso, es frecuente que en la orga-nizacin se observe al centro de respuesta tambin como una entidad
de consulta y asesora, debido a que sabe cmo solucionar problemas sobre seguridad de la informacin. En el
segun-do caso, con la operacin cotidiana de un centro de respuesta a incidentes de seguridad gene-ralmente
surge la necesidad de actuar en alguna o en las otras dos fases del ciclo de la seguri-dad de la informacin:
prevencin y deteccin.
Entre las muchas actividades adicionales que puede proporcionar un centro de respuesta a in-cidentes de
seguridad de la informacin estn:
096
2.6.1 Emisin de boletines y alertas de seguridad

Las actividades de prevencin son importantes ya que contribuyen a evitar incidentes de segu-ridad
informtica derivado s del desconocimiento de nuevas amenazas. De este modo, el cen-tro de respuesta
puede emitir boletines sobre nuevas vulnerabilidades en sistemas operativos, aplicaciones, etc., y las formas
de mitigar los riesgos asociados a las vulnerabilidades. Es tam-bin importante que el centro de respuesta
emita boletines y alertas relacionadas con la infra-estructura de seguridad que aplica a la organizacin, de tal
forma que no se confunda a la or-ganizacin con informacin que podra ser innecesaria. Adems de boletines
y alertas sobre vulnerabilidades y amenazas, el centro de respuesta tambin puede emitir informacin sobre
lecciones aprendidas de incidentes ocurridos dentro de la misma organizacin.
2.6.2 Anlisis de vulnerabilidades

El personal del centro de respuesta a incidentes tambin puede apoyar con actividades de an-lisis de vulnerabilidades dentro de la organizacin, colaborando con actividades de auditora o de pentest. Generalmente
dentro del centro de respuesta a incidentes se cuenta con personal capacitado para esta actividad porque son
habilidades que tambin se requieren en el manejo de incidentes. Debe tenerse en cuenta que no puede
delegarse la responsabilidad principal del anlisis de vulnerabilidades al personal de manejo de incidentes ya
que su tarea principal es la respuesta a incidentes.
2.6.3 Deteccin de incidentes

El personal del centro de respuesta a incidentes tambin puede colaborar en actividades de deteccin de
incidentes. Ya que el centro de respuesta es quien cuenta con informacin sobre los incidentes que ocurren en
la organizacin, es til que su personal participe en la denicin de los mecanismos y dispositivos para la
deteccin de incidentes. Esa misma participacin y colaboracin en la deteccin puede servir para dar una
perspectiva al centro de respuesta so-bre las amenazas cotidianas a la seguridad de la informacin de la
organizacin.
2.6.4 Difusin y capacitacin

Una labor muy importante de un centro de respuesta a incidentes en materia de prevencin es el desarrollo de
programas de capacitacin y difusin sobre seguridad de la informacin. En realidad, estos programas deben
realizarse de forma permanente pues es la forma ms efecti-va de lograr que los integrantes de la organizacin
estn conscientes de las amenazas a la se-guridad de su informacin y la de la organizacin y de las medidas
para mitigar los riesgos aso-ciados a las vulnerabilidades identicadas y tambin para que conozcan las medidas que de-ben tomarse ante alguna contingencia o incidente. Muchas veces el xito en la respuesta y en la
investigacin de un incidente de seguridad de la informacin depende de la colaboracin de todos los involucrados, por lo que no debe escatimarse en los programas de difusin y capaci-tacin ya que tambin es a
travs de ellos como se logra de manera efectiva disminuir las posi-bilidades de que los incidentes se repitan.
097
2.6.5 Implementacin de mejores prcticas

Al funcionar como una referencia en materia de seguridad de la informacin, un centro de respuesta puede
actuar como consultor de organizaciones para la implementacin de mejores prcticas que ayuden a mitigar
los riesgos de seguridad a los que su informacin est expuesta.
En general, los servicios que proporcione un centro de respuesta dependen de los objetivos para los cuales fue
creado y, por tanto, de su mbito de accin.
2.7 Reporte, clasicacin, asignacin

Dos de las cosas ms importantes para un equipo de respuesta a incidentes es la forma en que se reportarn
los incidentes al centro de respuesta por parte de los usuarios y cmo el personal del centro de respuesta
realizar la clasicacin y asignacin del incidente para atenderlo de manera adecuada.
La importancia de estas acciones radica en que denen cmo se maneja un incidente de acuerdo a las circunstancias en que ste ocurre y eso establece la prioridad que se le da al mismo y, por tanto, los recursos que se
destinarn para el manejo. Es por ello que para un centro de respuesta a incidentes es fundamental denir la
forma en que se realizarn stas acciones iniciales. La ecacia y eciencia del centro de respuesta dependen
en gran medida de que los reportes se reciban de forma inmediata y se recolecte la informacin necesaria para
determinar el tipo de incidentes de que se trata. Con esa informacin, el personal debe clasicar el incidente
de acuerdo a los procedimientos que existan para ello y transferir el manejo del mismo a la persona indicada
para atender el incidente de acuerdo a su tipo y prioridad.
El reporte de los incidentes al centro de respuesta puede hacerse a travs de diversos medioa, entre los ms
comunes estn
- Va telefnica (posiblemente establecer una lnea de atencin 24x7 o un 01-800)
- Direcciones de correo electrnico especcas
- Formularios web
- De forma personal
Adems de implementar los mecanismos para la recepcin, clasicacin y asignacin de reportes de
incidentes, es importante contar con un sistema para el seguimiento de los reportes de incidentes, que
permita consultar en todo momento el status de cada incidente, su clasicacin y, en general, todos los datos
asociados a los reportes.
Contar con un sistema de estas caractersticas permite contar con informacin sobre la operacin del centro de
respuesta, se pueden denir mtricas para el cumplimiento de los niveles de servicio establecidos con la
organizacin y se pueden tomar decisiones de acuerdo al desarrollo del seguimiento de cada incidente. Al nal
de un perodo de tiempo, el sistema proporcionar informacin estadstica muy valiosa para observar el
comportamiento del servicio del centro de respuesta y para observar la evolucin de las necesidades de los
usuarios del mismo. Hay una diversidad de sistemas de seguimiento de reportes (tracking) que pueden servir
para un centro de respuesta a incidentes. Debe utilizarse el que mejor se adapte a las necesidades y caractersticas del servicio que se va a proporcionar. Una opcin creada especcamente para equipos de respuesta a
incidentes es Request Tracker for Incident Response, creado bajo el auspicio de JanetCERT y de uso libre.
098
La forma de operar el proceso de reporte, clasicacin y asignacin de incidentes es como una mesa de ayuda,
por lo que debe capacitarse a una parte o todo el personal del centro de respuesta a incidentes sobre el
proceso. Si bien puede parecer trivial, no debe soslayarse la importancia de la capacitacin y actualizacin
constante en este rubro si se pretende proporcionar un servicio adecuado y homogneo para cara reporte que
el centro de respuesta reciba.
Otra manera de cubrir el proceso inicial de reporte, clasicacin y asignacin de incidentes de seguridad es a
travs de algn Servicios
centro deProactivos
recepcin o mesa de ayuda de un tercero, otra organizacin que se encargue del
proceso y que una vez prestada la atencin inicial transera el control del incidente al personal especializado
del centro de respuesta. Si se toma esta alternativa, es muy importante tener en cuenta que el personal de la
mesa de ayuda que se contrate ser, de muchas formas, quien proporcione el primer nivel de servicio del
centro de respuesta y por ello debe entender no slo el proceso de reporte, clasicacin y asignacin, sino
incluso la misin, los servicios e incluso la estructura del centro de respuesta.
2.8 Autoridad
De acuerdo a la ubicacin en la estructura organizacional del centro de respuesta a incidentes y de acuerdo a
los objetivos y misin para los que haya sido creado, puede variar la forma en que ejerza autoridad sobre las
diferentes reas de la organizacin. Esencialmente hay 3 tipos de autoridad que un centro de respuesta puede
tener sobre su circunscripcin: autoridad total, autoridad compartida y no autoridad. La diferencia entre los
tres tipos de autoridad reside en la toma de decisiones. Si el centro de respuesta tiene autoridad total, por s
mismo y de acuerdo a las circunstancias de un incidente de seguridad puede tomar medidas para manejar el
incidente. En esta caso podra decidir la desconexin de dispositivos para recolectar evidencia, por ejemplo. En
el caso de autoridad compartida, el centro de respuesta es partcipe de las decisiones sobre el manejo de
incidentes y las acciones que de l deriven. Si bien no toma la decisin por s mismo como en el caso de autoridad total, s tiene voto en la decisin. Finalmente, es posible que el centro de respuesta no tengo autoridad
sobre su circunscripcin y que su funcin sea sugerir acciones para el manejo de incidentes, para que las
autoridades correspondientes decidan si se llevan o no a cabo. An en este caso, la aportacin del centro de
respuesta puede resultar fundamental sugiriendo acciones y advirtiendo los riesgos para la informacin de la
organizacin de no llevarlas a cabo.
El nivel de autoridad que tendr el centro de respuesta es decisin de la administracin y es importante que
quede bien denido para evitar mensajes equivocados al interior de la organizacin que eventualmente
pueden mermar la credibilidad del centro de respuesta.
099
2.9 Personal del Centro de Respuesta

La respuesta a incidentes para una organizacin, independientemente del modelo que se utilice, debe estar a
cargo de una sola persona de la organizacin. Aplica tambin esta recomendacin para aquellas organizaciones
que contratan con una entidad externa todo el servicio de manejo de incidentes. En tal caso, la persona dentro
de la organizacin que est designada como responsable de la respuesta a incidentes se encarga de vigilar el
cumplimiento del contrato por parte del proveedor. En los otros dos modelos, lo que se hace es designar a un
jefe o administrador del equipo de respuesta a incidentes y a un responsable sustituto en caso de ausencia del
primero.
El trabajo del administrador o jefe incluye una amplia variedad de tareas entre las que estn incluidas las de
actuar como un medio de enlace entre el centro de respuesta a incidentes y la direccin de la organizacin u
otras unidades y equipos dentro de la misma. Tambin es el punto de contacto en materia de respuesta a
incidentes con entidades externas. Algo en lo que debe trabajar el jefe o administrador del centro de respuesta
es en la comunicacin necesaria al interior y exterior de la organizacin para evitar situaciones de crisis por la
interaccin del personal. Dentro de sus funciones tambin es muy importante la responsabilidad de que el
centro de respuesta cuenta con el personal, recursos y habilidades necesarias para brindar el servicio.
Dentro de las caractersticas deseables del jefe o administrador de un centro de respuesta a incidentes de
seguridad estn tambin el dominio de aspectos tcnicos y habilidades de comunicacin, tanto hacia afuera
del equipo como hacia adentro, con el n de mantener relaciones de colaboracin efectivas con otros grupos
de respuesta y de mantener al interior un buen ambiente de trabajo dentro de un equipo que conozca sus
responsabilidades y est comprometido con la organizacin.
Dependiendo del tamao del centro de respuesta, es probable que se requiera de un responsable tcnico
(CTO) que domine los aspectos tcnicos del servicio de respuesta a incidentes y tenga la responsabilidad
ltima sobre la calidad tcnica del trabajo desarrollado por todo el equipo del centro de respuesta. Es importante destacar que esta posicin no es la misma que la de lder de un incidente, quien se encarga de coordinar
las actividades, recolectar informacin de quienes atienden directamente el incidente, y procurar la atencin
de las necesidades del personal involucrado en la atencin del incidente.
El personal que se encarga de desarrollar las cuestiones tcnicas para la respuesta a un incidente debe tener
excelentes habilidades tcnicas, ya que ese aspecto es fundamental para el xito en el servicio debido a que
ese dominio de los aspectos tcnicos es lo que nalmente inspirar conanza al interior de la organizacin
sobre el trabajo del centro de respuesta a incidentes.
La imprecisin en el dominio tcnico puede minar la credibilidad de todo el centro de respuesta y el no contar
con las habilidades tcnicas sucientes puede eventualmente hacer que un incidente empeore. El centro de
respuesta a incidentes debe contar con personal que domine la administracin de sistemas, la administracin
de redes de datos, programacin, soporte tcnico, deteccin de intrusos, anlisis de vulnerabilidades, anlisis
de malware de manera general y otros mecanismos con que la organizacin cuente dentro de su infraestructura.
Cada miembro del personal debe ser hbil para resolver problemas y eso regularmente se logra a travs de la
experiencia y la transferencia de conocimiento. No todos los miembros del personal deben ser expertos en
cada tema, pero s es conveniente que pada cada rea de las mencionadas haya al menos una persona con las
habilidades sucientes para proporcionar apoyo en algn incidente crtico que involucre su rea.
100
Algo que puede ayudar a robustecer las habilidades del personal sin tanta experiencia es un plan y programas
de transferencia de conocimientos continuos, contar con referencias tcnicas sucientes como libros, revistas,
etc. Promover la participacin del personal en tareas que motiven su superacin como la elaboracin de
material didctico, participar en la instruccin de talleres, evaluar, integrar y desarrollar nuevas herramientas
para ayudar a los administradores de sistemas, mejorar el servicio de respuesta a incidentes, etc.
En algunas circunstancias, podra haber rotacin entre el personal que participa en la respuesta a incidentes
Proactivoso dentro del mismo centro de respuesta, de tal forma que los miembros del
con otras reas Servicios
de la organizacin
centro de respuesta conozcan las actividades de las otras reas con las que se interacta frecuentemente, sus
problemas ms frecuentes y su ambiente de trabajo, as como las actividades que realizan sus propios compaeros dentro del ambiente de trabajo. Si bien esto no siempre es posible, al menos debe procurarse la
interaccin y la retroalimentacin sobre las actividades de la organizacin y del propio centro de respuesta.
Para el desarrollo de habilidades y conocimientos del personal, tambin puede acudirse al intercambio con
expertos de otras entidades y promover la retroalimentacin e intercambio de conocimientos con esas entidades.
Adems de las habilidades tcnicas, el personal del centro de respuesta a incidentes tambin es deseable que
cuente con otras habilidades como capacidad para trabajar en equipo, habilidades de comunicacin, facilidad
para expresarse, habilidad para escribir informes tcnicos, etc. Si bien no todos los miembros pueden contar
con todas estas habilidades, es importante identicar quines son las personas que s las tienen y contar con
personas con alguna de las caractersticas mencionadas. Las habilidades de comunicacin (hablar, expresarse,
escribir) son particularmente importantes debido al trato que existe en la respuesta a incidentes con diversas
personas como las vctimas de un incidente, directivos, administradores y eventualmente autoridades de
procuracin de justicia. En general, en un incidente, el personal del centro de respuesta requiere persona con
las habilidades mencionadas para establecer el trato adecuado con los directivos de la organizacin, los
usuarios y con el pblico en general. Las habilidades de comunicacin son tambin importantes para evitar la
revelacin de informacin sobre la investigacin antes de que sta haya concluido a los involucrados sin que
ello afecte el curso mismo de la investigacin.
Respecto a la forma de contratacin de empleados, los centros de respuesta pueden utilizar alguno de los
siguientes tres modelos:
101
2.9.1 Empleados
En este caso, la misma organizacin es responsable de toda la respuesta a incidentes de seguridad. En este
caso es mnimo el soporte tcnico y administrativo de parte de organizaciones externas.
2.9.2 Parcialmente empleados

Bajo este modelo, la organizacin delega una parte de las tareas de respuesta a incidentes en organizaciones
externas. Con frecuencia, se contrata y delega en una entidad externa el monitoreo de dispositivos de deteccin. Entonces, el proveedor de servicios de seguridad administrados identica y analiza actividad sospechosa
y reporta al equipo de respuesta de la organizacin cada uno de los incidentes detectados.
Otro esquema que se utiliza con frecuencia bajo este modelo es que el centro de respuesta de la organizacin
proporcionar una respuesta a incidentes bsica y cuenta con contratos con alguna o algunas entidades externas para responder a incidentes mayores. El contrato puede ser para actividades de cmputo forense, anlisis
avanzado de incidentes, contencin y erradicacin y mitigacin de vulnerabilidades.
2.9.3 Outsourcing
La organizacin delega toda la responsabilidad de respuesta a incidentes, regularmente a una entidad que
trabaja en sitio. Este modelo se usa con frecuencia cuando la organizacin requiere contar con un centro de
respuesta pero no cuenta en su planta laboral con personal calicado para desempear esas actividades.
2.10 Seleccin del modelo de centro de respuesta

Hay algunos aspectos importantes que deben tomarse en cuenta cuando se dene el modelo de un centro de
respuesta, tanto para la estructura como para la forma de absorber o delegar responsabilidades en terceros.
Denir si se requiere la disponibilidad 24x7 del servicio de respuesta a incidentes. La decisin sobre la disponibilidad est en funcin de la criticidad de la infraestructura. Proporcionar un servicio 24x7 implica que haya
personal disponible para atender los incidentes todo el tiempo y que se pueda contactar cuando se requiera o
incluso que se requiera la presencia todo el tiempo de personal del centro de respuesta.
Aquellas organizaciones con limitaciones presupuestales o bien, aquellas en que la infraestructura a proteger
no requiera de la presencia de tiempo completo del personal de respuesta a incidentes, podra establecer
contratos de medio tiempo o lo que convenga, de acuerdo a sus necesidades. Lo importante en este caso es
establecer medios de comunicacin adecuados para poder atender con prontitud los incidentes. La atencin
directa e inicial del incidente podra recaer en el personal de soporte o help desk, entrenado adecuadamente
para proporcionar la respuesta inicial y asesorado por el personal de respuesta a incidentes. De este modo, la
investigacin inicial y la recoleccin de informacin recaera en el personal de soporte o help desk, por lo que
es fundamentan que cuente con la preparacin para ello.
Un punto ms que es importante considerar cuando se estructura un centro de respuesta a incidentes de
seguridad es que las actividades de respuesta a incidentes pueden ser muy estresantes. Es importante reclutar
al personal preparado tcnicamente pero tambin preparado para trabajar bajo condiciones estresantes.
Generalmente, es deseable personal con alguna experiencia para responder adecuadamente en situaciones de
estrs.
102
El costo es tambin un factor fundamental al momento de denir el modelo de organizacin, sobre todo si se
va a proporcionar un servicio con disponibilidad 24x7. Hay algunos aspectos muy importantes que no deben
soslayarse cuando se denen los costos de operacin de un centro de respuesta:
2.10.1 Costos
El personal de respuesta a incidentes debe ser constantemente capacitado y actualizado en diversas reas de
las Tecnologas de la Informacin (TI). Adems de conocer sobre diversos aspectos de TI, el personal de respuesta a incidentes tambin debe conocer y operar las herramientas propias de la actividad de investigacin y
recoleccin de evidencia sobre los incidentes. Otros costos que es importante tener en cuenta son los que se
reeren a la seguridad fsica del rea de trabajo del centro de respuesta y los medios y dispositivos de comunicacin.
2.10.2 Experiencia del personal

El manejo de incidentes requiere conocimiento especializado y experiencia en diversas reas de TI. Por esta
razn es importante evaluar si se cuenta o se est dispuesto a contratar personal especializado en las cuestiones que se tienen que ver con los riesgos identicados en la organizacin. Al respecto, es posible que
personal externo (Outsourcing) especializado en respuesta a incidentes cuente con mayor experiencia que el
personal de la organizacin en reas como la deteccin de intrusos, anlisis de vulnerabilidades, pruebas de
penetracin, etc. Las organizaciones que proporcionan servicios de seguridad administrados regularmente
cuentan con herramientas de correlacin de eventos con informacin eventualmente de diversos clientes, lo
que les ayuda en ocasiones a identicar ms rpidamente una amenaza que a un cliente por s mismo. Por el
otro lado, seguramente el personal tcnico de la misma organizacin conoce mejor el ambiente de operacin
de la infraestructura tecnolgica y eso es un factor muy valioso al momento de manejar un incidente, ante la
necesidad de actuar con eciencia y ecacia al momento de identicar adecuadamente las amenazas y descartar los falsos positivos, por ejemplo.
2.10.3Estructura organizacional
Algunas organizaciones tienen en su estructura organizacional unidades (divisiones, departamentos, subdirecciones, etc.=) que trabajan de manera independiente. En tales circunstancias, debe evaluarse la posibilidad de
contar con un equipo de respuesta para cada una de esas unidades, regulada por un centro de respuesta
centralizado que se encargara de establecer la comunicacin entre los dems equipos y de la implementacin
de prcticas estndares para todos los equipos denir las polticas de los servicios.
Cuando se contrata a una organizacin externa, ya sea parcial o totalmente para la respuesta a incidentes es
necesario tomar en cuenta algunos aspectos importantes:
La calidad del trabajo, tanto actual como futura. Cuando se contrata a un tercero para hacer la funcin del
manejo y respuesta a incidentes, es conveniente evaluar no slo la calidad del servicio que pueda proporcionar
en la actualidad, sino los planes y programas de mejora continua de esa organizacin. Si se va a contratar el
servicio de respuesta a incidentes de esta manera, es conveniente establecer tambin acuerdos para vigilar la
calidad del trabajo de la organizacin que se est contratando.
103
2.10.4 Divisin de responsabilidades

Si se contrata a una entidad externa para el manejo de incidentes, es importante denir las responsabilidades
y la autoridad sobre la operacin de la infraestructura tecnolgica de la organizacin. Generalmente no es
deseable que una entidad externa sea quien nalmente tome decisiones sobre la operacin tecnolgica de la
organizacin. As, por ejemplo, cuando ocurre un incidente con algn servidor, es probable que el centro de
respuesta a incidentes decida que lo que hay que hacer es desconectarlo de red. Sin embargo, seguramente la
decisin sobre parar o no las operaciones es algo que debe caer en la responsabilidad de la propia organizacin. Este tipo de deniciones resultan de particular importancia cuando se contrata a un tercero para llevar
a cabo toda la operacin del manejo y respuesta a incidentes.
2.10.5Proteccin de informacin condencial

Es importante denir, en un contrato con una entidad externa que provea el servicio de manejo de incidentes,
la informacin a la que tendr acceso y cmo tendr acceso. De acuerdo a la clasicacin de la informacin
dentro de una organizaciones deben establecerse controles especcos para que el proveedor del servicio
pueda acceder a determinada informacin o bien, cmo deber proporcionar la informacin sobre un
incidente de tal manera que alguien dentro de la organizacin con los privilegios necesario para el manejo de
informacin sensible o condencial sea quien pueda dar seguimiento a una investigacin a partir de la informacin proporcionada por el prestador del servicio de manejo de incidentes.
2.10.6Falta de conocimiento especco sobre la organizacin

El conocimiento detallado sobre la operacin y estructura de la organizacin es fundamental para un anlisis
preciso y para establecer la prioridad de los incidentes. Para que la operacin de respuesta a incidentes
funcione de manera adecuada de acuerdo a las necesidades de la organizacin, es necesario establecer canales de comunicacin adecuados para intercambiar informacin entre el proveedor del servicio y la organizacin
sobre los aspectos importantes relacionados con la respuesta a incidentes. Tal informacin puede incluir:
recursos crticos, integracin de nuevos dispositivos, modicaciones en sistemas de informacin, dispositivos y
conguracin de red, etc. Esta comunicacin y actualizacin es fundamental para evitar que haya incidentes
que se manejen de forma inadecuada o incluso incidentes que no estn contemplados por el prestador del
servicio. Es importante tener en cuenta que problemas como los que se mencionan pueden ocurrir an si el
centro de respuesta es operado por personal de la misma organizacin si no existe la comunicacin adecuada.
104
2.10.7 Falta de correlacin de informacin

Para la respuesta a incidentes por parte de una entidad externa, es fundamental la correlacin de eventos de
diferentes fuentes. Para ello, es importante establecer un esquema bajo el cual la entidad externa acceder a
la informacin generada por los diversos dispositivos de la infraestructura tecnolgica, particularmente de
monitoreo y control de seguridad, de la organizacin. Es importante denir los canales de comunicacin
adecuados para acceder a tal informacin y denir responsabilidades sobre la informacin recolectada. Mucha
de la informacin puede ser crtica para la organizacin y su revelacin podra implicar un riesgo para la
misma.
2.10.8 Manejo de incidentes en diversas ubicaciones geogrcas

En un contrato de servicio de manejo de incidentes por parte de una entidad externa es importante denir los
tiempos de respuesta, como parte del acuerdo de nivel de servicio (SLA, por sus siglas en ingls), de tal forma
que se dena en qu situaciones el proveedor estar presente fsicamente en las instalaciones de la organizacin, en cules instalaciones exactamente y en qu tiempos.
Tener un equipo de respuesta a incidentes alternativo dentro de la organizacin. Si se contrata de forma
externa el servicio de respuesta a incidentes de forma completa, es importante mantener personal con las
habilidades bsicas para proporcionar esta respuesta o bien, procurar una capacitacin bsica constante para
contar con esas habilidades. Por diversas razones, el servicio de una entidad externa podra no estar disponible
en el momento de que ocurra algn incidente crtico de manera repentina, que ponga en riesgo la informacin
y/o la infraestructura tecnolgica de la organizacin. En caso de que ocurra un incidente de esta naturaleza
bajo tales circunstancias, es importante que el personal tcnico de la organizacin est capacitado sobre cmo
responder al incidente cuando no est presente el prestador contratado para tal servicio, de acuerdo a los
procedimientos que deben denirse en conjunto con el proveedor.
2.11 Dependencias dentro de las Organizaciones

Dentro de las organizaciones existe generalmente personal muy experto en el manejo de algu-nos aspectos
tcnicos y que conoce sobre el ambiente mismo en que stos se operan dentro de la organizacin. Es fundamental para el centro de respuesta a incidentes de seguridad iden-ticar a estas personas dentro de la organizacin ya que en algn momento puede requerirse su participacin.
Adems del personal tcnico experto, la buena operacin del centro de respuesta depende tambin de la
participacin, colaboracin, apoyo e interaccin con otras unidades dentro de la propia organizacin.
105
2.11.1 Administracin
De muchas maneras, la operacin del centro de respuesta a incidentes de seguridad informti-ca depende de
la administracin de la organizacin. Es la administracin quien se encarga de establecer la poltica de respuesta a incidentes, el presupuesto, el personal. Sin apoyo de la administracin, un centro de respuesta a
incidentes simplemente no puede operar de forma satisfactoria. Por esta misma razn es importante denir en
qu lugar de la estructura organi-zacional se establece el centro de respuesta a incidentes. Generalmente es
conveniente que se conserve una independencia de las reas propiamente operativas.
2.11.2 Seguridad de la informacin

La interaccin del personal del centro de respuesta a incidentes con el personal dentro de la organizacin que
se encarga de la seguridad de la informacin es fundamental, entre otras co-sas porque es muy comn que sea
a travs de ellos como se reciba la noticacin de inciden-tes de seguridad ocurridos. Adems, ellos son
quienes operan y monitorean los controles de seguridad de la infraestructura, por lo que en muchos de los
incidentes se trabaja de manera conjunta.
2.11.3 Telecomunicaciones
Una de las reas con quienes es fundamental mantener un punto de contacto permanente es Telecomunicaciones. Muchos de los incidentes de seguridad informtica tienen que ver con el trco de red de entrada y
salida, ya sea de voz o datos. Esto implica, con frecuencia, estar en contacto con los proveedores del servicio
de Internet (ISPs), monitorear y eventualmente con-tener el incidente en el permetro de la red o en coordinacin con otras entidades involucradas en el enlace a Internet, etc.
2.11.4 Soporte tcnico

Cuando se responde a un incidente de seguridad, el personal involucrado en el manejo del in-cidente requiere
de la colaboracin o de la consulta a los expertos en la operacin de la infraes-tructura relacionada con el
incidente. Quienes administran sistemas, la red y desarrollan soft-ware son aliados muy tiles para entender el
ambiente de operacin en que ocurri el incidente y, por tanto, vale la pena tomar en cuenta su opinin al
momento de tomar decisiones importan-tes sobre la infraestructura.
106
106
2.11.5 Departamento jurdico

Un incidente de seguridad informtica puede derivar en un proceso administrativo dentro de la organizacin
por algn abuso o falta a una poltica de seguridad o incluso llegar hasta un pro-ceso legal ante autoridades de
procuracin de justicia. Por ello es importante apoyarse en un departamento jurdico que, por una parte,
revise las polticas y procedimientos de respuesta a incidentes de tal forma que se ajusten al marco regulatorio
correspondiente y, por otra, propor-cionen asesora y eventualmente se trabaje en conjunto para dar curso a
un seguimiento legal derivado de un incidente de seguridad.
2.11.6 Relaciones pblicas e institucionales (comunicacin social)

Es probable que, por el impacto de algunos incidentes, deba proporcionarse informacin a los medios y, por
tanto, al pblico en general. En tal caso, es conveniente buscar el apoyo de la entidad encargada de las
relaciones pblicas, institucionales o comunicacin social de la orga-nizacin. Con ellos se puede denir la
forma precisa en que deben emitirse comunicados de acuerdo a las polticas de comunicacin establecidas en
la organizacin. No hacerlo de este modo podra ocasionar que se divulgara informacin innecesaria que
eventualmente podra confundir al pblico y/o perjudicar a la organizacin si la comunicacin no est adecuadamente estructurada.
2.11.7 Recursos humanos

Junto con el departamento jurdico, el departamento de recursos humanos es una entidad a la que es muy til
recurrir ante incidentes que tienen que ver con abusos o faltas a estatutos y normas de la organizacin.
2.11.8 Planeacin de la continuidad del negocio

Si un incidente afecta o puede afectar signicativamente las operaciones normales de la orga-nizacin, es
necesario involucrar en el manejo del incidente al personal o comits encargados de ejecutar los planes de
continuidad del negocio. Finalmente, quienes conocen los riesgos identicados en el plan de continuidad del
negocio asociados con cada activo que pueda verse afectado por un incidente son quienes mejor pueden
ayudar a determinar acciones de conten-cin que minimicen el impacto sobre las operaciones de la organizacin.
2.11.9 Seguridad fsica y administracin de instalaciones

Para el manejo de algunos incidentes es posible que se requiera la colaboracin de las perso-nas responsables
de la seguridad fsica y de control de las instalaciones. En algunos casos es necesario incautar equipos que se
encuentran en alguna ocina o instalacin cerrada bajo lla-ve. O bien, durante la respuesta a un incidente es
probable requerir el acceso a instalaciones especcas para buscar informacin sobre el incidente, evidencia,
realizar el monitoreo de al-gn rea especca, etc.
107
2.12 Equipo de Respuesta

2.12.1 Descripcin general
Este modelo se reere en realidad a la ausencia de un centro de respuesta a incidentes constituido como tal.
Es un modelo bajo el cual una organizacin responde a incidentes de seguridad con los recursos humanos y
materiales existentes
sin Proactivos
que exista un equipo o centro dedicado para tal efecto. Operar de este modo en la
Servicios
organizacin signica que la respuesta a un incidente se realiza por parte de la persona que administra los
dispositivos o recursos involucrados en l.
Es muy complicado establecer adecuadamente niveles de servicios y la respuesta a los incidentes de seguridad
de la informacin es muy heterognea ya que, aunque podra contarse con algn tipo de guas bsicas, el xito
en la respuesta al incidente depender en gran medida de la capacidad y habilidades de administradores de
sistemas, de red, desarrolladores, etc. Con este tipo de modelo es complicada la implementacin de mejores
prcticas en la respuesta a incidentes y la investigacin y seguimiento coordinados. Hay tambin muy poca
retroalimentacin sobre un incidente y, por tanto, el aprendizaje para robustecer la seguridad de la informacin es muy limitado.
Una desventaja importante de este esquema es que la responsabilidad de atencin a inciden-tes recae en el
mismo personal encargado de implementar los mecanismos de seguridad de la informacin, administrarlos y
monitorearlos. No existe una independencia en la investigacin de un incidente y en algunos casos la informacin de la investigacin sobre el incidente podra no ser precisa debido a que probablemente se busquen
cubrir omisiones de la propia operacin.
2.12.2 Caractersticas particulares

Como no es propiamente un centro de respuesta a incidentes, no tiene una estructura denida para su operacin, ya que sta se basa en las circunstancias en las que se presente cada inci-dente que requiera ser atendido. El equipo de respuesta como tal incluso se conforma ad hoc a las circunstancias del incidente.
Los reportes de incidentes no llegan de forma centralizad y en realidad el personal responsable de cada activo
implementa sus propios mecanismo para reportar y clasicar incidentes de se-guridad.
No hay un sistema centralizado sobre informacin de reportes y seguimiento de incidentes. La retroalimentacin sobre los incidentes ocurridos es generalmente muy limitada. Poca o compli-cada coordinacin para el
manejo de incidentes que involucren a varias reas de la organiza-cin.
108
2.12.3 Servicios
Bajo este modelo, los servicios que se pueden proporcionar son limitados y regularmente se enfocan nicamente a la respuesta a incidentes e incluso eso se cubre de manera limitada. Ya que el personal involucrado en
el equipo de seguridad tienen otras responsabilidades, gene-ralmente lo que buscar al manejar un incidente
es investigar o identicar supercialmente las causas y buscar la menara de mitigar el impacto del incidente. Es
muy frecuente que el equipo de seguridad realice una investigacin supercial del incidente, identique
probables causas y consecuencias y tome medidas en funcin de esos hallazgos superciales. Una investigacin supercial podra llevar incluso a conclusiones equivocadas y, por tanto, a no implementar las medidas
preventivas adecuadas para evitar que el incidente se repita.
Adems del servicio de manejo de incidentes, tambin el equipo de seguridad es el encargado de realizar
medidas correctivas como conguracin y mantenimiento de dispositivos de seguri-dad en diversos puntos de
la infraestructura de cmputo y telecomunicaciones de la organiza-cin.
La deteccin de incidentes de seguridad es algo que se cubre con un equipo de seguridad ya que muchas veces
es parte de las obligaciones de operacin del personal que puede integrar el equipo de seguridad.
Con este modelo normalmente no se cubren servicios adicionales al manejo de incidentes co-mo los de alertamiento y emisin de boletines. Al no haber una coordinacin centralizada es difcil que se desarrollen programas de capacitacin y difusin para la prevencin de incidentes de seguridad.
Incluso dentro del manejo de los incidentes, generalmente no se realizan anlisis exhaustivos que involucren el
anlisis de vulnerabilidades, anlisis de software malicioso, anlisis forense, etc. Cuando se llevan a cabo, se
desarrollan porque existe una necesidad ineludible para reali-zarlos y la ecacia con que se realicen depende
de las habilidades del personal del equipo de seguridad.
2.12.4 Recursos
Este modelo no requiere de recursos humanos adicionales ya que delega la responsabilidad del manejo de
incidentes en el personal existente. Tampoco se requiere infraestructura adicional ya que en realidad no se
conforma un centro de respuesta y por tanto no hay nuevo equipo ni sistemas que soportar. Es probable,
acaso, que se requiera equipo adicional que no se solicita de forma planeada sino como consecuencia de algn
incidente ocurrido para el cual podra ser til equipo adicional.
2.12.5 Ventajas y desventajas

Probablemente la nica ventaja de este modelo es que no requiere recursos adicionales ni nueva estructura
para la organizacin. Las desventajas, en cambio, son muchas ya que la respuesta a los incidentes se dara de
forma heterognea, sin la previsin suciente para responder de manera adecuada ante circunstancias crticas.
Con este modelo no se cuenta con un punto nico de contacto dentro de la organizacin para el manejo de
incidentes y tampoco con los elementos necesarios para vericar la calidad del servicio ni el benecio para la
organizacin de la respuesta a incidentes.
109
2.13. Equipo de respuesta a incidentes centralizado

2.13.1 Descripcin General
En este modelo existe un nico equipo de respuesta a incidentes que se encarga del manejo de todos los
incidentes. El centro de respuesta cuenta normalmente con personal administrativo y operativo dedicado
100% a los servicios
que presta
el centro, particularmente la respuesta a incidentes de seguridad. Al tener
Servicios
Proactivos
personal dedicado, hay una variedad de servicios adicionales que el centro puede proporcionar para denir e
impulsar estrategias de seguridad de la informacin en la organizacin.
Es un modelo adecuado para organizaciones pequeas y para aquellas organizaciones grandes cuya infraestructura tecnolgica no est en sitios geogrcamente distantes. El centro de respuesta centralizado es el
nico punto de contacto en toda la organizacin para la respuesta a incidentes y reportes de vulnerabilidades.

El centro de respuesta centralizado debe estar cerca de la gerencia/administracin en la estructura jerrquica
de la organizacin, en un nivel alto en la toma de decisiones respecto al control de la informacin.
La administracin/coordinacin del centro debe procurar allegarse de personal especializado en todas las
reas necesarias para contar con personal calicado para evaluar situaciones de emergencia adecuadamente y
capaz de realizar anlisis y emitir recomendaciones acertadas sobre las medidas que deben tomarse.
No todo el personal que participe en el centro de respuesta tienen que ser de tiempo completo. Puede
buscarse un esquema de asesoras/consultoras bajo demanda para algunas cuestiones muy especializadas.
El centro de respuesta debe denir canales de comunicacin a travs de los cuales pueden realizarse los
reportes de incidentes por parte de los usuarios, estableciendo claramente los medios, formas y horas de
servicio del centro. Debe tomarse en cuenta que los usuarios del centro de servicios pueden ser miembros de
la organizacin pero tambin entidades externas u otros centros de respuesta con los que se establezca
contacto.
110
2.13.3 Servicios
Los servicios de un centro de respuesta centralizado son muy similares a los de un centro de respuesta
distribuido. Al existir una administracin/coordinacin central, se puede implementar de manera eciente el
servicio de respuesta a incidentes y las actividades que ello conlleva: respuesta en sitio, anlisis de vulnerabilidades, anlisis de software malicioso, anlisis forense, seguimiento legal, etc., de acuerdo a cmo lo requiera
el incidente.
Al contar con personal dedicado para el centro de respuesta, deben implementarse servicios de prevencin y
de deteccin de incidentes. Entre otros, pueden desarrollarse programas de difusin y capacitacin orientados
a generar conciencia y difundir medidas preventivas entre el personal de la organizacin, en todos los niveles.
Pueden disearse mecanismos y dispositivos de deteccin de incidentes que implementen un servicio proactivo de alertas tempranas sobre amenazas de seguridad de la informacin.
La cabeza del centro de respuesta debe proporcionar informacin a la administracin/gerencia sobre el
desempeo del centro de respuesta incluyendo informacin estadstica precisa sobre las caractersticas de las
solicitudes de servicio y el seguimiento de cada caso.
Algunos servicios adicionales como evaluacin de tecnologa de seguridad, evaluacin de riesgos, participacin
en auditora de seguridad, implementacin de mejores prcticas, consultora, investigacin de nuevas amenazas, son viables para un centro de respuesta a incidentes centralizado.
2.13.4 Recursos
Un centro de respuesta distribuido se conforma por una administracin central y miembros en diversas
unidades fsicas o lgicas. Dentro de la estructura central, debe contarse con:
- Administrador/coordinador del centro de respuesta
- Administrador de la infraestructura tecnolgica propia del centro de respuesta
- Personal administrativo
- Personal tcnico para el manejo de incidentes
- Personal especializado para servicios adicionales
- Desarrolladores de sistemas web
Otros recursos humanos que pueden requerirse son:
- Editores (para todas las publicaciones)
- Personal de relaciones pblicas
- Personal jurdico
- Expertos tcnicos adicionales
Este personal puede no formar parte de la administracin central ni estar necesariamente distribuidos en
reas de la organizacin, sino participar con el centro de respuesta bajo demanda.
La organizacin debe tener en cuenta que el centro de respuesta requiere recursos humanos especializados, lo
cual regularmente implica tener que pagar salarios altos por el nivel de capacitacin y tambin por la responsabilidad que implica el manejo de incidentes de seguridad de la informacin.
111
Dentro de los recursos materiales que deben contemplarse para la creacin del centro de respuesta distribuido
estn:
etc.).
- Instalaciones fsicas
- Equipo de ocina
- Equipos de cmputo y telecomunicaciones
- Probablemente equipo de cmputo porttil
Proactivos
- EquipoServicios
para recoleccin
de evidencia (equipo de red, recolectores de trco, discos duros grandes,
- Equipo para almacenamiento de grandes cantidades de informacin para la evidencia digital

recolectada en los incidentes
Adems de los requerimientos en equipo, se requiere software especializado para proporcionar el servicios de
respuesta a incidentes:
- Sistema de seguimiento (tracking)
- Software para cmputo forense
- Software para pentest
- Software para anlisis de software malicioso

Este modelo es el ms estable para un centro de respuesta a incidentes pero tambin el que ms recursos
requiere. Se puede contar con personal experto que se vaya especializando y adquiriendo experiencia especca en el manejo de incidentes. Al ser personal dedicado el que conforma el centro de respuesta, se pueden
desarrollar con facilidad iniciativas de mejora continua en los procesos y servicios.
Requiere un cambio en la estructura de la organizacin y eso no siempre es sencillo. Una desventaja respecto
del modelo distribuido es que el personal del centro de respuesta no est involucrado en el ambiente de
operacin de la infraestructura tecnolgica de la organizacin y, por lo tanto, regularmente en el manejo de
incidentes se requiere de la colaboracin del personal operativo.
2.14. Equipo de respuesta a incidentes distribuido

En este modelo, la organizacin cuenta con varios equipos de respuesta a incidentes. Todos los equipos
conforman el centro de respuesta. Se crean o denen equipos de respuesta a incidentes para responder
incidentes especcos. Los equipos pueden crearse de acuerdo a segmentos lgicos o fsicos. En este caso, los
equipos de respuesta pueden crearse por cada divisin de la organizacin o bien por unidades geogrcas. El
personal de los equipos de respuesta a incidentes puede estar asignado a tareas operativas pero colabora con
el centro de respuesta cuando ocurren incidentes en su circunscripcin. La otra posibilidad es que el personal
que est geogrcamente distribuido pertenezca directamente al centro de respuesta y por lo tanto reporte
nicamente a l.
112
Es importante que todos los equipos estn coordinados por una unidad central que permita garantizar que el
servicio de respuesta a incidentes que proporciona cada uno de los equipos es consistente con el de todos los
dems y con el que la organizacin ha denido. Establecer una entidad de coordinacin centralizada tambin
facilita el intercambio de informacin entre los distintos equipos de respuesta, lo cual es fundamental en este
modelo ya que puede haber incidentes en que deban integrarse de manera coordinada ms de uno de los
equipos de respuesta. Adems, al haber una administracin centralizada del centro de respuesta, hay un
control de las operaciones de todo el centro de respuesta y tambin hay un medio de comunicacin claro hacia
la direccin y administracin
de la organizacin, lo cual es muy til para la toma de decisiones de manera
efectiva en medio de una crisis generada por un incidente de seguridad.
Claramente, este modelo es ms adecuado para grandes organizaciones o bien para aquellas que cuentan con
varias unidades en diversos sitios geogrcos.

Para que el centro tenga funcionalidad jerrquica debe estar ubicado, en la estructura de la organizacin, cerca
de la direccin. El centro de respuesta debe contar con un administrador/director y puede contar con un
equipo que dependa directamente de l. Como se mencion, el personal que participa en el centro de respuesta puede estar formalmente asignados a otras reas. Si es el caso, puede haber algunas personas que s
dependan directamente del administrador/directos del centro de respuesta.
Los miembros del centro de respuesta pueden ser administradores de red, de sistemas, personal de soporte
tcnico, y tambin personal del departamento jurdico o del departamento de relaciones pblicas. La organizacin debe decidir cuntos miembros conformarn el centro de respuesta.
Si el personal del centro de respuesta estar asignado a otras funciones de manera cotidiana, es necesario
dejar claro cules son las circunstancias bajo las cuales responder al centro de respuesta y, por tanto, en qu
circunstancias reportar a cada jefe. Adems, debern establecerse claramente los canales de comunicacin
que permitirn tomar acciones del centro de seguridad de manera inmediata cuando un incidente ocurre.
Debe denirse tambin que cuando se alerta sobre un incidente y sobre la necesidad de participacin de algn
miembro del centro de respuesta, ste debe dejar sus labores cotidianas para integrarse al manejo del
incidente.
Respecto de los mecanismos para reportar incidentes, es importante denir si stos deben realizarse de
manera directa a la coordinacin del centro de respuesta, ya sea de manera directa o a travs de una mesa de
ayuda, o bien estos podran realizarse de manera local a travs de los equipos distribuidos. Dependiendo de la
decisin, debe capacitarse adecuadamente al personal necesario en el proceso de reporte, clasicacin y
asignacin de incidentes de seguridad.
113
Servicios
En este esquema organizado y estructurado de un centro de respuesta, al existir una coordinacin central, se
puede implementar de manera eciente el servicio de respuesta a incidentes y las actividades que ello conlleva: respuesta en sitio, anlisis de vulnerabilidades, anlisis de software malicioso, anlisis forense,
seguimiento legal, etc., de acuerdo a cmo lo requiera el incidente.
Servicios
Proactivosdebe proporcionar informacin a la administracin/gerencia sobre el
La cabeza del centro
de respuesta
desempeo del centro de respuesta incluyendo informacin estadstica precisa sobre las caractersticas de las
solicitudes de servicio y el seguimiento de cada caso.
Adems de los servicios principales de respuesta a incidentes, la coordinacin central puede implementar
programas de prevencin en el que participen todos los miembros del centro de respuesta. El servicio de
alerta y avisos de seguridad s es algo que debe implementarse en este modelo y la responsabilidad de ese
servicio debe ser de la administracin del centro de respuesta.
Algunos otros servicios pueden implementarse en ocasiones especcas y dependiendo de la disponibilidad el
personal que participa en el centro de respuesta: evaluacin de tecnologa, implementacin de mejores prcticas.
2.14.4 Recursos
Un centro de respuesta distribuido se conforma por una administracin central y miembros en diversas
unidades fsicas o lgicas. Dentro de la estructura central, debe contarse con:
- Personal administrativo (al menos una persona)
- Analistas para el manejo de incidentes
- Otros recursos humanos que pueden requerirse son:
- Personal jurdico
- Expertos tcnicos adicionales
Este personal puede no formar parte de la administracin central ni estar necesariamente distribuidos en
reas de la organizacin, sino participar con el centro de respuesta bajo demanda.
La organizacin debe tener en cuenta que el centro de respuesta requiere recursos humanos especializados, lo
cual regularmente implica tener que pagar salarios altos por el nivel de capacitacin y tambin por la responsabilidad que implica el manejo de incidentes de seguridad de la informacin.
114
estn:
etc.).
- Equipo de ocina
- Probablemente equipo de cmputo porttil
- Equipo para recoleccin de evidencia (equipo de red, recolectores de trco, discos duros grandes,
- Equipo para almacenamiento de grandes cantidades de informacin para la evidencia digital

recolectada en los incidentes

Al contar con una administracin centralizada del centro de respuesta, los servicios se implementan de manera
coordinada bajo deniciones estandarizadas y con la participacin de personal especializado.
Una ventaja del centro de respuesta distribuido es que se conforma de gente experta de diversas reas y que,
si se opta por el esquema de trabajo parcial para el centro, el personal puede ser un apoyo para el centro de
respuesta y para la organizacin en la implementacin de medidas de prevencin y deteccin en las diversas
reas, ya que deber ser permanentemente capacitado y actualizado en materia de seguridad informtica por
el centro de respuesta.
La desventaja que puede tener este esquema es que no siempre es fcil ni lo ms conveniente asignar nuevas
responsabilidades al personal que ya tiene tareas operativas asignadas. Puede ser difcil coordinar al personal
que participa en el centro de respuesta a incidentes ya que probablemente tenga que responder a dos jefes. La
comunicacin puede efectiva puede ser una de las debilidades de este esquema si no se denen los medias
adecuados para establecerla.
2.15. Centro Coordinador

Un centro de respuesta de este tipo tiene como funciones principales coordinar y facilitar la respuesta a
incidentes de seguridad de la informacin y el manejo de vulnerabilidades en una circunscripcin regularmente amplia, que abarca ms all de la organizacin a la que pertenece el centro de respuesta. Esto es, se
trata de un equipo que proporciona asesora e informacin a otros equipos de otras entidades sobre las que
no necesariamente ejerce autoridad directa.
115
Dentro de las actividades que realiza un centro coordinador est el intercambio de informacin, la denicin
de estrategias para mitigar el impacto de las amenazas de seguridad informtica emergentes y recomendaciones para la recuperacin en caso de incidentes. Con frecuencia, un centro coordinador realiza investigacin
sobre nuevas amenazas.
Una actividad importante de este tipo de centros es la generacin de guas, boletines, mejores prcticas, avisos
sobre soluciones para mitigar el impacto de incidentes y sobre recuperacin luego de la ocurrencia de alguno.
La importancia de este tipo de centros radica en la inuencia que deben ejercer en la toma de decisiones de
seguridad de la informacin para las diversas organizaciones de su circunscripcin. Hay varios centros de
respuesta coordinadores reconocidos en todo el mundo, entre ellos CERT/CC, JPCERT/CC, DFN-CERT, CERT-NL,
AP-CERT, TF-CSIRT (TERENEA Task Force).

La circunscripcin de un centro de respuesta coordinador puede incluir, por ejemplo, divisiones de una corporacin, diversas entidades de un gobierno, un estado un un pas entero.
Como en el caso de un centro de respuesta centralizado, un centro coordinador normalmente opera con
personal dedicado, una ubicacin fsica central y una administracin/direccin nica. Requiere personal especializado en manejo de incidentes y las reas que ello involucra, aunque tambin se puede operar bajo un
esquema de tener un equipo tcnico base y contar con la referencia de especialistas en diversas tecnologas
que pueden pertenecer a las mismas entidades dentro de la circunscripcin del centro coordinador.
Las funciones principales del centro son actuar como un centro de coordinacin eciente en diversos niveles
de las organizaciones dentro de la circunscripcin para dirigir las acciones de respuesta ante incidentes y
amenazas de seguridad de la informacin. En cuanto a la difusin de informacin sobre amenazas en curso o
potenciales, el centro coordinador debe realizar una recoleccin y sntesis de informacin para emitir comunicaciones a las organizaciones en su circunscripcin.
De igual forma que los centros de respuesta centralizados y distribuidos, el centro coordinador requiere de
canales bien denidos para el proceso de reporte de incidentes y procedimientos claros para la clasicacin y
asignacin de incidentes de seguridad.
2.15.3 Servicios
El servicios principal de un centro coordinador de respuesta a incidentes es el manejo de incidentes y puede
proporcionar apoyo y asesora tcnica en tareas asociadas al mismo como respuesta en sitio, anlisis de
vulnerabilidades, anlisis de software malicioso, anlisis forense, apoyo tcnico en el seguimiento de
incidentes ante alguna autoridad de procuracin de justicia, etc. No todas las tareas asociadas al manejo de
incidentes son desarrolladas por un centro coordinador, a diferencia de un centro de respuesta centralizado. Es
importante recalcar que la funcin bsica de este tipo de centros es coordinar los trabajos de respuesta y
acta en conjunto con otros centros de respuesta en cada una de las organizaciones que conforman la circunscripcin. Entonces, las tareas asociadas al manejo en sitio de incidentes normalmente son responsabilidad de
los centros de respuesta de cada organizacin, con apoyo o coordinacin de un centro coordinador de respuesta a incidentes.
116
Adems, debe proporcionar el servicio de alerta y comunicacin sobre amenazas a la seguridad de la informacin a las divisiones u organizaciones en su circunscripcin. Es particularmente importante la sntesis de la
informacin tcnica disponible de modo que se proporcione un valor agregado a la recopilacin de informacin sobre amenazas. En base a informacin sintetizada y concreta se pueden emitir comunicaciones y
publicaciones valiosas para mitigar el impacto de las amenazas en la circunscripcin.
Otros servicios que proporciona un centro coordinador es el anlisis de amenazas, que involucra tareas como
el anlisis de software malicioso y la deteccin proactiva de amenazas. Adems, es conveniente que de forma
Servicios
Proactivos
cotidiana o eventual
realice
evaluacin de tecnologa para la seguridad de la informacin, as como la evaluacin de mejores prcticas y estndares de seguridad de la informacin.
Al ser una referencia en materia de seguridad de la informacin en su circunscripcin, es muy frecuente que
los centros coordinadores observen la necesidad u oportunidad de desarrollar programas de capacitacin en
sus reas de especialidad: manejo de incidentes, anlisis de amenazas, implementacin de tecnologa de
seguridad informtica, implementacin de mejores prcticas, etc.
2.15.4 Recursos
Un centro coordinador de respuesta a incidentes requiere de una estructura operativa que le permita desarrollar los servicios para los que fue creado. Requiere de recursos humanos y materiales especializados. Los recursos humanos que se requieren, incluyen:
- Personal administrativo (al menos una persona)
- Analistas para el manejo de incidentes
- Especialistas en evaluacin de tecnologas
- Expertos en la implementacin de mejores prcticas
Adems, como en los otros modelos, debe contarse en el mismo centro de respuesta o como consultores
externos o en alguna de las organizaciones de la circunscripcin a:
- Personal jurdico
- Expertos en tecnologas especcas.
Tener ubicados a estos expertos permite al centro coordinador consultar puntos especcos del anlisis de
incidentes y de los contenidos de comunicacin que se generen.
117
estn:
etc.).
- Equipo de ocina
- Instalaciones para laboratorios de pruebas, incluyendo equipo de cmputo, telecomunicaciones, etc.
Proactivos
- EquipoServicios
de cmputo
porttil
- Equipo para recoleccin de evidencia (equipo de red, recolectores de trco, discos duros grandes,
- Equipo para almacenamiento de grandes cantidades de informacin para evidencia digital recolectada
en los incidentes

Una de las principales ventajas de este modelo de centro de respuesta es que permite contar con un grupo de
especialistas en manejo de incidentes de seguridad de la informacin trabajando de forma coordinada en un
mismo sitio de tiempo completo. Adems, al operan de manera transversal entre organizaciones, el aprendizaje de casos especcos puede ser aprovechado por las dems organizaciones de la circunscripcin.
Una desventaja es que los especialistas del centro coordinador no estn involucrados en la operacin cotidiana
de las organizaciones que conforman la circunscripcin por lo que, si no se establece la comunicacin adecuada de consulta tcnica, es probable que algunas de las comunicaciones y recomendaciones del centro
coordinador parezcan operativamente inviables.
Puede ser complicada la planeacin de un centro coordinador de respuesta ya que la cobertura podra ser muy
amplia y crecer eventualmente. Por ello puede ser difcil establecer el tamao del equipo y los recursos que se
requieren, adems de los medios de nanciamiento.
Adems, no siempre es sencillo establecer una independencia del centro de respuesta respecto de la organizacin que lo impulsa o lo nancia.
118
CAPTULO 3
Propuesta de
Especializacin de
Funciones en el interior
de un Centro de
Respuesta a Incidentes
Informticos
119
CAPTULO 3
INFORMACIN
NOMBRE DOCUMENTO: Propuesta de Especializacin de Funciones en el interior de un Centro de Respuesta
a Incidentes Informticos.
FECHA DE CREACIN:Montevideo, 28 de Noviembre de 2009.
AUTOR: Ing. Leonardo Vidal.
Resumen.
En el presente captulo se documenta una propuesta de Especializacin de Funciones a im-plementar en el
interior de un Centro de Respuesta a Incidentes de Seguridad Informtica.
Esta propuesta considera cuatro aspectos: Segregacin de Funciones, Descripcin de dichas Funciones,
Desarrollo de Manuales y Procedimientos y Diseo de un Flujograma del Proceso de Gestin de Incidentes,
end to end. En la seccin Segregacin de Funciones se mencionan aquellas que componen el core de un
Centro de Respuesta a Incidentes de Seguridad Inform-tica, para describir luego cada una de ellas en la
seccin siguiente; posteriormente se brindan pautas recomendables a seguir para el Desarrollo de Manuales y Procedimientos dentro del Centro, culminando con la presentacin de un Flujograma end to end que
describe las diferen-tes acciones, polticas, procedimientos, funciones y procesos involucrados en la gestin
de in-cidentes de seguridad.
120
3.1.1 Introduccin
En el interior de un Centro de Respuesta a Incidentes de Seguridad Informtica [CERT-hb] identicamos varias
funciones a cumplir por sus integrantes.
Dichas funciones deberan ser independientes del modelo organizacional adoptado por el Cen-tro. S es factible que las mismas posean diferente grado de importancia en la actividad del Centro, condicionado sto al
modelo seleccionado (el cual puede cambiar a lo largo de la vida del Centro). Ahondaremos ms adelante en
Servicios
Proactivos
ello, apoyndonos
en algunos
ejemplos para jar el concepto que se desea transmitir. Por otro lado existe una
dependencia ms marcada y ms fcilmente identicable con los servicios que le brinda el Centro a su Comunidad Objetivo (o Constituency). Este aspecto tambin ser profundizado ms adelante.
Siempre resulta conveniente realizar el ejercicio de identicar las funciones en cada Centro, ya sea en el
momento que se est concibiendo la idea de su formacin as como tambin durante su vida como tal. El
anlisis en el momento de la tormenta de ideas previo a su creacin pue-de ayudar incluso a enriquecer la
discusin sobre el modelo organizacional ms conveniente. La realizacin de dicho ejercicio durante la vida del
Centro siempre resultar provechoso para analizar tanto el funcionamiento del Centro como los servicios
ofrecidos a la Comunidad Objeti-vo. Incluso la propia dinmica del Centro y hasta la consideracin de cambio
de modelo organi-zacional motivar el replanteo de si la actual segregacin de funciones es la adecuada.
Una de las claves del xito de un Centro de Respuesta es tener dichas funciones claramente identicadas y
estar preparados para reaccionar en tiempo y forma para modicar su concep-cin e incluso para contemplar
otras nuevas.
Tambin resulta clave para el buen desempeo del Centro de Respuesta que la segregacin de funciones se la
considere como lo que es, una distribucin de tareas y una identicacin de responsables y referentes de cada
una de ellas, como una forma de organizar el trabajo dentro del Centro.
Frecuentemente se denomina en la bibliografa y artculos de la temtica al Centro de Respues-ta como Equipo
de Respuesta, lo que no hace ms que resaltar el espritu que debe subyacer en todo Centro de Respuesta para
que lleve adelante su tarea: ser un equipo. De nada servir crear un Centro de Respuesta donde se convoque a
los mejores a los que se pueda acceder en cada funcin identicada, si no se logra una cohesin entre las
personas que llevan adelan-te dichas funciones (responsables o no de ellas) y logran trabajar como un
verdadero equipo. No se debe perder de vista que el servicio fundamental que brinda un Centro de Respuesta
es la gestin de incidentes y en muchos casos la gestin de incidentes podr estar rodeada de estrs, nervios,
presiones de diversa ndole, y situaciones y estados de nimo que ponen a prueba la vinculacin entre las
personas; en caso de no ser esta la mejor o por lo menos muy buena, el equipo sufrir algn tipo de sura y
ms tarde o ms temprano lo afectar y por lo tanto tambin a la Comunidad Objetivo, por afectar los servicios
que aquel debe brindar a sta.
Por lo tanto, debemos segregar las funciones del Centro de Respuesta y no las personas que lo integran.
121
Para jar el concepto pensemos en los numerosos ejemplos que han habido a lo largo de la historia del ftbol
mundial en el que clubes invirtieron millones de dlares o euros para la con-tratacin de grandes estrellas y
conformar su plantel profesional, pero terminaron fracasando frente a otros que sin grandes nombres
lograron un conformar un verdadero equipo. Esos clubes que fracasaron quizs identicaron clara y correctamente las principales funciones a lle-var adelante en la cancha: golero, defensa, carrilero, armador, delantero
de rea, punta por afuera y para cada funcin, salieron a buscar al mejor y lo contrataron, pero nunca pudieron plasmar un verdadero equipo, porque en las actividades colectivas nunca la suma de los mejo-res esfuerProactivossi no se complementa con una adecuada coordi-nacin, vinculacin y una
zos redunda en Servicios
el mejor resultado
clara denicin de objetivos y estrategias para lograrlos.
Una prctica altamente recomendada en todo actividad colectiva (como es el caso de un Cen-tro de Respuesta) es que la vinculacin entre sus diferentes integrantes no sea nicamente tcnica y siempre haciendo
nfasis en la cadena de mando. Se deben fomentar as actividades sociales que fortalezcan la vinculacin de
los miembros del Centro, sus familias y amigos. Re-sulta as muy positivo que se compartan momentos de
distensin como ser organizar comidas, reuniones, actividades deportivas, asistencia a eventos culturales y/o
deportivos entre otras, donde se puedan fortalecer los vnculos entre ellos, lo que adems de ser benecioso
para las personas, seguramente tambin lo ser para el funcionamiento del Centro. En estos casos es conveniente la tarea (nada sencilla) que durante dichas actividades no se comenten aspectos vinculados al trabajo en
el Centro de Respuesta. Es de destacar que hay un aspecto que juega a favor de que ello no ocurra y es que
mucha de la informacin que se maneja en el Centro es-t clasicada como condencial y por otro lado, es
habitual que sus integrantes rmen un NDA (Non-Disclosure Agreement), al que en la regin tambin se le
conoce como Compromiso de Condencialidad, por lo que tambin por esa va se vern impedidos de realizar
comentarios, incluso a su familia. Finalmente, aunque no por ello menos importante, puede resultar muy
po-sitivo para todo el equipo que las personas que tienen a su cargo las funciones de direccin del Centro se
desprendan por unas horas de dicho rol y asuman otro completamente distinto, bus-cando ser uno ms en la
actividad a realizar; por ejemplo que el Director del Centro tenga la iniciativa de: yo me encargo de reservar la
cancha para el partido de ftbol y mi seora de comprar lo que vamos a comer.
Por otro lado, la propia esencia de los servicios que brinda un Centro de Respuesta implica que a veces la
disponibilidad de sus integrantes se deba requerir fuera del horario de ocina. Esta modalidad de trabajo se
debe contemplar de alguna forma, pudiendo ser mediante incentivos econmicos, exibilidad horaria u otros,
e incluso con una combinacin de ellos. Este tipo de prcticas ayudan a delizar a los integrantes del Centro ya
que se sienten ms cmodos en su trabajo cotidiano y les permite llevar adelante su vida privada de una
manera adecuada.
3.1.2 Las funciones

Las funciones identicadas en la presente propuesta son las siguientes:
- Directorio
- Director Ejecutivo
- Comit Ejecutivo
- Gerente Operacional
118
- Logstica
- Investigacin
- Legal
- Gestin de incidentes
- Embajadores
- Formacin Continua
- Comercial
Servicios
Proactivos
- Financiero
y Econmico
Los nombres de cada una de las funciones, si bien son ampliamente difundidos, no signican ninguna regla a
respetar y deben ser considerados como una posible referencia a seguir.
No es habitual encontrar un Centro de Respuesta que cuente con una persona fsica para cada una de las
funciones mencionadas, y menos an si se intenta realizar dicha asociacin en el momento de la creacin del
mismo, por lo que la mayora de los Centros nacen con un equipo de integrantes donde cada uno tiene la
responsabilidad en ms de una funcin, siendo posible que a medida que el Centro se aanza en su actividad
pueda incorporar ms integrantes y as tender a una relacin ms biunvoca entre funciones y personas.
3.1.3 Descripcin de las Funciones

Para cada una de las funciones ennumeradas en la seccin 1.2 se ofrecer a continuacin una descripcin,
proporcionndose adems un detalle de diferentes formas en que se pueden vin-cular entre s.
3.1.3.1 Directorio
Un Centro de Respuesta podr contar con un Directorio como componente ms alto en el or-ganigrama del
mismo. En caso de existir, en general sus funciones estarn asociadas princi-palmente a aspectos polticos y de
vinculacin quizs con el gobierno, buscando brindar al cen-tro el apoyo y el nexo poltico que pueda requerir.
Sus integrantes deberan ser miembros reconocidos en la comunidad donde actuar el Centro de Respuesta.
Puede resultar conveniente que el Director Ejecutivo sea miembro del Directorio o que en su defecto, pueda
ser convocado a las reuniones que se realicen. A priori no aparece como adecuado que un integrante del
Comit Ejecutivo que no sea el Director Ejecutivo sea quien asista a las reuniones del Directorio, pues le agrega
complejidad a la logstica de las reuniones y no se trata de la persona que en ese momento est en contacto
ms directo con el resto de los integrantes del Centro.
La frecuencia de las reuniones del Directorio no debera ser muy alta (no menor a dos meses) pues los temas a
tratar son en general de lneas estratgicas de ejecucin a mediano o largo plazo.
123
3.1.3.2
Director Ejecutivo
Todo Centro de Respuesta deber identicar quin (o quienes) tendr a su cargo la funcin de Director Ejecutivo. sta funcin deber recaer en una (o varias) persona con capacidad de mando, liderazgo y motivacin
claramente demostrable e identicable.
Quien lleve adelante dicha funcin debera estar capacitada y entrenada en el rea de gestin de incidentes de
seguridad as como en la gestin de proyectos y gestin empresarial. Ello no implica que cuente con las
mejores certicaciones en las reas mencionadas, pero sin duda que el tenerlas, redunda en un benecio para
el Centro en su operativa diaria, motiva a sus in-tegrantes a capacitarse y entrenarse y presenta una mejor
imagen del Centro frente a la Co-munidad Objetivo.
Mencionamos en el prrafo anterior la posibilidad de que la funcin de Director Ejecutivo pudie-ra recaer en
ms de una persona. Con ello se quiere signicar que la Direccin del Centro pue-de estar a cargo de un
Comit Ejecutivo quien designa a uno de sus integrantes como Director Ejecutivo pro tempore (por un
tiempo). En caso que el mando del Centro de Respuesta se or-ganice de esta manera, resulta fundamental que
el resto de los integrantes del Centro conozca de antemano y con una antelacin razonable quin tendr a su
cargo la funcin de Director Ejecutivo y por cunto tiempo. No es recomendable, salvo por causas debidamente justicadas, cambiar el Director Ejecutivo cada poco tiempo, por ejemplo cada un ao, pues entre otros
in-convenientes la logstica no es sencilla y tanto para el resto de los integrantes del Centro como para la
Comunidad Objetivo puede terminar siendo no la mejor imagen del mismo.
En caso de existir un Comit Ejecutivo, resulta fundamental que el mismo brinde una imagen homognea y sin
suras hacia el Centro y hacia la Comunidad Objetivo, siendo la situacin ideal aquella en la que el Centro
brinda todos sus servicios, en particular la gestin de inciden-tes de la misma forma, sin importar quin est
circunstancialmente ocupando el cargo de Direc-tor Ejecutivo. Podemos jar este concepto con una situacin
no deseada, que sera por ejemplo el caso en que un integrante de la Comunidad Objetivo espera ansiosamente el cambio de Di-rector Ejecutivo para contactar al Centro ante determinada inquietud o propuesta.
El Director Ejecutivo debe mantener reuniones peridicas con el resto de los integrantes del Centro de Respuesta o con algn representante de ellos (que debe ser miembro del Centro), con una frecuencia que no debera
ser menor a una vez por semana. Sumado a ello, es reco-mendable que el Director tenga un contacto diario
con ellos, pero no como una herramienta de presin y de establecer presencia, sino como una manera de
estar al tanto de la actividad del Centro y ofrecer el apoyo que el resto de los integrantes necesitan por el
tenor de la actividad que realizan.
124
El Director Ejecutivo, en caso de existir el Comit Ejecutivo, debera elaborar un documento a presentar a cada
uno de sus integrantes (informe), donde como mnimo se debera incluir:
- reporte de actividades del Centro desde la ltima reunin
- inquietudes surgidas en el Centro desde la ltima reunin
- identicacin de necesidades del Centro
- planteos recibidos desde la Comunidad Objetivo
- informacin relevante para el Centro, obtenida por vas formales e informales
Servicios
Proactivos
- propuesta
de acciones
futuras
Dicho documento se puede elaborar en conjunto con el resto de los integrantes del Centro o con un representante de ellos.
Si el Comit Ejecutivo no existe dicho informe puede ser til para presentar al Directorio (si existe).
El documento mencionado servir como agenda para la reunin del Comit Ejecutivo y es re-comendable que
sea elaborado y distribuido, con las medidas de seguridad necesarias, con cierta antelacin (por ejemplo dos
das hbiles antes de la reunin) de forma que el resto de los integrantes del Comit dispongan de un tiempo
prudencial para concurrir a la reunin con un conocimiento previo de los temas a tratar y que la misma resulte
ms provechosa.
Adicionalmente es altamente recomendable que se elabore un acta de la reunin del Comit Ejecutivo. La
misma no tiene porqu ser distribuida al resto de los integrantes del Centro pero se debe asegurar que los
mismos estn en conocimiento de aquellas decisiones relevantes pa-ra el funcionamiento del Centro y para el
trabajo de cada uno de sus integrantes.
Podemos asociar, pero no con extrema rigurosidad, que el Director Ejecutivo estar ms ligado a la Misin
del Centro de Respuesta.
3.1.3.3 Comit Ejecutivo

La direccin ejecutiva de un Centro de Respuesta podr recaer en un conjunto de Directores Ejecutivos actuando uno por vez con la funcin de Director Ejecutivo. Es recomendable que el nmero de integrantes del
Comit Ejecutivo sea impar, para que la toma de algunas decisiones se pueda realizar por votacin, aunque
siempre es conveniente buscar el consenso y fomentar el dilogo y no la imposicin. En caso se tratarse de un
nmero par de personas, puede adop-tarse el criterio de que el voto del Director Ejecutivo actual valga doble.
En caso de existir el Comit, es recomendable que realice reuniones peridicas para que todos sus integrantes
conozcan de primera mano la marcha del Centro y se analicen planteos e in-quietudes que pudiesen llegar por
diferentes vas, formales y no. Se entiende que un perodo razonable para las reuniones del Comit Ejecutivo
es 15 o 30 das. Un tiempo menor podra llegar a ocasionar un desgaste excesivo para sus integrantes y una
prdida de eciencia de cada reunin, por ejemplo por ausencia de algunos de sus integrantes (est
llloviendo, hoy no voy a la reunin del Comit, no importa tanto, igual nos reunimos dento de dos das otra
vez) y un tiempo mayor puede llegar a tener como consecuencia negativa el hecho que los tiempos de la
actividad del Centro y los tiempos de respuesta requeridos por la Comunidad Objetivo no es-tn acompasados
con la frecuencia de reuniones el Comit Ejecutivo (hace tres semanas que planteamos la necesidad de un
plan de capacitacin pero como el Comit Ejecutivo se rene recin dentro de un mes y yo en quince das
tengo que conrmar o no el gasto, tendr que buscar otra alternativa), lo que puede terminar generando
molestias, prdida de integrantes de la Comunidad Objetivo, deterioro de la imagen del Centro y poniendo el
riesgo su actividad de futuro.
125
Tambin resulta importante que se contemple un mecanismo de conovocatoria del Comit en caracter de
grave y urgente ante hechos que as lo amediten. Puede ocurrir que alguno de sus integrantes no pueda estar
presente fsicamente, por ejemplo, por encontrarse distante de las ocinas del mismo y sin la posibilidad de
llegar a tiempo a la reunin citada o por encontrarse indispuesto en su hogar; en dicho caso resulta aconsejable un adecuado uso de las TICs, por ejemplo realizando una videoconferencia con las medidas de seguridad
requeridas en estos casos, ya que si la reunin es convocada en carcter de grave y urgente es porque la
temtica de la misma es muy delicada y puede requerir de condencialidad.
En caso de existir el Directorio, un representante del Comit Ejecutivo (preferentemente el Di-rector Ejecutivo)
debera elaborar un documento (informe) a presentar a cada uno de sus in-tegrantes, donde como mnimo
se debera incluir:
- Un resumen de la informacin contenida en los documentos agenda y acta elabora-dos en el
contexto del Comit Ejecutivo (si existe) o en su defecto un documento que rena las cosas ms importantes
ocurridas en el seno del Centro desde la ltima reunin del Directorio
- Inquietudes o planteos que se vinculan a la funcin del Directorio
Dicho documento se puede elaborar en conjunto con el resto de los integrantes del Comit Eje-cutivo.
El documento mencionado servir como parte de la agenda para la reunin del Directorio y es recomendable
que sea elaborado y distribudo, con las medidas de seguridad necesarias, con cierta antelacin (por ejemplo
dos das hbiles antes de la reunin) de forma que los integran-tes del Directorio dispongan de un tiempo
prudencial para concurrir a la reunin con conoci-miento previo de los temas a tratar y que la misma resulte
ms provechosa.
Adicionalmente es altamente recomendable que se elabore un acta de la reunin del Directorio. La misma no
tiene porqu ser distribuda al resto de los integrantes del Centro pero se debe asegurar que los mismos estn
en conocimiento de aquellas decisiones relevantes para el fun-cionamiento del Centro y para el trabajo de
cada uno de sus integrantes.
126
3.1.3.4 Gerente Operacional

Dentro de un Centro de Respuesta podemos identicar la funcin de Gerente Operacional. Se trata de una
funcin en general siempre presente pero no siempre formalizada. Podemos aso-ciar dicha funcin a aquella
persona que tiene la visin ms general y completa de la actividad del Centro, pero ms cercana a la operacin
da a da del mismo. Adicionalmente suele ser la persona que tiene la tarea de representar al resto de los
integrantes del Centro frente al Direc-tor Ejecutivo.
La funcin de Director Operacional puede ser desempeada por una nica persona o se puede rotar entre
algunos o todos los integrantes del Centro. En caso de utilizar el mecanismo de ro-tacin, es recomendable
tener siempre el objetivo de que la funcin como tal se cumpla de la misma manera, siendo lo ideal que, para
el Director Ejecutivo, resulte transparente quin la desempea en determinado momento.
De haber rotacin, y para no agregar demasiada complejidad a su gestin, la frecuencia de la misma no
debera ser mayor a, digamos, una vez cada tres meses.
Como fortaleza de la funcin, podemos indicar que la presencia del Gerente Operacional sirve para organizar la
vinculacin entre el equipo tcnico del Centro y el Director Ejecutivo. Su exis-tencia permite que ambos tengan
un punto de referencia para sus inquietudes facilitando el di-logo entre las partes.
Como debilidad podemos mencionar dos: una asociada a utilizar el mencanismo de rotacin, por lo complejo
que puede resultar su implementacin, y otra asociada a no utilizar el meca-nismo de rotacin. En los Centro
de Respuesta es relativamente frecuente que sus integrantes realicen diversas tareas y se roten en las mismas
a lo largo del tiempo, este es un mecanismo utilizado para intentar que todos tengan un panorama general de
cmo funciona el Centro, sirve para que no siempre los mismos realicen las tareas ms ingratas, como
estrategia de motiva-cin y para conseguir ms de una ptica sobre un mismo aspecto. La no realizacin de la
rota-cin en la funcin del Gerente Operacional nos priva de los benecios mencionados. Por otro lado, la
eleccin del mismo es usual que surja del equipo tcnico que compone el Centro, por lo que de ser as, debe
ser una decisin fruto de un anlisis profundo. Haciendo una analoga en-tre un Centro de Respuesta y una
fbrica, el Gerente Operacional podra compararse con un Jefe de Produccin, quien sabe todo lo que sucede,
quien tiene un panorama general de cmo est funcionando el sistema, identica y recibe los requerimientos
de quienes trabajan all, se vincula con la Alta Gerencia y traslada a los operarios las inquietudes de aquella y a
aquella los de estos.
El Gerente Operacional debe fomentar siempre la nocin de equipo dentro del Centro, aunque cada uno de
sus integrantes est realizando una actividad especca. Para ello es importante que el todos los integrantes
conozcan qu temas estn llevando cada uno, siendo suiciente para ello una reunin informal, de pocos
minutos de duracin y la necesidad de documentos formales donde cada uno de los integrantes comente sus
tareas actuales. Es usual que de s-tas reuniones surjan iniciativas de colaboracin de los integrantes entre
para casos especcos y respuestas que se logran simplemente por comentar las inquietudes de cada uno.
127
3.1.3.5 Difusin
Todo Centro de Respuesta debe identicar la persona que tendr a su cargo la responsabilidad de toda la
actividad de difusin del mismo. Entendemos por ello todas las formas de comunica-cin posibles con diversos
actores, como ser los integrantes de la Comunidad Objetivo, otros Centros de Respuesta, prensa, entre otros.
sta funcin no implica que toda comunicacin con los actores mencionados debe ser validada previamente
por quien asuma dicha responsabilidad, pero s signica que dicha persona debe trabajar para que se denan y
documenten pautas claras a seguir en cada uno de los casos.
Los objetivos fundamentales de la funcin de difusin de un Centro de Respuesta son:
- Hacer conocer la existencia del Centro
- Difundir a la Comunidad Objetivo informacin que puede resultar de su inters
- Fomentar la Capacitacin y Entrenamiento de los integrantes de la Comunidad Objetivo
A continuacin analizaremos cada uno de los objetivos mencionados
Al hacer conocer la existencia del Centro de Respuesta se busca la captacin de potenciales nuevos integrantes
de la Comunidad Objetivo as como tambin la identicacin de necesida-des no satisfechas de ella y la
denicin clara de los servicios brindados por el Centro y cmo acceder a los mismos. Las formas de hacer
conocer la existencia del Centro son variadas. Una lista no exhaustiva es: organizacin de conferencias, seminarios y talleres de capacitacin y entrenamiento, presencia en Internet en varias formas posibles (sitios web,
RSS, listas de co-rreo) donde se pueda tanto poner a dispisicin de todos informacin que puede resultar de
inte-rs como tambin, mediante el cual se pueda recibir las inquietudes de las personas, por ejem-plo, completando un formulario o enviando un mensaje de correo electrnico a una direccin destinada a ello.
La difusin de informacin que puede resultar de inters para la Comunidad Objetivo puede ser una actividad
tanto reactiva como proactiva. Puede ocurrir que la Comunidad Objetivo, o parte ella, le haya hecho saber
previamente al Centro sobre los aspectos que les sera de inters es-tar informada (por ejemplo, vulnerabilidades de determinado producto) y el Centro de Respues-ta implemente un procedimiento para cumplir con
dichas expectativas (con costo o no para la Comunidad Objetivo); puede darse el caso que la misma informacin u otra, sea difundida al resto de los integrantes de la Comunidad Objetivo (con o sin costo para ella) si
se cuenta con la autorizacin correspondiente. Por otro lado, puede ocurrir que el Centro de Respuesta, por
ini-ciativa propia comience a difundir informacin que intuye o tiene la certeza que ser de inters para la
Comunidad Objetivo.
La actividad de Capacitacin y Entrenamiento es til, por un lado para generar un expertise en la Comunidad
Objetivo que le ser muy til a la hora de enfrentar un incidente de seguridad, que los puede motivar a crear
Centros similares y que le permitir a los integrantes del Centro interactuar de mejor forma con los integrantes
de la Comunidad Objetivo en el momento de gestionar un incidente de seguridad; por otro lado, puede serle
til al Centro como una forma de autonanciarse y de posicionarse frente a la Comunidad Objetivo como un
punto de referen-cia en la temtica. La actividad de Capacitacin y Entrenamiento no debe quedar circunscripta solamente a aspectos puramente tcnicos, pudiendo ser muy enriquecedor para ambas partes realizar
talleres donde la Comunidad Objetivo encuentre un mbito donde plantear sus inquie-tudes al Centro de
Respuesta, por ejemplo, relacionadas a la forma de vincularse.
118
A continuacin analizaremos las actividades de difusin en funcin de los actores menciona-dos:

- Comunicacin con la Comunidad Objetivo
La misma siempre ser realizada en un tono respetuoso, intentndose ponerse a la par de los conocimientos
tcnicos de la persona con la que se interacta, con un alto espritu de colabo-racin y con la libertad de tutear
o no segn se entienda oportuno. El Cdigo de tica es fun-damental para establecer cmo vincularse.
Servicios
Proactivos
En caso de estarse
comunicando
con varios integrantes de la Comunidad Objetivo, se debe evaluar y decidir si
es conveniente que unos deduzcan quienes son los otros que estn reci-biendo la misma informacin. Salvo
que se traten de personas que pertenezcan a la misma unidad de trabajo (e incluso tampoco en ese caso) es
necesario ofrecer anonimato. Por ejem-plo, ocultando las direcciones de correo electrnico de los destinatarios de un mensaje de co-rreo electrnico.
- Comunicacin con otros Centros de Respuesta
Fomentar la misma es de suma utilidad para todas las partes involucradas. Basta pensar en una realidad que
cada vez nos golpea ms fuerte, como es que los incidentes de seguridad traspasan fronteras de pases y de
redes empresariales, por lo que muchas veces un punto de contacto en el que conamos puede resultar muy
til a la hora de gestionar un incidente de se-guridad. Por otro lado la pertenencia a grupos de Centros de
Respuesta propicia que se genere un mbito donde entre pares se pueda intercambiar conocimiento para los
servicios que brinda cada Centro. Conviene as analizar la posibilidad de ser miembros de foros como FIRST
[FIRST] y asistir a conferencias de Centros de Respuesta como ser FIRST-TC [FIRST-TC] para fomentar y fortalecer estas redes de conanza entre Centros.
- Comunicacin con la prensa
La esencia de la existencia de la misma puede resultar una cscara de banana para el Centro de Respuesta. Es
muy probable que la mejor noticia en materia de seguridad para la prensa est vinculada al incidente ms
delicado que se est gestionando en el Centro. Probablemente el responsable de Difusin no sea quien entable contacto con la prensa y quizs lo sea el Di-rector Ejecutivo, pero s es responsabilidad de aquel que la
posicin frente a la prensa sea uni-forme en todo el Centro, concientizando a todos sus integrantes de no
ofrecer ancos dbiles por donde se pueda ltrar informacin, incluso antes tcnicas elaboradas de Ingeniera
Social.
El responsable de la Difusin deber fomentar que la misma brinde una imagen nica del Cen-tro segn el
grupo de destinatarios (Comunidad Objetivo, Centros de Respuesta, prensa).
3.1.3.6 Infraestructura
En cualquier Centro de Respuesta encontraremos infraestructura que sirve como sustento para los servicios
que se brindan. Habr tanto infraestructura de cada a la Comunidad Objetivo como tambin de uso exclusivo interno, y en ambos casos nos refererimos a toda la tecnolo-ga de red, servidores, estaciones de trabajo,
notebooks, equipamiento de laboratorio, de anli-sis forense, de anlisis de artefactos, de preservacin de
evidencia, etc. La complejidad de la infraestructura podr diferir mucho de un Centro a otro, pero ninguno
podr obviarla y por lo tanto, deber administrarla.
Dicha responsabilidad deber recaer en una persona con la debida capacitacin e idoneidad para llevar la
tarea adelante.
129
129
3.1.3.7 Triage
El servicio que determina la propia razn de la existencia de un Centro de Respuesta es la ges-tin de
incidentes de seguridad. Dicha gestin involucra en sus etapas ms tempranas la reali-zacin de la funcin de
Triage. El concepto de triage no es exclusivo de la gestin de inciden-tes, aplicndose a otras reas, como ser la
medicina. Para comprender cabalmente qu implica y las posibles consecuencias de realizarlo correctamente o
no puede resultar un buen ejercicio comentar su utilizacin en el rea mencionada.
En la medicina de emergencias y desastres se efecta triage para la seleccin y clasicacin de los pacientes
basndose en las prioridades de atencin privilegiando la posibilidad de su-pervivencia, de acuerdo a las
necesidades teraputicas y los recursos disponibles. Este trmino se emplea para la seleccin de pacientes en
distintas situaciones y mbitos. En situacin nor-mal en las urgencias extra-hospitalarias y hospitalarias. As
como en situaciones de demanda masiva, atencin de mltiples vctimas o de desastre. En situacin normal se
privilegia la aten-cin del paciente ms grave, el de mayor prioridad, por ejemplo: paro cardaco. En situaciones de demanda masiva, atencin de mltiples vctimas o desastre se privilegia a la vctima con mayores
posibilidades de supervivencia segn gravedad y la disponibilidad de recursos. Enten-demos entonces por
triage de urgencias el proceso de valoracin clnica preliminar que ordena los pacientes antes de la valoracin
diagnstica y teraputica completa en base a su grado de urgencia, de forma que en una situacin de saturacin del servicio o de disminucin de recur-sos, los pacientes ms urgentes son tratados los primeros, y el resto
son controlados conti-nuamente y reevaluados hasta que los pueda visitar el equipo mdico.
El trmino triage (o triaje, aunque ste casi no se utiliza) no existe en la lengua espaola o por-tuguesa, y se lo
podra asimilar al trmino clasicacin. Se entiende que dicha traduccin no es adecuada y por lo tanto se
utilizar triage de aqu en adelante.
En el contexto de incidentes de seguridad, el triage implica la recepcin por diversas vas de reportes de
eventos o incidentes de seguridad y su clasicacin mediante algn criterio. La cla-sicacin que se le d a lo
reportado determinar la gestin a realizar, lo que no implica que no se pueda volver a clasicar si as se
determina luego de analizarlo o en pleno proceso de ges-tin.
La persona encargada del triage podr tener como tarea la asignacin del integrante del Centro que deber
llevar adelante la gestin del incidente. Dicha decisin podr ser tomada en conjun-to con el Gerente Operacional e incluso contando con la opinin del Director Ejectutivo.
130
La persona idnea para esta actividad debe reunir algunas cualidades, como ser:
- Capacidad de correlacionar eventos e incidentes de seguridad
- Mantener la calma en momentos complicados
- Saber distinguir entre lo urgente y lo importante.
Diferentes aspectos deben considerarse en el momento de asignar un incidente a un integrante de Centro, un
ejemplo de lista de dichos aspectos es:
- Expertise del potencial candidato
- Carga laboral actual del candidato
- Carga laboral futura del candidato
- Expectativa de duracin de la gestin del incidente a gestionar
- Estado de nimo del candidato
- Vinculacin del candidato con quien reporta y otros posibles integrantes de la Comuni-dad Objetivo
que podran estar vinculados al incidente
3.1.3.8 Documentacin
Todo Centro de Respuesta cuenta con una importante cantidad de Documentacin y en dife-rentes medios y
formatos, la que requiere de una gestin adecuada. Dicha gestin incluye la existencia de polticas y procedimientos que especiquen cmo y cundo:
- Generarla
- Clasicarla
- Almacenarla
- Respaldarla
- Destruirla
- Difundirla
Podemos identicar dos grandes tipos de informacin: informacin relevante para el funciona-miento mismo
del Centro de Respuesta e informacin vinculada a los propios servicios que se brindan. En el primero estn
comprendidas todas las polticas y procedimientos del Centro. En el segundo encontramos toda la documentacin generada durante la prestacin de cada servi-cio; por ejemplo puede ser, toda la documentacin que se
genera como resultado de la gestin de un incidente de seguridad o toda la documentacin generada como
resultado de una audito-ra de seguridad o toda la documentacin generada para un plan de capacitacin y/o
entrena-miento.
La gestin de la documentacin deber contemplar la revisin peridica de ella, como instancia en la cual se
puede modicar en base a la experiencia de haberla aplicado durante cierto tiem-po. Ello puede resultar en la
modicacin de algunas de las polticas y procedimientos involu-crados o la documentacin de que luego de
realizada la revisin, no se identicaron cambios necesarios.
131
3.1.3.9 Capacitacin y Entrenamiento

La actividad de capacitacin y entrenamiento es til, por un lado para generar un expertise en la Comunidad
Objetivo que le ser muy til a la hora de enfrentar un incidente de seguridad, que los puede motivar a crear
Centros similares y que le permitir a los integrantes del Centro interactuar de mejor forma con los integrantes
de la Comunidad en el momento de gestionar un incidente de seguridad; por otro lado, puede serle til al
Centro como una forma de autonan-ciarse y de posicionarse frente a la Comunidad Objetivo como un punto
de referencia en la te-mtica. La actividad de capacitacin y entrenamiento no debe quedar circusncripta
solamente a aspectos puramente tcnicos, pudiendo ser muy enriquecedor para ambas partes realizar talleres donde la Comunidad Objetivo encuentre un mbito donde plantear sus inquietudes al Cen-tro de Respuesta.
El responsable de dicha actividad tiene a su cargo la tarea de identicar temticas que resulta-ran de inters
para la Comunidad Objetivo. Para ello puede recurrir a diferentes fuentes de in-formacin como ser sitios en
Internet especcos de seguridad, informacin de otros Centros de Respuesta, asistencia a seminarios, conferencias, capacitacin y entrenamiento entre otros. Adicionalmente debe estar predispuesto para analizar
propuestas que provengan o no de la Comunidad Objetivo y por cualquier va respecto a una demanda insatisfecha, oculta o no, res-pecto a capacitacin y/o entrenamiento.
3.1.3.10 Logstica
En cualquier Centro de Respuesta, as como en cualquier empresa de cualquier tamao, deben existir un
conjunto de bienes fungibles y no fungibles a disposicin de sus integrantes. Por ello, debe existir una persona
responsable de asegurar la existencia de los mismos en las cantida-des adecuadas para el correcto trabajo
diario. Esta funcin puede recaer en un integrante del Centro sin formacin tcnica.
3.1.3.11 Investigacin
Una funcin relevante para un Centro de Respuesta es la investigacin. Las ventajas que ofre-ce dedicar parte
del tiempo a esta funcin son variadas. Se pueden mencionar entre ellas: que es una herramienta que puede
acercar al equipo informacin y conocimiento que puede ser de utilidad para el Centro y para la Comunidad
Objetivo, le permite vincularse con Centros pares, mejora la reputacin del Centro y sus integrantes y fomenta
actividades similares en otros Cen-tros y en la Comunidad Objetivo.
El realizar actividades de investigacin y el compartir en diversos mbitos sus avances, pro-blemas y resultados
es til tambin para generar vnculos de conanza con quien se comparte. Las vas disponibles para compartir
informacin vinculada a tareas de investigacin (siempre y cuando no se est limitado por la condencialidad)
son varias, desde informes publicados en Internet hasta la realizacin de reuniones, talleres o seminarios
donde se puedan intercambiar ideas.
Los resultados de determinada investigacin pueden ser la semilla para un nuevo servicio a ser brindado por el
Centro o para la mejora de una ya existente. Cualquiera de los dos frutos son altamente valorados por la
Comunidad Objetivo y ayudan a mejorar la imagen del Centro.
Como dijimos antes, las tareas de investigacin se pueden llevar a cabo: exclusivamente en el Centro, en el
Centro y en colaboracin con otros Centros, en el Centro y con la participacin de algunos integrantes de la
Comunidad Objetivo o en el Centro y con la participacin de personal de la organizacin que le sirve de hosting.
132
Los resultados de determinada investigacin pueden ser la semilla para un nuevo servicio a ser brindado por el
Centro o para la mejora de una ya existente. Cualquiera de los dos frutos son altamente valorados por la
Comunidad Objetivo y ayudan a mejorar la imagen del Centro.
Como dijimos antes, las tareas de investigacin se pueden llevar a cabo: exclusivamente en el Centro, en el
Centro y en colaboracin con otros Centros, en el Centro y con la participacin de algunos integrantes de la
Comunidad Objetivo o en el Centro y con la participacin de personal de la organizacin que le sirve de hosting.
Las actividades de investigacin, ms all de cmo se lleven a cabo, fortalecen los lazos entre las partes involucradas y aanza la conanza entre ellos. Esta actividad puede tener un costo directo o no para las organizaciones a las que pertenecen los integrantes de la Comunidad Ob-jetivo que participan de la misma.
3.1.3.12 Legal
Todo Centro de Respuesta debe contar con un asesor legal. La persona que cumpla dicha fun-cin puede ser o
no integrante del Centro de Respuesta. En caso de no serlo, puede pertene-cer a la organizacin que brinda el
hosting al Centro o puede ser contratado por el Centro ante la necesidad de sus servicios.
Su presencia es fundamental en varias actividades del Centro. Por ejemplo, para la recoleccin y preservacin
de evidencia que puede llegar a ser utilizada ms adelante en una instancia ju-dicial o para asesorar a los
integrantes del Centro en cmo deben ser redactados los informes asociados a un incidente de seguridad,
informes en ciertas ocasiones solicitados por parte de un juez y hasta incluso como asesor legal en el momento
de declarar en un juzgado.
Es recomendable que los integrantes del Centro de Respuesta realicen reuniones con su ase-sor legal de
manera de estar al da con la legislacin vigente en el pas donde se encuentra brindando servicios el Centro.
Los integrantes del Centro de Respuesta en general poseen muy poca o nula formacin en aspectos jurdicos y
por la propia esencia de los servicios que brindan deben conocer las leyes, decretos y ordenanzas vinculadas a
su tarea.
3.1.3.13 Gestin de Incidentes

La gestin de incidentes es el servicio fundamental de todo Centro de Respuesta, y la razn de su existencia. La
funcin debe ser llevada adelante por todos los integrantes tcnicos del Cen-tro y apoyada tambin por los
restantes integrantes.
Su funcin implica la gestin de incidentes de seguridad, pudiendo tener a su cargo tambin la funcin de
triage, incluso al mismo tiempo.
La gestin de incidentes implica estar en contacto con quien lo report y quizs con otros inte-grantes de la
Comunidad Objetivo as como con otros Centros de Respuesta e incluso repre-sentantes legales. Por vas
formales o informales deber informar al Gerente Operacional del estado de cada incidente que se encuentra
gestionando y de la vida misma de l.
Ms all de la existencia de cursos de capacitacin y entrenamiento en gestin de incidentes de seguridad,
mucho se aprende gestionando incidentes de seguridad. Cuando un integrante del Centro comenzar a gestionar incidentes es conveniente que otro integrante ya avezado en dicha tarea asuma un rol de mentor o tutor,
que lo pueda ir guiando, asesorando, formando y forjando la conanza de aquel en su nueva funcin.
118
133
3.1.3.14 Embajadores
En algunos Centros de Respuesta y dependiendo del modelo organizacional del mismo, puede ocurrir que
personal de la organizacin que brinda el hosting al Centro trabaje en ciertos temas puntuales, como un
integrante ms del grupo.
Un caso en donde puede ocurrir ello es por ejemplo cuando se est gestionando un incidente de seguridad,
que involucra a un activo de la organizacin perteneciente a una unidad distinta al Centro de Respuesta. Puede
ocurrir entonces que se requiera la participacin de algn ad-ministrador o dueo de dicho activo, por su
conocimiento profundo del mismo. De ser as, puede ser til para ambas partes que dicha persona, y mientras
se realice la gestin del inci-dente, sea considerada un integrante temporal del Centro. Ello permitir a dicha
persona (y a la unidad que integra) conocer ms de cerca la realidad del Centro y viceversa. Por otro lado
puede ser til tambin para identicar potenciales futuros integrantes del equipo.
Su participacin en el Centro requerir que previamente rme un NDA (Non-Disclosure Agree-ment) o Compromiso de Condencialidad.
3.1.3.15 Formacin Continua

No es posible concebir un Centro de Respuesta en el que sus integrantes no realicen activida-des de capacitacin y entrenamiento de manera frecuente. Resulta fundamental que continua-mente se estn actualizando
en las TICs as como en la evolucin de los distintos vectores de ataque (conocidos y nuevos). Por ello es
importante que los integrantes del Centro destinen parte de su tiempo de trabajo a estudiar, leer, ser curiosos
en cuanto a como funciona determi-nado malware o un protocolo, una herramienta (snier de paquetes,
forense, etc.) qu servi-cios brinda un nuevo equipamiento o aplicacin lanzada al mercado o cual es la realidad de las redes sociales, el spam, las botnets, los honeypots, entre otros ejemplos.
Pero tan importante como lo expresado en el prrafo anterior es que dicho conocimiento no quede cerrado en
una sola persona. Resulta muy benecioso para el Centro de Respuesta que mediante reuniones internas poco
formales pero s respetando cierta periodicidad se comenten acerca de lo estudiado o ledo. Muy probablemente ello servir para evacuar dudas, recibir pre-guntas que nunca se haba plateado quien ha estudiado
cierto tema, lo que puede ayudar a orientar y profundizar el estudio e incluso, para identicar nuevas lneas de
investigacin que se podran explotar.
Por otro lado, la Comunidad Objetivo demanda, a veces explcitamente, que los integrantes del Centro de
Respuesta (desde el Director Ejecutivo hasta quienes realizan gestin de incidentes, pasando por el gerente
Operacional) estn aggiornatos en cuanto a su formacin, lo que puede implicar la necesidad de que obtengan
determinadas certicaciones con reconocimiento inter-nacional, como por ejemplo las otorgadas por [ISC2],
[ISACA] y [PMI].
134
3.1.3.16 Financiero y Econmico

De alguna forma el Centro de Respuesta deber disponer de los fondos para seguir existiendo. Se debe pagar
salarios, leyes sociales, comprar hardware, software y libros, pagar el local don-de opera y su equipamiento, la
conectividad a Internet, asistencia a conferencias, viticos entre otras cosas.
Podemos identicar dos grande modelos posibles de cmo un Centro de Respuesta puede ob-tener los rubros
presupuestales necesarios.
El primero es que la organizacin que le brinda el hosting se encargue de destinar todos los fondos necesarios
y el Centro de Respuesta retorne a travs de los servicios que brinda, qui-zs de manera indirecta, sin la
venta especca de ninguno de ellos. En la antpoda de ste modelo se encuentra aquel en el que el Centro se
autonancia completamente, a travs de la venta de diferentes servicios: capacitacin, entrenamiento, auditoras, ethical hackling, consul-toras entre otros.
Entre ambos modelos podemos encontrar diversas variantes posibles, segn el contexto en el que se desempea el Centro de Respuesta.
Ambos modelos mencionados requieren que alguien desempee la funcin de llevar adelante la gestin
nanciera y econmica del Centro. Un anlisis supercial podra determinar que en el primero de los modelos
no es requerido este rol, pero debemos comprender que dicha gestin puede ser un insumo fundamental
para, llegado el momento, justicar la existencia del Centro, ms an si consideramos que el retorno de la
inversin (no gasto) que realiza la organizacin es difcil de medir. En el segundo modelo, sin duda que dicha
gestin debe estar presente y quien la lleve adelante debe tener un contacto muy uido con el Director Ejecutivo en particular y con el resto de los integrantes del Centro en general para buscar acompasar la gestin de
incidentes y el resto de los servicios que se brindan y que podran brindar con el objetivo de no tener nmeros
rojos.
3.1.3.17 Consideraciones nales

Es muy habitual en los Centros de Respuesta, desde los recin creados hasta los que ya han alcanzado un
grado de madurez importante, que cada persona no tenga una nica funcin asignada, savo alguna funcin
especca, como puede ser la vinculada a las actividades lega-les. Lo que a primera vista puede ser un sntoma
de poco control, de falta de deniciones, en general se lo identica con otra situacin, que es aquella en la cual
los diferentes integrantes pueden tener un panorama bastante completo de toda la maquinaria del Centro
de Respuesta y por lo tanto, ver la realidad desde diferentes pticas. El Centro de Respuesta es un mostrador y
las funciones sus lados (sin duda un mostrador muy particular). Ms de una vez hemos es-chuchado (hasta de
nuestra propia boca) sera bueno que te pusieras de mi lado del mostra-dor, y justamente ese es un modelo
habitualmente encontrado en los Centros de Respuesta (casi sin excepciones en los Centros de Respuesta que
recin nacen). Ello no debe confundirse con todos hacemos de todo y al nal nadie es responsable de nada
que termina traducindo-se en nadie hace nada porque todos piensa que lo hace el otro, situacin peligrosa
y que puede llegar incluso a poner en riesgo la existencia misma del Centro. Es aqu donde resulta fundamental la capacidad organizativa del Centro y las especicacin clara, por escrito y expli-citamente reconocida por
todos los integrantes de quienes son los responsables de cada fun-cin, y eventualmente sus alternos ante la
ausencia por alguna razn de aquellos.
135
3.1.4 Manuales y Procedimientos

En esta seccin de la propuesta nos enfocaremos a prcticas recomendadas para el desarrollo de Manuales y
Procedimientos en un Centro de Respuesta a Incidentes de Seguridad Inform-tica.
Las prcticas no deben ser consideradas como un estndar a seguir pero s reejan los crite-rios que han
venido siguiendo los integrantes de la Comunidad.
3.1.4.1 Motivacin
En todo Centro de Respuesta la elaboracin de Manuales y Procedimientos es una tarea fun-damental tanto
para su operacin como para posicionarse adecuadamente frente a la Comuni-dad Objetivo.
Sabido es que la existencia de una Poltica de Seguridad es fundamental y fundacional en todo lo que respecta
a la gestin de la seguridad de la informacin e informtica en toda organiza-cin, ms an en aquella que sea
o que contenga un Centro de Respuesta.
La creacin de un Centro de Respuesta as como su reconocimiento en la comunidad de otros Centros de
Respuesta requiere la elaboracin de diferentes tipos de polticas. Las polticas brindan pautas primarias del
qu, pero, salvo alguna situacin especial y puntual, no abordan el cmo, y es aqu donde se comienza a
identicar el rol fundamental de los procedimientos. Podramos decir que los procedimientos son implantaciones especcas de una poltica en una realidad concreta.
3.1.4.2 Manuales
Los manuales (o tutoriales), que podemos denir como un documento donde se compendia lo sustancial sobre
determinada materia, tambin debera ser un producto frecuente de elabora-cin/revisin por parte de los
integrantes del Centro de Respuesta.
Podemos identicar motivos proactivos y reactivos para la elaboracin/revisin de manuales. Entre los proactivos podemos mencionar la propia iniciativa de alguno o todos los integrantes del Centro de Respuesta de,
cada cierto tiempo (por ejemplo tres meses) el Centro elabore un manual para poner a disposicin de la
Comunidad Objetivo y/o de toda la comunidad y/o de otros Centros de Respuesta.
Entre los reactivos, podemos mencionar la identicacin de la necesidad, luego de haber ges-tionado un
incidente de seguridad que vincul a una materia, sobre la que se entiende que el integrante de la Comunidad
Objetivo (y/o toda la Comunidad Objetivo y/o toda la comunidad y/u otros Centros de Respuesta) debera
contar con un manual que arroje luz al respecto.
La elaboracin peridica de manuales (proactivos o reactivos) sirve para posicionar al Centro de Respuesta
como un punto de referencia en la comunidad en cuanto a seguridad.
En general los manuales elaborados son considerados un aporte a la comunidad, por lo que para su uso por
parte de terceros slo se solicita que se mencione la fuente y los autores.
136
3.1.4.3 Procedimientos
En todo Centro de Respuesta se debern elaborar varios procedimientos que expliciten clara-mente cmo
ejecutar las acciones relevantes sobre determinada tarea de forma que se realice ecaz y ecientemente.
La tarea de elaborar procedimientos (as como la tarea de elaborar polticas) no se acota a un momento de la
vida del Centro de Respuesta. De una u otra manera y con picos y valles en cuanto a carga laboral aplicada a
ella varios integrantes del Centro estarn envueltos en crear nuevos procedimientos y analizar los ya existentes
a los efectos de determinar si siguen siendo adecuados o requieren una actualizacin. La actualizacin de los
procedimientos puede tener diferentes motivos, incluso combinados: nuevos requerimientos de la Comunidad
Objetivo, nuevos desafos del Centro de Respuesta, cambios tecnolgicos, omisiones u errores en la versin
actual, entre otros.
La necesidad de elaborar nuevos procedimientos tambin puede tener varios motivos, tambin incluso combinados: formalizar una actividad que se viene realizando siguiendo un procedi-miento no escrito, una nueva
poltica que fomenta la realizacin de uno o ms procedimientos, entre otros.
La actividad cotidiana de los integrantes del Centro de Respuesta as como la interaccin con miembros de la
Comunidad Objetivo o de otros Centros de Respuesta sern disparadores de la creacin o actualizacin de
procedimientos.
3.1.4.4 Criterios de elaboracin de Manuales

Los manuales no deben ser necesariamente extremadamente largos. En general ello reduce su aprovechamiento, salvo excepciones.
Deben estar redactados en un lenguage adecuado para el pblico objetivo. Pueden tener un contenido tcnico
muy alto o no, segn para qu pblico estn pensados. Incluso en algunos casos puede ser oportuno generar
diversos sabores de un mismo manual para llegar a dife-rentes sectores del pblico objetivo.
Desde el momento que se plantea la elaboracin de un manual se debe identicar claramente el objetivo del
mismo, el pblico objetivo, la extensin esperada del mismo (a veces tambin condicionada por el pblico
objetivo), el plazo necesario para la elaboracin, cundo y cmo debera liberarse.
Es muy recomendable que los manuales respeten un template predenido, pudiendo existir ms de un template si existen varios pblicos objetivos.
Resulta muy recomendable tambin que exista un procedimiento de elaboracin de manuales, que comprenda, la forma (template/s), el o los estilos de redaccin y las diferentes instancias de elaboracin y aprobacin a recorrer previo a su liberacin.
El contemplar los estilos de redaccin permite que, an cuando los autores de los manuales sean distintos,
ellos mantengan un estilo nico, propio del Centro de Respuesta.
En las diferentes instancias de la elaboracin de un manual pueden participar el Director Ope-racional, integrantes destinados a gestin de incidentes, el Responsable de Documentacin, el Responsable de Capacitacin
y Entrenamiento, el Responsable de Difusin y el Responsable de Difusin, segn establezca el Procedimiento
de Generacin de Manuales a elaborar.
137
Incluso los manuales y tutoriales elaborados podrn vincularse con actividades de capacitacin y entrenamiento del Centro de Respuesta.
Es totalmente vlido que la elaboracin de un manual implique el uso de informacin disponible en algn
medio, como ser libros, artculos, sitios de Internet. En todos los casos su uso deber ser respetando las condiciones de uso explicitadas en ellos.
3.1.4.5 Criterios
de elaboracin de Procedimientos
La elaboracin de procedimientos debera requerir la existencia de una poltica al respecto.
Toda aquella actividad que se realiza siguiendo determinada secuencia de acciones, utilizando determinadas
herramientas (hardware o software) y alineada a una poltica implcita o explcita debera plasmarse en un
procediemiento.
La tarea de elaborar un procedimiento, por s misma, permitir analizar con espritu crtico que tan completo y
adecuado era el procedimiento ad-hoc que se segua hasta el momento, lo que sin duda permitir documentar
un procedimiento notoriamente mejor.
Para elaborar un procedimiento, en primer lugar se debe tener claramente identicada la nece-sidad del
mismo. Luego se debe conocer si al respecto ya se sigue un procedimiento no escrito y de ser as, conocerlo en
detalle. Luego se podr comenzar, con una metodologa top-down, a identicar las diferentes actividades y
resultados que lo compondrn. La metodologa permite, yendo de lo general a lo particular, identicar primero
los aspectos medulares y luego, se podr ir desglosando y detallando cada uno de ellos.
Para actualizar un procedimiento, los integrantes del Centro de Respuesta vinculados con lo que se procedimenta en l y quien detect la posible necesidad de su actualizacin deben re-unirse junto con una copia
actual del mismo a los efectos de interactuar al respecto de la nece-sidad o no de su modicacin. Si no se
logra concenso, decidir la opinin del Director Opera-cional y si persiste, la opinin del Director Ejecutivo.
Es necesario llevar un registro de versionado de toda la documentacin en uso en el Centro de Respuesta, y en
el caso que nos compete aqu, tambin de los procedimientos.
Un procedimiento terminado es correcto s al ser ledo por primera vez por una persona idnea en la materia a
la cual reere no tiene inconvenientes para comprenderlo y ponerlo en prctica.
El lenguaje utilizado en el mismo debe ser el adecuado para que se comprenda sin ambigda-des lo que se
expresa. No deben existir huecos en un procedimiento, es decir, falta de pasos o incertidumbres en las
acciones a tomar o a los resultados a obtener y cmo proseguir.
3.1.4.6 Difusin de Manuales

Respecto a los manuales, podemos encontrar dos grandes familias cuando hablamos de la di-fusin de los
mismos. Por un lado aquellos que son de uso interno del Centro de Respuesta, por ejemplo por tratarse de una
investigacin cuyo tema y/o informacin asociada no es clasi-cada como pblica y por otro, aquellos que s
pueden ser difundidos fuera del Centro de Res-puesta, quizs con diferentes sabores segn a quienes se les
permite acceder y en qu condi-ciones.
El pasaje de un manual de uso interno (proceso de desclasicacin) debera requerir un pro-cedimiento
asociado.
138
3.1.4.7 Difusin de Procedimientos

En general, los procedimientos elaborados en un Centro de Respuesta son de uso interno y no existe necesidad
e incluso autorizacin para que salgan de ese mbito. Un ejemplo tpico de procedimiento que debera ser
pblico es aquel asociado a cmo contactar al Centro de Res-puesta para, por ejemplo, reportar un evento o
Debe estar claramente especicado dnde se encuentran disponibles y cuales son todos los existentes.
139
3.1.5 Diseo de un Flujograma del Proceso de Gestin de Incidentes, end to end

3.1.5.1 El Ciclo de Vida de un Incidente de Seguridad
Fase Pre-incidentes
Determinacin
(no hay incidente reportado)
centro de
respuesta
preparado
Informacin de contacto.
Mecanismo de reporte
de eventoso incidentes.
Celulares.
Software para servicios de
seguridad e intercambio de
informacin.
Sitio del Centro.
Estaciones de trabajo.
Laptops.
Servidores.
Equipamiento de red.
Estaciones y servidores de
laboratorio.
Dispositivos de
almacenamiento.
Impresora.
Cmara de fotos, filmadora.
Herramientoas: sniffers,
analizadores de protocolo,
anlisis forense.
Herramientas de taller.
Insumos para preservar
evidencia.
Capacitacin, formacin y
entrenamiento.
Estado del arte de la
seguridad y fuentes de
informacin a las cuales
recurrir.
Mecanismos para alertar a la
comunidad objetiva.
Software parches para mitigar.
polticas
procedimientos y
manuales
integrantes
y funciones
Fase incidente
(es un evento o un incidente

de un integrante de la CO?)
(el incidente est siendo

gestionado)
incidente
de seguridad
para
gestionar
reporte
Triage!!
Fase Post-Incidente
(el incidente ha sido cerrado)
informes
reuniones
comunidad
objetivo?
NO
SI
documentacin
interna
SI
evento o
incidentes?
NO
informacin para
toda o parte de la
comunidad
objetivo
SI
incidentes?
NO
internet
laboratorio
informacin para
otros centros de
respuesta
se registra
se notifica al
quien
report
desiciones:
polticas
procedimientos
capacitacin
manuales
tutoriales
140
3.1.5 Diseo de un Flujograma del Proceso de Gestin de Incidentes, end to end

3.1.5.1 El Ciclo de Vida de un Incidente de Seguridad
El objetivo es determinar
de una manera y con un
esfuerzo razonable, que
alguien ha reportado un
evento o incidente de
seguridad. Puede tratarse de
una denuncia annima
Varias fuentes posibles:

correo electrnico
IDS, IPS, IDPS
fax
formulario web
nota
Firewall
llamada telefnica
chat
hablado
prensa
RSS
logs
Web
Comunidad
Objetivo?
Reporte
SI
Origen verificado?
NO
NO
SI
Informacin
proporcionada
por medio
adecuado?
NO
SI
Evento o
o incidente?
NO
SI
incidentes?
SI
incidente
a
gestionar
NO
solicitar
informacin
para verificar
origen
Se obtieme en un
plazo razonable?
se entiende por plazo

razonable, una semana
SI
Si es un evento, se
registrar, principalmente
con fines estadsticos y se
le informar a quien lo
report de la decisin
tomada
Si es un incidente de
seguridad, se lo gestionar y
se le informar de ello a
quin lo report
Si no es un evento ni un
incidente, se registrar,
principalmente con fines
estadsticos y se les informar
a quien lo report de la
decisin tomada
Es importante que mas all

que el reporte llegue por un
medio informal, se de la
pueda validar
NO
SI
se entiende por plazo

razonable, una semana
Se solicita el
envio de la
informacin
por medio
adecuado
se obtiene
en un plazo razonable?
se le informa a
quien lo
report
NO
Se le
informa a
quien lo
report
se registra la
accin
DETERMINACIN
141
3.1.5.3 Gestin de Incidente de Seguridad
Se requiere informar
a la Justicia?
SI
Se elabora
documento para
Legal
Se almacena el documento elaborado
NO
NO
Proceso de
elaboracin
de Informe de
Cierre
SI
Se requiere
informacin de la
Comunidad
Objetiva?
1
Se enva
informacin
a la Justicia
Informe de cierre
incidente a
gestionar
NO
SI
Se requiere
informacin de otros
Centros?
NO
Se requiere ms
informacin de quien
lo report?
Proceso de
anlisis de la
informacin
recabada y
solicitud de ms
informacin
2
Se solicita
informacin
3
SI
Se obtiene la
informacin solicitada?
SI
Se anexa a la
informacin que ya se
dispone sobre el
incidente que se est
gestionando
Se almacena en un servidor, la informacin que se

conoce hasta ese momento
4
Proceso de
elaboracin
de Informe
Devolucin al
Cliente
Registro
Informe
Devolucin al
Cliente
Se envia
informe
Devolucin
al Cliente
Incidente
y Post-Incidente
142
3.2 Propuesta de Polticas de Manejo de la Informacin.

3.2.1 Propuesta de Poltica de Acceso a la Informacin
Esta seccin documenta una propuesta de Poltica de Acceso a la Informacin de un Centro de Respuesta a
Incidentes de Seguridad Informtica. No se pretende aqu establecer un estndar a seguir pero s establecer
aspectos fundacionales necesarios al momento de explicitar los li-neamientos fundamentales para el acceso a
la informacin en un Centro de Respuesta.
3.2.1.1 Texto de la Propuesta de Poltica de Acceso a la Informacin

3.2.1.1.1 Objetivo
Establecer qu tipo de informacin y cmo pueden acceder los integrantes del Centro de Res-puesta, los
integrantes de otros Centros de Respuesta, los integrantes de la Comunidad Objeti-vo y los actores legales que
puedan estar involucrados en la gestin de un incidente de seguri-dad u otra actividad vinculada a algn
servicio del Centro de Respuesta.
3.2.1.1.2 Alcance
Toda la informacin que disponga el Centro de Respuesta.
143
3.2.1.1.3 Contenido
Todo integrante del Centro de Respuesta tendr acceso a toda la informacin vinculada a todos los eventos e
incidentes de seguridad ya gestionados y en gestin.
El acceso a la informacin vinculada a un incidente ya cerrado ser utilizada con el nico n de mejorar la
capacitacin, formacin y entrenamiento de los integrantes del Centro de Respuesta. Tambin podr ser
utilizada para la emisin de alertas, avisos o documentos de mejores prcti-cas, preservando siempre el anonimato de las personas e instituciones involucradas en el inci-dente aso como toda la informacin particular del
mismo, que seguir siendo considerada co-mo condencial.
Toda la informacin suministrada por un integrante de la Comunidad Objetivo durante la ges-tin de un
incidente de seguridad deber se considerada como condencial y se le deber in-formar de ello apropiadamente.
Todos los integrantes del Centro de Respuesta debern tener rmada una copia impresa de un NDA (NonDisclosure Agreement) o Compromiso de Condencialidad y se deber difundir apropiadamente en la Comunidad Objetivo tal situacin.
Durante la gestin de un incidente de seguridad y cuando informacin vinculada al mismo deba ser facilitada a
otro integrante de la Comunidad Objetivo o a algn integrante de otro Centro de Respuesta, se deber hacer
de acuerdo a lo expresado en la Poltica de Difusin de la Infor-macin.
Las comunicaciones telefnicas, va chat, o simplemente habladas slo pueden ser utilizadas para coordinar
actividades, pero siempre se debe dejar documentados,y con los niveles de se-guridad adecuados
(autenticacin, integridad, condencialidad, segn corresponda), qu tipo de informacin se intercambi con
quin, cundo y por qu va.
En la gestin de ningn incidente de seguridad se podr obligar (sin acciones legales) a un in-tegrante de la
Comunidad Objetivo que facilite alguna informacin. Si el integrante del Centro de Respuesta que tiene a su
cargo la gestin del incidente entiende que la informacin que no se logra obtener resulta importante para el
xito de la gestin del mismo, deber hacrselo sa-ber al miembro de la Comunidad Objetivo, teniendo siempre presente el Cdigo de tica del Centro.
El acceso a informacin en formato impreso o entregada en mano, as como aquella que est contenida en
algn medio de almacenamiento magntico o digital, deber ser siempre posterior a la rma por ambas partes
(quien la entrega y quien la recibe) de un documento (y su copia) que describa claramente y sin dejar lugar a
ambigedades o dudas, qu es lo que se est en-tregando/recibiendo, la fecha y hora de ocurrencia, con la
presencia del Responsable Legal del Centro a los efectos de validar el acto y mediante el registro en imgenes
y/o video de todo el proceso.
No podrn existir solicitudes de acceso a informacin en poder del Centro de Respuesta que no sean respondidas armativa o negativamente y el motivo de esto ltimo.
144
3.2.2 Propuesta de Poltica de Proteccin de la Informacin

Esta seccin documenta una propuesta de Poltica de Proteccin de la Informacin de un Cen-tro de Respuesta
a Incidentes de Seguridad Informtica. No se pretende aqu establecer un estndar a seguir pero s establecer
aspectos fundacionales que se deben considerar al mo-mento de establecer lineamientos fundamentales para
la proteccin de la informacin en un Centro de Respuesta.
3.2.2.1 Objetivo
Establecer los lineamientos generales para la proteccin de toda la informacin utilizada por el Centro de
Respuesta para su actividad cotidiana.
3.2.2.2 Alcance
Toda la informacin de que dispone el Centro de Respuesta.
3.2.2.3 Contenido
Discriminaremos en funcin de la clasicacin documentada en la Poltica de Clasicacin de la Informacin,
que establece cuatro categoras: secreta, condencial, uso interno y pblica.
Toda informacin, en cualquier medio, deber explicitar de manera clara y sin lugar a dudas cmo est clasicada.
- Informacin secreta
Cuando se trata de informacin en formato lgico, deber almacenarse asegurando la condencialidad con
largo mnimo de clave de 1024 bits e integridad con funcin de hash SHA-1.
Cuando se trata de informacin en formato fsico, deber almacenarse en sobre cerrado y en una caja fuerte
ubicada dentro del sitio del Centro.
145
En la gestin de ningn incidente de seguridad se podr obligar (sin acciones legales) a un in-tegrante de la
Comunidad Objetivo que facilite alguna informacin. Si el integrante del Centro de Respuesta que tiene a su
cargo la gestin del incidente entiende que la informacin que no se logra obtener resulta importante para el
xito de la gestin del mismo, deber hacrselo sa-ber al miembro de la Comunidad Objetivo, teniendo siempre presente el Cdigo de tica del Centro.
El acceso a informacin en formato impreso o entregada en mano, as como aquella que est contenida en
algn medio de almacenamiento magntico o digital, deber ser siempre posterior a la rma por ambas partes
(quien la entrega y quien la recibe) de un documento (y su copia) que describa claramente y sin dejar lugar a
ambigedades o dudas, qu es lo que se est en-tregando/recibiendo, la fecha y hora de ocurrencia, con la
presencia del Responsable Legal del Centro a los efectos de validar el acto y mediante el registro en imgenes
y/o video de todo el proceso.
No podrn existir solicitudes de acceso a informacin en poder del Centro de Respuesta que no sean respondidas armativa o negativamente y el motivo de esto ltimo.
3.2.2 Propuesta de Poltica de Proteccin de la Informacin

Esta seccin documenta una propuesta de Poltica de Proteccin de la Informacin de un Cen-tro de Respuesta
a Incidentes de Seguridad Informtica. No se pretende aqu establecer un estndar a seguir pero s establecer
aspectos fundacionales que se deben considerar al mo-mento de establecer lineamientos fundamentales para
la proteccin de la informacin en un Centro de Respuesta.
3.2.2.1 Objetivo
Establecer los lineamientos generales para la proteccin de toda la informacin utilizada por el Centro de
Respuesta para su actividad cotidiana.
3.2.2.2 Alcance
Toda la informacin de que dispone el Centro de Respuesta.
3.2.2.3 Contenido
Discriminaremos en funcin de la clasicacin documentada en la Poltica de Clasicacin de la Informacin,
que establece cuatro categoras: secreta, condencial, uso interno y pblica.
Toda informacin, en cualquier medio, deber explicitar de manera clara y sin lugar a dudas cmo est clasicada.
- Informacin secreta
146
Deber existir control de acceso a la misma.

El acceso a la misma en forma remota deber ser asegurando la condencialidad y la integridad, utilizando
algunos de los siguientes protocolos: https, sftp o ssh.
De requerirse, la transmisin de informacin secreta ser cifrada con clave pblica de largo mnimo de 1024
bits.
No podr almacenarse en estaciones de trabajo, servidores, notebooks o dispositivos de almacenamiento
porttiles que no estn almacenados en una caja fuerte ubicada dentro del sitio del Centro.
No debe ser comentada con ninguna persona ajena al Centro de Respuesta.
- Informacin condencial
No debe existir ninguna fuente de informacin de la existencia de la misma, que tenga un nivel proteccin
menor a la de la informacin que referencia.
El acceso a la misma en forma remota deber ser asegurando la condencialidad y la integridad utilizando
algunos de los siguientes protocolos: https, sftp o ssh.
De requerirse, la transmisin de informacin secreta ser cifrada con clave pblica de largo mnimo de 1024
bits.
Podr almacenarse en estaciones de trabajo, servidores, notebooks o dispositivos de almacenamiento
porttiles, asegurando condencialidad con clave de largo mnimo de 1024 bits.
No podr almacenarse en sistemas remotos propietarios de los integrantes del Centro.
- Informacin de Uso interno
Cuando se trata de informacin en formato lgico, el nombre del mismo, el valor de la ltima versin, la fecha
de creacin, la fecha de hecho pblico y el valor del hash se de-ber almacenar en un dispositivo de almacenamiento en una caja fuerte instalada den-tro del sitio del Centro.
Cuando se trata de informacin en formato fsico, la misma no podr salir del sitio del Centro de Respuesta.
La informacin de uso interno no debe ser difundida fuera del mbito del Centro de Respuesta.
El acceso a la misma en forma remota deber ser asegurando la condencialidad y la integridad.
147
No debe existir ninguna fuente de informacin de la existencia de la misma, que tenga un nivel proteccin
menor a la de la informacin que referencia.
En sistemas remotos propietarios de los integrantes del Centro slo podr ser almace-nada cifrada con clave
de largo mnimo de 1024 bits.
- Informacin pblica
Cuando se trata de informacin en formato lgico, el nombre del mismo, el valor de la ltima versin, la fecha
de creacin, la fecha de hecho pblico y el valor del hash se de-ber almacenar en un dispositivo de almacenamiento en una caja fuerte instalada den-tro del sitio del Centro.
Cuando se trata de informacin en formato fsico, para que sea considerada vlida y au-tntica, siempre debe
existir la misma informacin en formato lgico segn lo expresado en el prrafo anterior.
3.2.3 Propuesta de Poltica de Difusin de la Informacin

Esta seccin documenta una propuesta de Poltica de Difusin de la Informacin de un Centro de Respuesta a
Incidentes de Seguridad Informtica. No se pretende aqu establecer un estn-dar a seguir pero s establecer
aspectos fundacionales que se deben considerar al momento de establecer lineamientos fundamentales para
la difusin de la informacin en un Centro de Respuesta.
El Centro de Respuesta gestiona en su actividad diaria un importante volumen de informacin en diferentes
formatos, que puede o no provenir de diversas fuentes, que puede o no ser remi-tida a diversos destinos y que
puede ser o no slo de uso interno, en todas las combinaciones posibles y utilizando mtodos de difusin y
mecanismos de proteccin variados.
3.2.3.1 Texto de la Propuesta de Poltica de Difusin de la Informacin

3.2.3.1.1 Objetivo
Determinar, para toda la informacin que gestiona el Centro de Respuesta, a quienes se puede difundir,
utilizando qu mtodos y con qu mecanismos de proteccin.
3.2.3.1.2 Alcance
Aplica a toda la informacin que gestione el Centro de Respuesta. En este contexto gestionar informacin
implica alguna de las siguientes acciones con la informacin: recibir, procesar, al-macenar, destruir, generar y
enviar.
3.2.3.1.3 Contenido
148
- Informacin recibida
Toda la Informacin recibida en el Centro de Respuesta deber preservar la clasica-cin otorgada por quin la
gener. Una disminucin del nivel de clasicacin deber re-querir que previamente quien la haya generado
otorgue por escrito el consentimiento correspondiente.
Toda la informacin asociada a la gestin de un incidente de seguridad o a un evento ser clasicada como
condencial.
- Informacin procesada
Toda informacin procesada en el Centro de Respuesta deber ser clasicada de acuerdo a lo expresado en la
Poltica de Clasicacin de la Informacin.
Toda la informacin procesada en el Centro de Respuesta deber preservar la clasica-cin otorgada por quin
la gener y respetar las condiciones de difusin por l expresa-das. El cambio de algunas de estas condiciones
deber requerir que a priori se obtenga un consentimiento por escrito que lo autorice.
- Informacin almacenada
Ver Poltica de Almacenamiento de la Informacin.
- Informacin destruida
Ver Poltica de Destruccin de la Informacin.
- Informacin generada
Toda la informacin generada en el Centro deber tener explicitada su clasicacin en base a la Poltica de
Clasicacin de la Informacin.
- Informacin enviada
Si se trata de informacin generada en el Centro, se deber difundir explicitando la cla-sicacin de la misma.
Quien enva la informacin, siempre debe vericar que el destinatario es quien se desea y que es correcto que
sea recibida por l.
Si se trata de difusin de informacin generada por personas o sistemas externos al Centro de Respuesta y se
requiere por parte del destinatario de la misma conocer su origen, previo a in-formarlo se debe contar con el
visto bueno por escrito de tal autorizacin.
Si la difusin se hace en formato electrnico, a travs de redes como ser Internet y es informa-cin clasicada
como condencial o secreta, se deber hacer utilizando mecanismos que otorguen servicios de condencialidad e integridad.
Si la difusin se hace en formato electrnico, mediante la entrega de algn dispositivo de alma-cenamiento
(disco duro, pendrive, CD, DVD, u otro) y es informacin clasicada como con-dencial o secreta, se deber
hacer utilizando mecanismos que otorguen servicios de integridad y de condencialidad.
149
Si la difusin se hace en papel y es informacin clasicada como condencial o secreta, se deber hacer de
forma tal que el contenedor de dicha informacin (por ejemplo: sobre, bibliora-to, carpeta) ofrezca los mecanismos para detectar una eventual violacin (lacrados, cierres de una uso solamente) y que por lo tanto la tanto
la integridad como la condencialidad podran estar amenazadas.
Si la informacin que se difunde es para el uso en una investigacin judicial (previa recepcin de un Ocio
Judicial), se le debe dar el tratamiento explicitado para la informacin clasicada como condencial o
secreta y adems, se debe anunciar previamente al Responsable Legal del Centro y al Director Ejecutivo del
Centro quienes debern otorgar su consentimiento para realizarlo. En el caso de ser informacin en formato
electrnico y mediante la entrega de algn dispositivo de almacenamiento el proceso de entrega se deber
realizar en presencia del Res-ponsable Legal del Centro quin deber labrar un acta que documente todo lo
realizado. Se debe apoyar la actuacin mediante el registro fotogrco y/o flmico de todas las acciones involucradas a la entrega del dispositivo.
Si se trata de informacin ni condencial ni secreta, se puede difundir por medios que no aseguren condencialidad e integridad aunque, para una gestin ordenada, siempre se debe vericar que la misma ha
llegado en tiempo y forma al destinatario deseado.
La entrega de informacin a la prensa deber, previamente, requerir una solicitud por escrito donde se detalle
claramente la informacin solicitada. Dicha solicitud as como el anlisis de la informacin que se brindar (si
corresponde) ser analizada por el Director Ejecutivo del Cen-tro, el Gerente Operacional, el Responsable de
Difusin y el Responsable Legal. La informa-cin a brindar a la prensa podr ser generada, procesada o
recibida, debiendo cumplir los requisitos anteriormente expresados en cada caso, y se debe registrar toda la
actividad.
3.2.4 Propuesta de Poltica de Guarda de la Informacin

Esta seccin documenta una propuesta de Poltica de Guarda de la Informacin de un Centro de Respuesta a
Incidentes de Seguridad Informtica. No se pretende aqu establecer un estn-dar a seguir pero s establecer
aspectos fundacionales que se deben considerar al momento de establecer lineamientos fundamentales para
el almacenamiento de la informacin en un Centro de Respuesta.
3.2.4.1 Texto de la Propuesta de Poltica de Guarda de la Informacin

3.2.4.1.1 Objetivo
Establecer, para toda la informacin que se almacena el Centro de Respuesta, qu tipos de proteccin y control
se deben implementar.
3.2.4.1.2 Alcance
Comprende a toda la informacin almacenada en el Centro de Respuesta.
3.2.4.1.3 Contenido
Respaldos de la informacin
171
150
Se deben realizar respaldos (back-ups) de toda la informacin almacenada en formato electr-nico de acuerdo
a lo expresado en el Procedimiento de Respaldo de la Informacin. Los res-paldos deben ser vericados
peridicamente siguiendo el Procedimiento de vericacin de Respaldos de la Informacin.
Los integrantes del Centro de Respuesta debern identicar qu informacin y sistemas son crticos y determinar qu tipo de sitio de respaldo requiere el Centro. Todo ello deber ser do-cumentado.
Se entiende por informacin crtica aquella que en caso de verse comprometida en cuanto a alguna de sus
propiedades de seguridad, afectara seriamente al dueo de la misma, pudiendo ser el Centro de Respuesta,
alguna organizacin de la Comunidad Objetivo u Otros Centros de Respuesta.
Se entiende por sistema crtico aquel que en caso de verse comprometido en cuanto a alguna de sus propiedades de seguridad, afectara seriamente la operacin del Centro de Respuesta y por ende, a la Comunidad
Objetivo. El respaldo de la informacin y sistemas crticos deber realizarse de acuerdo a lo expresado en las
secciones Informacin Crtica y Sistemas Crti-cos del Procedimiento de Respaldo de la Informacin y
Sistemas Crticos. La informacin debe ser almacenada de forma tal que el medio de almacenamiento preserve
o eleve la clasicacin de la misma.
En el caso de informacin disponible en papel o en alguna unidad de almacenamiento (disco duro, pendrive,
CD, DVD, u otro) clasicada como condencial o secreta, es conveniente que la misma se almacene en una
caja fuerte propiedad del Centro, ubicada en su sitio fsico y cuya combinacin de apertura no est documentada prxima a la misma ni en un lugar fcil-mente deducible.
La informacin secreta o condencial almacenada en servidores y estaciones de trabajo del Centro de
Respuesta debe estar almacenada cifrada utilizando algn algoritmo de razonable conanza.
Dos hashes (realizados con funciones distintas) de cada documento utilizado para la gestin del Centro de
Respuesta debern ser guardados en un dispositivo de almacenamiento de uso exclusivo colocado dentro de
una caja fuerte propiedad del Centro y ubicada en su sitio fsico.
Las notebooks del Centro de Respuesta debern tener todos sus dispositivos de almacena-miento con todo su
contenido cifrado con algn algoritmo de razonable conanza.
Los servidores del Centro de Respuesta debern implementar un sistema de almacenamiento con redundancia
e integridad de los datos almacenados.
Toda la informacin vinculada a cada incidente gestionado en el Centro de Respuesta deber ser retenida, al
menos tres aos a partir de la apertura del mismo.
151
CAPTULO 4
152
Informacin del Captulo 4.1

NOMBRE DOCUMENTO: Polticas de Gestin de Riesgos en un Centro de Respuesta.
FECHA DE CREACIN: Argentina, Octubre de 2009.
AUTOR: Ing. Lorena Ferreyro.
Resumen.
En estos ltimos aos, se ha evidenciado una tendencia en las mejores prcticas de seguridad de la informacin, a darle un mucho mayor nfasis a la importancia de la gestin de riesgos como pilar para facilitar,
ordenar y mejorar la gestin de la seguri-dad.
Quizs el ejemplo ms representativo de ello sea la evolucin de las normas ISO 17799:1 e ISO 17799:2 a las
normas ISO 27001 y 27002 entre los aos 2005 y 2007. Si bien las normas ISO 17799 eran normas de seguridad
de la informacin, no aborda-ban la temtica de la gestin de riesgos. En cambio, la ISO 27001 remarca la
necesi-dad de comenzar la gestin de la seguridad con una adecuada gestin de los riesgos de seguridad
existentes en toda organizacin.
Este es el motivo por el cual resulta necesario que los CERTs, como toda organizacin, gestione sus riesgos en
materia de seguridad de la informacin. Es por ello que el pre-sente material se enfoca a presentar la problemtica y proponer una metodologa para la gestin de los riesgos en los CERTs.
174
153
Objetivos
- Crear conciencia de los riesgos a los que se enfrentan los CERTs en materia de seguridad de la informacin.
- Transmitir la importancia de la gestin de riesgos para la gestin de la segu-ridad de la informacin.
- Introducir al proceso de gestin de riesgos de seguridad.
4.1.1 Introduccin
Hoy en da se puede decir que la informacin conduce el mundo. Todas las organizaciones ne-cesitan informacin para funcionar, para prestar sus servicios, para generar benecios, para progresar, etc. Es por ello que
se entiende que la informacin se ha convertido en un ACTIVO ms de las organizaciones. As como existen
otros activos, como ser los inmuebles, las maqui-narias, el mobiliario, etc., la informacin debe entenderse
tambin como un activo. Y es ms, la informacin es uno de los activos ms valiosos de las organizaciones.
Debido a la importancia y el valor que tiene la informacin para las organizaciones, es que se ha convertido en
uno de los blancos ms elegidos a la hora de los ataques. Ya sea una organi-zacin o un individuo mal intencionado, puede querer hacerse de informacin til de terceros que les pueda generar algn benecio. As es
como hoy sufrimos ataques como el espionaje industrial, el robo de informacin, el robo de identidad, etc.
Pero la informacin no slo es vulnerable a ser divulgada, sino que tambin puede sufrir modi-caciones
indebidas, ocasionando que sta deje de ser conable e ntegra. Y por ltimo, tam-bin es posible que la
informacin sufra ataques a su disponibilidad. Como se dijo, la informa-cin es un activo de mucho valor, pero
si no se encuentra disponible en tiempo y forma para quienes la necesitan, es como si no se contara con ella. A
veces, la falta de disponibilidad de la informacin puede causar grandes perjuicios a una organizacin (ej.: la
cada de su sitio web). Esto es aprovechado en ocasiones por personas mal intencionadas que ocasionan
denegacio-nes de servicio a la informacin de una organizacin con el objeto de causarle algn dao.
En denitiva lo que se ha mencionado hasta ahora no es ni ms ni menos que las tres cualida-des esenciales
que deben ser preservadas de la informacin:
- CONFIDENCIALIDAD: garantizar que la informacin sea accedida slo por personas autorizadas
- INTEGRIDAD: garantizar que la informacin sea modicada slo por personas autori-zadas y de la forma
autorizada
- DISPONIBILIDAD: garantizar que la informacin se encuentre disponible en tiempo y forma para quienes la
requieran (y se encuentren autorizados)
154
Cualquiera de estos principios puede ser vulnerado, ya sea por un ataque deliberado, como por un evento
accidental. Ej.: la conguracin insegura de una aplicacin puede permitir la divulga-cin de informacin
procesada por la misma, la corrupcin accidental de una base de datos puede ocasionar la prdida de la
integridad de la informacin almacenada, la falla en un com-ponente de hardware puede ocasionar la falta de
disponibilidad de la informacin gestionada por dicho equipo.
4.1.1.1 Posibles prdidas

Cuando se habla de incidentes de seguridad que pueden ocurrir, la primera pregunta que surge es cules son
las posibles prdidas? Todo incidente de seguridad, ya sea intencional u oca-sional trae aparejado una prdida
que puede variar en magnitud. Si bien los CERTs son equi-pos de respuesta a incidentes de seguridad que se
producen en su rea de cobertura, ellos mismos no estn exentos de padecer incidentes de seguridad en su
propia estructura.
Las prdidas asociadas a un incidente de seguridad pueden estar asociadas a activos tangibles o intangibles,
esto es:
- Prdida de imagen: podra darse por ejemplo si un CERT es vctima de un Deface-ment, es decir, la modicacin arbitraria del contenido de su sitio web.
- Prdida de conabilidad: podra darse si la base de datos de un CERT, donde se al-macena informacin de las
organizaciones a las que presta servicio se corrompe. Esto podra dicultar la gestin de incidentes que fuesen
reportados posteriormente, lo cual afectara la conabilidad de las organizaciones hacia el CERT.
- Prdida de econmica: un caso de robo de equipamiento, en donde un tercero consi-gue hacerse de componentes del CERT implicara una prdida de dinero (adems de la prdida y divulgacin de informacin del CERT,
lo cual causara tambin otro tipo de prdidas).
- Incumplimiento legal: si un tercero mal intencionado lograra acceder a las bases de datos de un CERT, donde
se almacenan datos de incidentes reportados por las organi-zaciones, y divulgara dicha informacin, se estara
violando la Ley de Proteccin de Da-tos Personales. Esto adems estara acarreando prdidas econmicas,
debido a las multas severas previstas en la ley y prdida de conabilidad de las organizaciones.
4.1.1.2 Conceptos iniciales

Antes de ingresar en la temtica de la gestin de riesgos, es preciso denir algunos conceptos que sern
utilizados con frecuencia a lo largo de este curso, ya que representan la base de la gestin de riesgos.
4.1.1.2.1 Activo de informacin

Se conoce como Activo de una organizacin a todo bien tangible o intangible que sta posee que puede
producir un benecio. Los Activos de Informacin son aquellos activos de una orga-nizacin que representan,
contienen, almacenan o transmiten informacin. Los activos de in-formacin se agrupan en diferentes tipos
que se relacionan entre s. Si bien no existe una clasi-cacin taxativa de activos, es posible identicar los
siguientes:
155
- Funciones de la organizacin
- Informacin
- Sistemas
- Equipamiento
- Instalaciones
- RRHH
4.1.1.2.2 Amenaza
Evento cuya ocurrencia podra impactar en forma negativa en la organizacin.
Las amenazas explotan
(toman ventaja de) las vulnerabilidades. No existe una nica clasicacin de las ame-nazas, lo importante es
considerarlas todas a la hora de su identicacin. A continuacin se presenta una posible clasicacin:
- Eventos naturales: huracanes, terremotos, tormentas de nieve, erupciones volcnicas, inundaciones, etc.
- Eventos terroristas, sabotajes o actos de guerra: bombas, secuestros, ataques qumi-cos, etc.
- Accidentes: explosiones, incendios, cortes de energa u otros suministros, rotura de tu-beras, desastres
nucleares, choques de vehculos, etc.
- Otros eventos: errores en dispositivos, prdida de comunicacin, errores en los siste-mas, errores humanos,
vandalismo, etc.
4.1.1.2.3 Vulnerabilidad
Ausencia o debilidad de un control. Condicin que podra permitir que una amenaza se materia-lice con mayor
frecuencia, mayor impacto o ambas. Una vulnerabilidad puede ser la ausencia o debilidad en los controles
administrativos, tcnicos y/o fsicos.
Ej.: Un centro de cmputos que carece de un sistema de deteccin de incendios (ausencia de un control). Un
procedimiento de backup de datos que se encuentra desactualizado (control dbil).
4.1.1.2.4 Exposicin
Instancia en la cual la informacin o un activo de informacin es susceptible a daarse o per-derse por el
accionar de una amenaza. La exposicin, no signica que el evento que produce la prdida o dao del recurso
est ocurriendo, solo signica que podra ocurrir dado que existe una amenaza y una vulnerabilidad que sta
podra explotar.
Ej.: Los servidores de un centro de cmputos que no cuenta con UPS se encuentran expuestos a un corte de
energa.
156
4.1.1.2.5 Probabilidad de ocurrencia

Frecuencia con la cual una amenaza puede ocurrir.
Ej.: Se determina que en cierta zona ssmica puede ocurrir un terremoto cada 2 aos.
4.1.1.2.6 Impacto
Consecuencias que produce un incidente de seguridad sobre la organizacin.
Ej.: Un defacement en el sitio web de una organizacin podra ocasionar una prdida de ima-gen a la misma.
4.1.1.2.7 Riesgo
Probabilidad de que una amenaza explote una vulnerabilidad, en combinacin con el impacto que esto
ocasiona. Se conoce por riesgo como la funcin que combina la probabilidad de ocu-rrencia y el impacto de un
4.1.1.2.8 Incidente de seguridad

Un incidente de seguridad es un evento adverso (evento con consecuencias negativas), que puede comprometer o compromete la condencialidad, integridad o disponibilidad de la infor-macin.
Un incidente de seguridad se produce cuando una amenaza explota una vulnerabilidad.
Ej.: Un intruso irrumpe en un sistema de informacin, una inundacin daa los expedientes al-macenados en
el archivo, un usuario ingresa a un sistema con la identidad de otro y efecta una transaccin que l no tiene
permiso para realizar.
4.1.1.2.9 Control Contramedida - Salvaguarda

Cualquier tipo de medida, que permita detectar, prevenir o minimizar el riesgo asociado con la ocurrencia de
una amenaza especca. Para disminuir el nivel de un riesgo es necesario dismi-nuir uno o los dos valores que
intervienen en su frmula, esto es, impacto o probabilidad de ocurrencia
Ej.: sistema biomtrico de control de acceso al centro de cmputos, hardening de un servidor, procedimiento
de ABM de usuarios.
4.1.1.3 Relacin entre conceptos

Los activos pueden presentar vulnerabilidades y encontrarse expuestos a amenazas.
Las amenazas explotan vulnerabilidades, ocasionando incidentes de seguridad.
Probabilidad de ocurrencia y el impacto de un incidente de seguridad determinan un ries-go.
Los riesgos pueden ser mitigados mediante la implementacin de controles.
157
4.1.2 Proceso de gestin de riesgos

4.1.2.1 Poltica de gestin de riesgos
Al comenzar un proceso de gestin de riesgos es altamente recomendable denir una poltica. Una poltica es
uno de los documentos que forman parte del esquema normativo de toda orga-nizacin. Se trata de un documento global, que debe establecer pautas generales para denir la actividad en cuestin, en este caso, la
gestin de riesgos.
A continuacin se detallan algunas caractersticas clave que debe cumplir una poltica de ges-tin de riesgos:
- Alinearse a cualquier poltica existente en el CERT. No debe contradecirse con ninguna otra poltica existente.
- Ser aprobada por la autoridad, debido a su alcance estratgico.
- Contemplar como mnimo el siguiente contenido:
- Objetivos de la gestin de riesgos
- Denicin de niveles aceptables de riesgo
- Metodologas a adoptar
- Denicin de roles y responsabilidades
4.1.2.2 La gestin de riesgos

La gestin de riesgos es un proceso continuo y cclico. No sirve de mucho realizar un anlisis de riegos una vez
y luego no revisarlo nunca ms, ya que todo en las organizaciones es dinmico. Cualquier cambio organizacional, ya sea de tecnologa, de recursos humanos, de estructura, etc., ocasiona modicaciones en el mapa de
riesgos de la misma. Es por ello que se apunta a la gestin de riesgos como proceso continuo. La gestin de
riesgos incluye el anlisis de riesgos, pero ste es slo una etapa del ciclo mayor.
La gestin de riesgos se compone de dos fases:
A.Evaluacin de riesgos
A su vez, la evaluacin de riesgos comprende las siguientes tareas:
1. Identicacin de riesgos
2. Anlisis de riesgos
B. Tratamiento de riesgos
A su vez, el tratamiento de riesgos comprende las siguientes tareas:
1. Seleccin e implantacin de tcnica de tratamiento
2. Seguimiento y medicin de resultados
La gestin de riesgos es un proceso cclico que comienza en algn momento pero nunca naliza, sino que sigue
iterando y repitiendo paso a paso, con el objeto de mejorarse progresivamente. Por ello es necesario controlar
la ecacia de todos los pasos del proceso de gestin de riesgos para lograr la mejora continua.
Una organizacin se encuentra siempre sometida a cambios. Los cambios pueden ser de diferentes tipos, por
ejemplo:
158
- cambios externos: como ser variaciones en las amenazas a los activos de informacin.
- cambios internos: como ser cambios en su estructura, sus funciones, cambios tecnolgicos, etc.
Todo cambio debe ser analizado para evaluar cmo afecta al mapa de riesgos existente. Esto se debe a que un
cambio puede modicar los niveles de riesgo existentes, generar nuevos riesgos o eliminar otros existentes.
Esto se debe a la posible variacin de cualquier componente de riesgo: amenaza, vulnerabilidad, probabilidad
de ocurrencia e impacto.
En esto consiste la retroalimentacin del ciclo, ya que cualquier cambio organizacional ocasionar una nueva
evaluacin de los riesgos y una revisin de las medidas de tratamiento. Asimismo, deben programarse
revisiones peridicas, independientemente a los cambios que se produzcan.
4.1.2.2.1 Evaluacin de riesgos

La evaluacin de riesgos es la primera de las dos fases que componen el proceso de gestin de riesgos de
seguridad. Su objetivo es tomar conocimiento de los riesgos a los que se expone la organizacin, en materia de
seguridad de la informacin.
La evaluacin de riesgos se compone de dos tareas claramente diferenciadas, las cuales se detallan a continuacin.
4.1.2.2.1.1 Identicacin de riesgos

Para poder analizar los riesgos, primero stos deben ser identicados. Esto consiste en conocer todos los
componentes que combinados generan los riesgos.
Identicacin de Activos
El primer componente que debe identicarse son los activos de informacin de la organizacin. Los activos
pueden agruparse en dos grandes conjuntos: tangibles e intangibles. A continuacin vemos los ejemplos ms
comunes de activos:
Tangibles
- Funciones de la organizacin: procesos que se llevan a cabo en la organiza-cin para cumplir con sus
objetivos. Ej.: compras, liquidacin de haberes, gestin con-table, etc.
- Informacin: toda la informacin de la organizacin, en cualquier medio de almacenamiento como
papel, CDs., bases de datos, archivos, etc. Ej.: informacin contable, informacin estratgica, informacin
operativa, etc.
- Sistemas: todo el software existente en la organizacin para soportar el desarrollo de sus funciones.
Ej.: sistemas de gestin, aplicativos, motores de base de datos, sistemas operativos, etc.
- Equipamiento: todos los componentes tecnolgicos que dan soporte al desa-rrollo de las funciones de
la organizacin. Ej.: servidores, PCs, routers, switches, etc.
- Instalaciones: Edicaciones donde se ubica la organizacin, incluyendo el equipamiento no
tecnolgico que permite el funcionamiento de la organizacin. Ej.: instalacin de refrigeracin, sistemas contra
incendios, muebles, etc.
- RRHH: miembros de la organizacin.
159
- Intangibles
- Privacidad
- Seguridad y Salud de los empleados
- Imagen y Reputacin
- Continuidad de las actividades
- Moral del empleado
- Identificacin de dependencias entre activos
Los activos identificados en el inventario no son componentes aislados, sino que deben verse como parte de
una red en la cual existen dependencias entre dichos activos. Por ello aparece como importante el concepto
de dependencias entre activos o la medida en que un activo superior se vera afectado por un incidente de
seguridad en un activo inferior.
Se dice que un activo superior depende de otro activo inferior cuando las necesidades de seguridad del
superior se reflejan en las necesidades de seguridad del inferior. O, dicho en otras palabras, cuando la materializacin de una amenaza en el activo inferior tiene co-mo consecuencia un perjuicio sobre el activo superior.
Informalmente puede interpretarse que los activos inferiores son los pilares en los que se apoya la seguridad
de los activos superiores.
- Valoracin de activos
Luego de confeccionar el inventario de activos, es preciso evaluar el valor que cada uno de ellos representa
para la organizacin. Esto se debe a que no todos los activos representan el mismo valor, y esto debe ser
conocido para el momento de realizar el anlisis costo-beneficio de implementar controles sobre dichos
activos.
El valor de un activo depende de muchos factores que deben tenerse en cuenta. Algunos de ellos pueden
expresarse en forma cuantitativa, y otros en forma cualitativa. A continuacin se lista una especie de checklist
de aspectos a considerar para determinar el valor de un activo, tambin denominados elementos de valoracin. Debe tenerse en cuenta que estos puntos no aplicarn a todos los activos, ya que depende del tipo de
activo que se trate:
- Costo de reposicin: adquisicin e instalacin
- Costo de mano de obra (especializada) invertida en recuperar (el valor) del activo
- Lucro cesante: prdida de ingresos
- Dao a la organizacin por prdida de confidencialidad
- Dao a la organizacin por prdida de integridad
- Dao a la organizacin por prdida de disponibilidad
- Capacidad de operar: confianza de los usuarios y proveedores que se traduce en una prdida de actividad o
en peores condiciones econmicas
- Sanciones por incumplimiento de la ley u obligaciones contractuales
- Dao a otros activos, propios o ajenos
- Dao a personas
- Daos medioambientales
El valor puede ser propio del activo, o puede ser acumulado. Se dice que los activos inferiores en un esquema
de dependencias, acumulan el valor de los activos que se apoyan en ellos.
160
Muchas veces se decide valorar slo el nivel de Informacin (datos), y obtener el valor de los activos de los
niveles restantes mediante acumulacin.
- Identificacin de Amenazas y vulnerabilidades
Los activos identificados pueden presentar vulnerabilidades y estar expuestos a amenazas. Ambas situaciones
deben ser identificadas en esta parte del proceso ya que son la base para la evaluacin de riesgos.
Como primera medida deben evaluarse las amenazas que pueden afectar a cada uno de los activos identificados. No todas las amenazas afectan a todos los activos, es ms, en general para cada tipo de activo existe un
conjunto de amenazas relacionadas. Existen catlogos de amenazas por tipo de activo que resultan de gran
utilidad a la hora de identificar las amenazas. A continuacin se citan algunos ejemplos de amenazas por tipo
de activo.
Activo
Amenaza
Entorno
Desastres naturales
Incendio
Equipamiento
Desastres naturales
Incendio
Fallas de hardware
Fallas de administracin
Robo
Sistemas
Cdigo malicioso
Fallas de administracin
Intrusin
Informacin
Robo
Alteracin
Divulgacin
Destruccin
Funciones de la organizacin
Interrupcin
RRHH
Desastres naturales
Incendio
Enfermedades
Huelgas
Ingeniera social
- Identificacin de controles
Se debe tener en cuenta que, para que las amenazas se materialicen sobre los activos, stos deben presentar
alguna vulnerabilidad que las amenazas puedan explotar. Si no existen vulnerabilidades, entonces el activo no
se encuentra expuesto, y por ende, no existir riesgo.
161
Si no existen vulnerabilidades, entonces el activo no se encuentra expuesto, y por ende, no existir riesgo. Por
lo dicho, resulta necesario analizar las vulnerabilidades que presenta un activo, para as poder efectuar una
relacin: ACTIVO VULNERABILIDAD AMENAZA
Dado que una vulnerabilidad es la inexistencia o la debilidad de un control, resulta necesario en esta etapa
analizar los controles existentes en los activos. Adems, los controles existentes influirn en la probabilidad de
ocurrencia y el impacto de las amenazas, lo cual ser evaluado ms adelante en el proceso:
- Probabilidad de ocurrencia: existen controles cuyo objetivo es tratar de evitar que ocurran incidentes. Se
denominan controles preventivos.
- Impacto: existen controles que buscan detectar la ocurrencia de incidentes, denominados controles detectivos, y controles cuyo objetivo es minimizar los efectos de un incidente y recuperarse de los mismos, denominados controles correctivos.
4.1.2.2.1.2 Anlisis de riesgos

Los riesgos son determinados por una combinacin de la probabilidad de ocurrencia y el impacto de una
amenaza sobre un activo vulnerable. Para poder calcular el nivel de riesgo, es necesario conocer las dos
variables que lo determinarn: probabilidad de ocurrencia e impacto.
- Determinacin de la probabilidad de ocurrencia de las amenazas
Se trata de la frecuencia con la cual una amenaza puede materializarse en un perodo determinado. El perodo
ms comnmente empleado para esta evaluacin es un ao, por lo que debe estimarse la cantidad de veces
que puede ocurrir una amenaza en un ao. Continuando con el proceso descrito, deben analizarse para cada
activo, y para cada amenaza cuntas veces en un ao podra esta materializarse.
Determinar la probabilidad de ocurrencia no es una tarea simple, ya que como su nombre lo indica no es algo
exacto, sino una estimacin. Existen datos que pueden colaborar en la determinacin de la probabilidad de
ocurrencia:
- Informacin histrica de la organizacin: si la organizacin guarda un registro de los incidentes ocurridos,
podr conocer cuntas veces se ha materializado una determinada amenaza en un plazo determinado
- Informacin estadstica del mercado: existen fuentes de informacin que brindan datos sobre el ndice de
ocurrencia de amenazas. Es el caso por ejemplo de los desastres naturales.
- En el caso de ataques deliberados:
- Motivacin de la fuente de amenaza: la fuente de amenaza es aquello que la ocasiona, por ejemplo, un
intruso es la fuente de amenaza de una intrusin a un sistema. Se estima que si la motivacin de la fuente de
amenaza es alta, entonces es ms probable de que la misma ocurra.
- Capacidades de la fuente de amenaza: se estima que si las capacidades que debe tener la fuente de amenaza
para concretarla son bajas, entonces es ms probable que la misma ocurra. Por ejemplo, existen actualmente
numerosas herramientas de libre acceso en internet para la intrusin en sistemas, con lo cual las capacidades
que debe tener un intruso son bajas ya que con la ayuda de dichas herramientas puede lograr su cometido.
Esto hace que la probabilidad de ocurrencia de las intrusiones aumente.
162
- Inversin requerida: se estima que si se requiere de una inversin importante para efectuar un ataque, entonces es la probabilidad de ocurrencia de dicho ataque disminuye.
- Determinacin del impacto de las amenazas
Se denomina impacto al nivel de dao sobre un activo derivado de la materializacin de una amenaza. Conociendo el valor de los activos y la degradacin que causan las amenazas, es posible calcular el impacto que
estas tendran para la organizacin.
Existen dos tipos de impacto a calcular: acumulado y repercutido.
El impacto acumulado se calcula teniendo en cuenta:
- El valor acumulado de un activo: dado por su valor propio y el acumulado de los activos que dependen de l
- La degradacin causada por las amenazas a las que se expone el activo
El impacto acumulado es:
- tanto mayor cuanto mayor es el valor propio o acumulado sobre un activo.
- tanto mayor cuanto mayor sea la degradacin del activo afectado.
Por el contrario, el impacto repercutido se calcula teniendo en cuenta:
- El valor propio del activo
- La degradacin causada por las amenazas a las que se exponen los activos de los que dependen
El impacto repercutido tambin se calcula para cada activo y por cada amenaza.
El impacto repercutido es:
- tanto mayor cuanto mayor es el valor propio de un activo.
- tanto mayor cuanto mayor sea la degradacin del activo atacado.
- tanto mayor cuanto mayor sea la dependencia del activo atacado.
Clculo del riesgo
El riesgo es una funcin de la probabilidad de ocurrencia y del impacto de una amenaza. El nivel de riesgo es
directamente proporcional a la probabilidad de ocurrencia y al impacto, es decir que si cualquiera de las dos
variables aumenta, entonces tambin aumentar el nivel de riesgo.
El riesgo acumulado de un activo se calcula teniendo en cuenta:
- el impacto acumulado sobre un activo debido a una amenaza
- la probabilidad de ocurrencia de la amenaza
El riesgo acumulado se calcula para cada activo y por cada amenaza.
El riesgo acumulado, al calcularse sobre los activos que soportan el peso del sistema de informacin, permite
determinar las salvaguardas de que hay que dotar a los medios de trabajo: proteccin de los equipos, copias
de respaldo, etc.
El riesgo repercutido de un activo se calcula teniendo en cuenta:
- el impacto repercutido sobre un activo debido a una amenaza
- la probabilidad de ocurrencia de la amenaza
163
El riesgo repercutido se calcula para cada activo y por cada amenaza

El riesgo repercutido, al calcularse sobre los activos que tienen valor propio, permite de-terminar las consecuencias de las incidencias tcnicas sobre la misin del sistema de in-formacin. Es pues una presentacin
gerencial que ayuda a tomar una de las decisiones crticas de un anlisis de riesgos: aceptar un cierto nivel de
riesgo.
4.1.2.2.2 Tratamiento de riesgos

Una vez evaluados y conocidos los riesgos, es necesario definir qu se har con cada uno de ellos. La etapa de
conocimiento y evaluacin de los riesgos es tan importante como la de su tratamiento. Existe un conjunto de
alternativas sobre las formas de tratar los riesgos. La organizacin deber evaluar qu alternativa le conviene
para tratar cada uno de sus riesgos y formalizar las decisiones tomadas en un Plan de Tratamiento de Riesgos,
estableciendo en el mismo prioridades de implementacin y plazos de cumplimiento.
4.1.2.2.2.1 Seleccin e implantacin de tcnicas de tratamiento

Las formas de tratamiento de riesgos son:
* Mitigar el riesgo
Mitigar el riesgo implica implementar controles que reduzcan una de las dos variables, o ambas a la vez, que
determinan el nivel de riesgo, esto es:
- la probabilidad de ocurrencia: por ejemplo, eliminar el material inflamable del centro de cmputos reducira
la probabilidad de que se produzca un incendio.
- el impacto: por ejemplo, contar con un sitio alternativo de procesamiento reducira el impacto en caso de
ocurrir un desastre natural que afecte al sitio primario.
La decisin de qu control implementar debe responder a un anlisis correcto del costo-beneficio de la implementacin del control.
Anlisis costo-beneficio:
En lneas generales, una organizacin no debera invertir en un control que resulte ms costoso que la prdida
que pudiera sufrir por no tener dicho control implementado (en el peor de los escenarios).
*Aceptar el riesgo
Los riesgos no pueden ser mitigados totalmente, por lo que en cierta instancia se debe terminar asumiendo o
aceptando ciertos riesgos. Por otra parte, existen ocasiones donde no vale la pena tomar ninguna otra accin
dado que la relacin costo-beneficio de tratar el riesgo no lo justifica.
Es por ello que la organizacin debe definir un Nivel de Riesgo Aceptable, de manera que todos los riesgos que
se encuentren por debajo de este nivel puedan ser aceptados por la organizacin. El Nivel de Riesgo Aceptable
se define en los mismos trminos que se definen los niveles de riesgo. La definicin de este nivel es sumamente crtica, ya que el establecimiento de un nivel inadecuado puede ocasionar prdidas importantes a la
organizacin.
164
* Transferir el riesgo
Esta medida de tratamiento involucra a terceras partes, quienes sostienen o comparten una parte del riesgo.
Generalmente hay algn costo financiero asociado a la transferencia de parte del riesgo a otra organizacin, tal
como las cuotas abonadas a los seguros. La transferencia de un riesgo a otras partes reduce el riesgo original
para la organizacin que transfiere.
* Evitar el riesgo
Quizs esta sea la opcin menos comn, ya que consiste en no seguir adelante con la actividad que probablemente crea el riesgo (cuando esto sea practicable), de manera que el mismo ya no exista. Una de las formas
ms simples de evitar un riesgo es eliminar el activo que lo presenta.
Ocurre en ocasiones que se combinan ms de una estrategia de tratamiento para un mismo riesgo. Por ejemplo, para el tratamiento del riesgo incendio, se contrata un seguro (transferencia de parte del riesgo) y se
implementan sistemas de deteccin y extincin (mitigacin del riesgo).
Por otra parte, ciertas tcnicas de tratamiento de riesgo pueden servir para tratar ms de un riesgo a la vez. Por
ejemplo, la contratacin de un seguro edilicio puede servir para tratar varios riesgos causados por diferentes
amenazas (incendio, robo, inundacin, etc.).
Luego de definir el Plan de Tratamiento de Riesgos debe calcularse el riesgo residual, es decir, aquel riesgo
remanente luego de haber implementado las tcnicas de tratamiento.
4.1.2.2.2.2 Seguimiento y monitoreo

Una vez tratados los riesgos, es preciso garantizar que se cumple con los objetivos previstos. Es decir, que cada
medida de tratamiento implementada presenta los resultados esperados. Para ello es necesario efectuar un
seguimiento y monitoreo de los riesgos mitigados y transferidos.
Esto se logra estableciendo mtricas que evalen el desempeo de los controles implementados y muestren si
se logra reducir los riesgos para los cuales se seleccionaron.
Por ejemplo:
Riesgo identificado: incendio del centro de cmputos
Nivel de riesgo inicial: 3 (en una escala del 1 al 5)
Estrategia de mitigacin: Transferencia (mediante seguro contra incendio) y mitigacin (mediante un sistema
de deteccin y extincin de fuego)
Nivel de riesgo residual esperado: 1
En este ejemplo, las mtricas deberan evaluar si el nivel de riesgo residual esperado se est cumpliendo, por
ejemplo, evaluando si se efecta un mantenimiento al sistema de deteccin y extincin, o si la pliza contra
incendio se encuentra actualizada con las recientes adquisiciones de equipamiento.
El progreso real respecto de los planes de tratamiento de los riesgos provn una medida importante de
desempeo y deberan ser incorporados en el sistema de informacin, medicin y administracin de desempeo de la organizacin.
En caso de que se detecte alguna insuficiencia en el desempeo de las medidas de tratamiento, se debern
efectuar las correcciones necesarias, esto es, ajustar el tratamiento o cambiar de estrategia.
4.1.2.3 Documentacin y comunicacin

Debe registrarse en forma adecuada cada etapa del proceso de gestin de riesgos. Deberan documentarse las
165
documentarse las hiptesis, mtodos, fuentes de datos, anlisis, resultados y razones para las decisiones.
Los registros de tales procesos son tiles para:
- Demostrar que el proceso es conducido apropiadamente.
- Proveer evidencia de un enfoque sistemtico de identificacin y anlisis de riesgos.
- Proveer un registro de los riesgos y desarrollar la base de datos de conocimientos de la organizacin.
- Proveer informacin a los tomadores de decisiones.
- Alinearse a lo recomendado por las auditoras.
Los resultados de la gestin de riesgos deben ser comunicados en principio a los tomadores de decisiones y a
las autoridades de la organizacin.
4.1.2.4 Mejora continua

El proceso de gestin del riesgo de seguridad de la informacin debe tender a un enfoque de mejora continua.
En cada iteracin del ciclo deben evaluarse un conjunto de factores con el ob-jeto de verificar que el proceso:
- Se encuentra alineado con la estrategia de la organizacin
- Resulta de utilidad para la toma de decisiones
- Responde a los requisitos legales y normativos
- Presenta criterios adecuados para el clculo de riesgos
- Cuenta con los recursos necesarios
- Presenta una definicin adecuada de nivel de riesgo aceptable
Asimismo, debern considerarse cualquier oportunidad de mejora detectada en el proceso, con el objetivo de
planificar las modificaciones necesarias al circuito para colaborar en la mejora continua del mismo.
166
4.2 Informacin
NOMBRE DOCUMENTO: Gestin de Recursos Humanos en un CSIRT.
FECHA DE CREACIN: Montevideo, 27 de Noviembre de 2009.
AUTOR: Ec. Ara Alvez Bou.
167
Resumen.
El pilar fundamental de una Organizacin, Institucin o Equipo, son las personas que lo consti-tuyen. Para
lograr el xito en las tareas desarrolladas, es indispensable establecer pautas y procedimientos para el
Personal, que se enmarquen dentro de un Programa de Gestin de los Recursos Humanos. Y si ste, se alinea
con el Proceso de Administracin de Riesgos, se ob-tienen an mejores resultados.
El vnculo laboral comienza a gestarse en el proceso de seleccin de las personas, se estable-ce en su
contratacin, se profundiza con los mecanismos de integracin, capacitacin, motiva-cin y proteccin, y
finaliza al momento de la desvinculacin. Establecer los procedimientos adecuados para cada una de las
instancias, potencia los beneficios del vnculo y minimiza los riesgos que pueden surgir.
En el presente documento se analiza la importancia del Factor Humano en las Instituciones y en particular en
los CSIRTs, se establecen los perfiles requeridos, diferenciando el Rol Geren-cial del Tcnico, y se remarca el
valor de la Capacitacin, de la Motivacin y de la Proteccin del personal. Se establecen las Pautas de una
Poltica de Gestin de Riesgos y del Plan de Contingencia relativos los Recursos Humanos. Finalmente se
presentan cuatro Procedimientos considerados fundamentales para la gestin del Personal del CSIRT: de
Seleccin, Vincula-cin, Proteccin de Identidad y Desvinculacin.
Los anexos contienen puntos esenciales para la elaboracin de un Plan de Capacitacin, de Compromisos de
Confidencialidad, de Evaluaciones del Personal, de Actas de Desvinculacin y de Registro de los Riesgos.
Toda la informacin comprendida en este documento constituye una gua para Gestionar el staff de un CSIRT y
sus Riesgos asociados, sobre la cual cada uno deber realizar la adapta-cin correspondiente a sus necesidades
particulares.
168
Objetivos
Inmediato
Establecer las principales recomendaciones sobre la gestin de los Recursos Humanos que componen un
CSIRT, basadas en las mejores prcticas, para optimizar la prestacin de sus servicios, disminuyendo los riesgos
inherentes al personal que lo integra.
De desarrollo
Implementar un sistema de Gestin del Capital Humano de los CSIRTs, que permita medir su efectividad y
mitigar oportunamente los riesgos asociados.
4.2.1 Introduccin
Es indudable que el componente humano dentro de cualquier Equipo u Organizacin, es esen-cial para lograr
el cumplimiento de los objetivos que procuran alcanzar. Por ello es necesario adoptar las medidas adecuadas
para su administracin.
Dada la naturaleza sensible del servicio que brindan los Centros de Respuesta a Incidentes de Seguridad
Informtica, la buena gestin del personal que lo integra y el desarrollo de vnculos que promuevan la solidez
del Equipo, son fundamentales para su xito.
A travs de un Programa Integral de Gestin del Personal de un CSIRT se pretende superar la complejidad que
traen consigo la libertad de informacin y todos los avances tecnolgicos que la fomentan, a travs del fortalecimiento de sus miembros.
Todos los aspectos que inciden en el vnculo profesional sern detenidamente analizados, abarcndose desde
el establecimiento de criterios de seleccin del personal, mecanismos de integracin progresiva y de retencin, de proteccin y de desvinculacin; de modo que en todas las instancias del proceso laboral, los riesgos
asociados a las personas sean controlados.
4.2.2 Importancia del Capital Humano y la Gestin de sus riesgos

As como los riesgos, el personal siempre forma parte de la Organizacin. Cada decisin que se toma en la
Empresa tiene un componente humano; cul opcin es elegida y cmo se lleva a cabo depende de las personas que participan en ella. Por lo tanto, la gestin de los RRHH de-be estar integrada al proceso de toma de
decisiones, as como tambin al de Administracin de Riesgos.
Existen tres dimensiones a travs de las cuales el factor humano interviene en el Proceso de Administracin de
los Riesgos. La primera, como una fuente de Riesgos, capaces de materiali-zarlos a travs de sus propias
acciones. stas pueden ser intencionales, por falta de capacita-cin o debido a otro tipo de errores que no
tengan un propsito malicioso. Una segunda dimen-sin es la del Recurso Humano como vctima de la materializacin de ciertos riesgos, como por ejemplo la prdida de una vida humana o el dao en su salud. Finalmente, como ejecutores de los procedimientos de gestin de Riesgos establecidos, influyen directamente en
las decisiones que se tomen basadas en los Anlisis de Riesgos que realizan.
169
Es necesario alinear las actividades de gestin del personal y la metodologa de Administracin del Riesgo a los
objetivos de la Institucin, a su misin y valores. Garantizando que la persona correcta est en el puesto apropiado, que sea entrenada, protegida y recompensada adecua-damente, incrementa la posibilidad de que tome
decisiones ms eficaces; lo que contribuye con la prevencin de riesgos.
Las siguientes preguntas pueden servir de referencia para iniciar el anlisis de la situacin res-pecto al
personal:
- Ha sido contratada la persona correcta para el puesto?
- Est la persona apropiadamente calificada, preparada y capaz para realizar la tarea que se le requiere?
- Est la performance de los miembros alineada con la misin, valores y objetivos de la Institucin?
- Est la comunidad satisfecha con el nivel de servicio brindado?
- Ha sido provista la correcta direccin y gua al personal para asegurar que ellos en-tienden las tareas asignadas?
- Son los recursos adecuados o apropiados para cubrir las necesidades del rol, inclu-yendo el entrenamiento?
- Es la remuneracin acorde con los niveles adecuados?
- Est el personal adecuadamente motivado para hacer las tareas requeridas de la me-jor manera?
4.2.3 Medidas preventivas de los riesgos asociados a las personas

A continuacin se plantean diversos aspectos sobre los cuales se puede profundizar, utilizn-dolos como
mecanismos de prevencin de los riesgos asociados al personal:
- Anlisis del puesto y descripciones documentadas. Permite determinar claramente las obligaciones y las
habilidades tanto personales como tcnicas requeridas para el pues-to.
- Contratacin, cuyo objetivo es cubrir cada puesto vacante con la persona adecuada. Es una de las actividades
ms difciles, por ello lo ms adecuado es establecer los reque-rimientos de la forma ms detallada posible y
procedimientos de seleccin del personal.
- Integracin y Capacitacin. El proceso de integracin es a travs del cual se introduce al personal en la
misin, valores y cultura de la Institucin y su Comunidad. La capacita-cin es fundamental para brindar los
servicios de forma adecuada.
- Disciplina, implica darle a cada empleado las Normas, Polticas y Procedimientos utili-zados en la Organizacin y luego trabajar con l para que los incorpore.
- Seguridad, tanto fsica, ambiental y emocional que permitan el desempeo de las tareas asignadas con el
menor nivel de riesgo posible.
- Compensacin, incluye la recompensa monetaria como la no monetaria. Deben ser via-bles para la organizacin as como tambin cumplir con las necesidades del empleado.
- Evaluacin del personal, es necesario que sea continua, en conjunto con el personal, sobre cmo est desempeando sus tareas en relacin a lo requerido; permitiendo una instancia de retroalimentacin, en la que se
identifiquen aspectos a mejorar y en la que se intercambien las distintas necesidades y visiones.
170
4.2.4 Gestin del Personal de un CSIRT

4.2.4.1 Consideraciones generales
El equipo de un CSIRT debe:
- Proveer un canal seguro para recibir reportes de incidentes.
- Proveer de asistencia a los miembros de su comunidad para el manejo de los incidentes a la vez de capacitarlos.
- Brindar la informacin adecuada y de la manera correcta a las partes involucradas, en relacin a los
incidentes.
El trabajo de un CSIRT es bsicamente la provisin de servicios, siendo imprescindible que exista confianza en
un staff competente y fidedigno. De los mayores retos para un equipo de Respuesta a incidentes de seguridad
informticos es la seleccin del staff. Se podra pensar que uno de los atributos ms importantes es la experiencia en seguridad de los sistemas y sus conocimientos tcnicos. Sin embargo, el xito del equipo puede verse
comprometido si uno de sus integrantes se comporta inadecuadamente, degradando la confianza en el
equipo. Por ello, los atributos personales resultan extremadamente importantes para la eleccin de un nuevo
miembro.
Es recomendable contratar personas con menos experiencia tcnica pero con buenas habilida-des en el trato
interpersonal y en la comunicacin, ya que la experiencia la puede adquirir en el trabajo diario y en base a un
sistema de entrenamiento que se haya establecido en el CSIRT.
Se debe considerar tambin el presupuesto que se dispone para el reclutamiento y manteni-miento de los
integrantes de un CSIRT. Los recursos econmicos disponibles, afectan la cali-dad del equipo ya que de stos
dependen los salarios, la capacitacin, la infraestructura, y otros factores que contribuyen a desarrollo de las
actividades del CSIRT. Determinar el nmero apropiado a trabajar en l, es un balance entre la expectativa de
trabajo que existe y las restric-ciones presupuestales.
Segn expertos en el tema, casi el nico atributo en comn de los CSIRT existentes es que no cuentan con
fondos apropiados, no tienen suficiente personal mientras que s experimentan una gran demanda de sus
servicios
La composicin de un CSIRT vara de equipo en equipo, en funcin de elementos tales como su misin y
objetivos, la naturaleza y el rango de los servicios que ofrece, la disponibilidad de personal experto, de las
tecnologas utilizadas, del tipo de incidentes que se manejan, etc.
La conformacin del Equipo se puede realizar de diversas formas:
- Contratar personal dedicado exclusivamente al CSIRT.
- Utilizar personal de sistemas y de redes ya existente.
- A travs de tercerizaciones del servicio.
- Extensin del grupo por un lapso determinado cuando el flujo de trabajo as lo requiera.
171
Esta ltima posibilidad contempla las necesidades de contratar personal extra en ocasiones donde la complejidad amerite la participacin de un experto en un tema puntual, o en momen-tos en que el nmero de integrantes del CSIRT no pueda cumplir con las demandas que se ex-perimenten. En este caso hay que realizar
consideraciones especiales y tener previsto la im-plantacin de procedimientos de seguridad adecuados, que
reduzcan los riesgos que esto im-plica, a niveles que sean aceptables.
Visto que la tasa de incidentes no es constante, el xito de un CSIRT usualmente se mide en referencia a su
actuacin durante los tiempos de mayor demanda. Debe haber entonces, capa-cidad suficiente de personas
para manejar efectivamente los incidentes complejos. Un fallo en esto resultar en perjuicio de la reputacin
de todo el grupo.
Cuando el nivel de incidentes a resolver disminuye, existen otras tareas muy importantes y mo-tivadoras para
realizar, tales como el desarrollo de herramientas, preparacin de seminarios, investigaciones sobre ciertos
temas de inters, etc.
Dentro del CSIRT, debe de existir un referente, que cumpla el rol Gerencial, con gran capaci-dad de liderazgo
que, adems de dirigir el trabajo diario del Equipo, gobierne las decisiones estratgicas, de polticas y procedimientos, de infraestructura y las acciones operativas que as lo requieran. Nos referiremos a esta figura como
el Gerente del CSIRT y lo distinguiremos del Personal Tcnico.
La habilidad del CSIRT para brindar los servicios necesarios a su comunidad depende de la calidad, motivacin
y gestin de sus integrantes. El CSIRT debe asegurar que:
- El staff se selecciona basado en sus mritos, que es administrado y motivado adecua-damente, que entiende
sus responsabilidades y recibe el entrenamiento preciso.
- Se evita la discriminacin tanto de gnero como de raza, tanto en la seleccin de los candidatos como en las
oportunidades de crecimiento profesional y/o acadmico dentro del Equipo.
- Se promueve un clima positivo y constructivo dentro del Equipo y en el relacionamiento de ste con los
dems involucrados (la comunidad, otros CSIRTs, proveedores, medios de comunicacin, etc.).
- Que se recompensa adecuadamente, tanto en plazos como en montos, y se utilizan otros mecanismos de
retribucin no monetarios.
Una nota aparte aqu es la consideracin de otro tipo de personal que est vinculado al CSIRT, como por
ejemplo de limpieza, instalaciones, de seguridad, y otros; para quienes se deben es-tablecer las condiciones de
acceso. Su entrada puede ocurrir durante las horas de trabajo del Equipo o luego de stas. Aqu resultan esenciales llevar a cabo las buenas prcticas de los miembros del Equipo, tales como no dejar informacin sensible
en los escritorios durante su ausencia, no dejar los equipos abiertos, etc. Un mecanismo adicional de seguridad
podra ser el impedimento del ingreso del personal ajeno al Equipo fuera del horario de trabajo del mismo, as
se garantiza que hay un miembro presente siempre que un externo acceda a las instalacio-nes del CSIRT.
172
4.2.4.2 Capacitacin
Un eslabn fundamental para el desarrollo de un Equipo de Respuesta a Incidentes Informti-cos es el entrenamiento de sus miembros. Es necesario desde tres perspectivas:
- Al personal nuevo, es importante brindarle las herramientas de conocimiento necesarias para realizar su
trabajo.
- Al personal que ya est trabajando, para expandir su sapiencia y as generar un crculo virtuoso de conocimiento que se expanda al resto de los integrantes.
- Para estar al da con las ltimas tecnologas y los mecanismos de ataque contra ellas.
La existencia de Plan o Programa de Capacitacin para los miembros del CSIRT contribuye a la reduccin de
los riesgos que se pueden materializar por falta de informacin y entrenamiento del personal.
En primera instancia, cuando un nuevo miembro ingresa al CSIRT, se lo debe instruir en la Mi-sin, los Objetivos, las Polticas, los Procedimientos y en el ambiente operacional del equipo.
Iniciacin en:
- Temas de confidencialidad y no revelacin de la informacin.
- Polticas y Procedimientos de Seguridad Informtica y gestin de Riesgos.
- Cdigo del Conducta.
- Polticas de uso aceptable.
- Cuestiones legales.
- Visin general de los procedimientos de respuesta a incidentes.
Temas respectivos a la Organizacin:
- Lneas generales de la Comunidad para la cual trabajan.
- Historia y Organizacin del CSIRT, as como la misin, los objetivos y valores que se manejan internamente.
- Aspectos legales pertinentes.
Cuestiones Tcnicas:
- Herramientas y procedimientos de clasificacin, correo electrnico y manejo de inciden-tes.
- Comunicaciones seguras.
- Incidentes de baja prioridad.
- Incidentes con alta prioridad.
1 Ver Anexo 8.1
173
Cuestiones de comunicacin y trato con los medios:

- Polticas de relacionamiento con los medios.
- Comunicacin con la Comunidad y con otros terceros, tanto por va oral como escrita.
Ante el estrs que produce el manejo de informacin sensible, el nuevo integrante puede sen-tirse abrumado
con todo el material recibido en el CSIRT. Es necesario darle el tiempo adecua-do para que incorpore todo ello
y no exponerlo al principio a tareas delicadas.
Es deseable tratar de asegurar que la persona nueva pueda aprender la profesin sin generar errores de gran
costo. Adems de lo ya mencionado, una contribucin a ello sera designar a un miembro experiente del CSIRT
como su instructor, para que le proporcione toda la informa-cin necesaria, e incluso lo monitoree durante los
primeros das, apoyndolo en las tareas que se le asignen.
Otro mecanismo de integracin a las actividades del Equipo es que dedique un tiempo a la ob-servacin del
manejo de los incidentes por parte de miembros expertos.
Lo referido anteriormente se basa en la idea que cada nuevo integrante realice una adaptacin progresiva,
tanto a nivel personal como tcnico, al Equipo y a sus tareas. Se establece as la forma en que actuar el nuevo
personal, desde un nivel bsico a su llegada para convertirse en un gestor de incidentes completo, dedicndose a tareas ms complejas.
Es importante que el conocimiento ya adquirido por el Equipo, se organice en Procedimientos y materiales de
estudio, lo que permite resaltar las reas en las que el CSIRT ya ha adquirido experticia y que los mismos miembros del CSIRT se vuelvan mejores entrenadores.
La Capacitacin es continua, no tiene final ya que debe acompasar los cambios que se van produciendo a nivel
tecnolgico. Debe extenderse el conocimiento adquirido a todo el Equipo, generando un proceso beneficioso
de retroalimentacin y de respaldo en el momento de instruir a la Comunidad y/o a otros Equipos de Respuesta. Y como una de las formas de prevencin es el conocimiento, el establecer un Plan adecuado de capacitacin contribuye a disminuir el ries-go de la materializacin de incidentes informticos.
4.2.4.3 Motivacin y Retencin del Staff

La baja oferta de personal experto para los CSIRTs, y la alta inversin que se realiza en sus capacitaciones
llevan a considerar seriamente los mecanismos para evitar la posibilidad que abandonen el Equipo. Una vez
que se invirti tiempo y recursos para identificarlo, contratarlo y entrenarlo, lo ms importante luego es retenerlo.
Las dos razones principales por las que el personal de un CSIRT puede tomar la decisin de dejar el Equipo son
el agotamiento y el bajo salario, si bien tambin influye el ambiente laboral, la nocin de grupo y pertenencia,
las posibilidades de crecimiento personal y profesional. Es en estas reas donde hay que concentrar esfuerzos
para evitar las posibles prdidas.
174
El Riesgo de trabajo es entendido como la posibilidad de que, al realizar una tarea, sta genere incidentes y/o
accidentes, concepto bien importante.
Es parte de la responsabilidad de cualquier Institucin cuidar a sus empleados, protegerlos de accidentes y
asegurndoles un ambiente de trabajo saludable. Las condiciones de trabajo no deben perjudicar ni fsica, ni
moralmente. A travs de Procedimientos de proteccin fsica, am-biental y de identidad se puede respaldar a
los miembros del Equipo. Su seguridad debe ser meticulosamente planificada.
Durante la gestin de los incidentes, los integrantes del CSIRT, en su comunicacin con la Co-munidad o con
otros involucrados, deben realizar indicaciones. A partir de stas, pueden surgir malos entendidos y errores,
con resultados adversos; por lo que se hace necesario establecer mecanismos de proteccin de identidad para
los miembros del CSIRT.
En todo el Equipo, e Institucin a la que responde, se debe fomentar una cultura de seguridad y prevencin de
riesgos, que conduzca a alcanzar altos niveles de productividad y una conse-cuente eficiencia en su gestin.
Partiendo de la idea de prevenir, se hace necesario promover conciencia en los miembros del Equipo sobre la
prevencin de actos inseguros y de errores humanos.
Se puede establecer un marco a travs del cual los miembros reporten y resuelvan sus errores, haciendo
nfasis en la solucin y no en el problema. Tales polticas pueden plantear que todos los eventos complejos
requieran una revisin de las acciones por las figuras gerenciales y por el resto del staff, para determinar qu se
puede hacer en el futuro para prevenir su reiteracin. Esto puede implicar cambios en el corto plazo en los
procedimientos, o de largo plazo en el en-trenamiento. Lo importante es que todos sientan que pueden
reportar los problemas sin miedo a sufrir represalia.
Los controles de seguridad a travs de los cuales se procura evitar fugas de informacin, erro-res en el manejo
de los datos y sistemas, y proteger la confidencialidad de las actividades del CSIRT, no estn asociados a restricciones en las libertades de los trabajadores sino que son importantes para el amparo de los mismos.
Principales factores de error humano:
- La falta de capacitacin
- Condiciones inadecuadas de trabajo tanto ambientales, de tiempo y sociales.
- Mal ingreso o mal manejo de la informacin por distraccin y/o agotamiento.
- Realizar asunciones incorrectas por insuficiente informacin.
- Inadecuada interpretacin de las conclusiones
2
Ver Procedimiento de Proteccin de Identidad de los miembros del CSIRT.
175
El Riesgo de trabajo es entendido como la posibilidad de que, al realizar una tarea, sta genere incidentes y/o
accidentes, concepto bien importante.
Es parte de la responsabilidad de cualquier Institucin cuidar a sus empleados, protegerlos de accidentes y
asegurndoles un ambiente de trabajo saludable. Las condiciones de trabajo no deben perjudicar ni fsica, ni
moralmente. A travs de Procedimientos de proteccin fsica, am-biental y de identidad se puede respaldar a
los miembros del Equipo. Su seguridad debe ser meticulosamente planificada.
Durante la gestin de los incidentes, los integrantes del CSIRT, en su comunicacin con la Co-munidad o con
otros involucrados, deben realizar indicaciones. A partir de stas, pueden surgir malos entendidos y errores,
con resultados adversos; por lo que se hace necesario establecer mecanismos de proteccin de identidad para
los miembros del CSIRT.
En todo el Equipo, e Institucin a la que responde, se debe fomentar una cultura de seguridad y prevencin de
riesgos, que conduzca a alcanzar altos niveles de productividad y una conse-cuente eficiencia en su gestin.
Partiendo de la idea de prevenir, se hace necesario promover conciencia en los miembros del Equipo sobre la
prevencin de actos inseguros y de errores humanos.
Se puede establecer un marco a travs del cual los miembros reporten y resuelvan sus errores, haciendo
nfasis en la solucin y no en el problema. Tales polticas pueden plantear que todos los eventos complejos
requieran una revisin de las acciones por las figuras gerenciales y por el resto del staff, para determinar qu se
puede hacer en el futuro para prevenir su reiteracin. Esto puede implicar cambios en el corto plazo en los
procedimientos, o de largo plazo en el en-trenamiento. Lo importante es que todos sientan que pueden
reportar los problemas sin miedo a sufrir represalia.
Los controles de seguridad a travs de los cuales se procura evitar fugas de informacin, erro-res en el manejo
de los datos y sistemas, y proteger la confidencialidad de las actividades del CSIRT, no estn asociados a restricciones en las libertades de los trabajadores sino que son importantes para el amparo de los mismos.
Principales factores de error humano:
- La falta de capacitacin
- Condiciones inadecuadas de trabajo tanto ambientales, de tiempo y sociales.
- Mal ingreso o mal manejo de la informacin por distraccin y/o agotamiento.
- Realizar asunciones incorrectas por insuficiente informacin.
- Inadecuada interpretacin de las conclusiones
2
Ver Procedimiento de Proteccin de Identidad de los miembros del CSIRT.
176
4.2.5 Poltica Gestin de Riesgos RRHH del CSIRT

Poltica ajustada a la Poltica de Gestin de Riesgos planteada en el captulo 4.1.
4.2.5.1 Objetivo
Evitar y/o minimizar los riesgos a los que se expone el personal del CSIRT, contribuyendo a mejorar la eficiencia
del Equipo.
4.2.5.2 Alcance
Esta poltica es aplicable a todos los miembros del CSIRT y debe estar alineada con otras di-rectivas particulares de la Comunidad a la cual brinda sus servicios.
4.2.5.3 Proceso Gestin de Riesgos

El Proceso de Gestin de Riesgos de los RRHH del CSIRT se divide en dos grandes instan-cias: la Evaluacin de
Riesgos y el Tratamiento de los mismos.
Evaluacin de riesgos
- Identificacin de Riesgos
- Identificacin de Activos, en este caso nos vamos a referir al Recurso Humano como activo, en sus tres
dimensiones, vctima de un Riesgo, generador del mismo y como tomador de decisiones dentro del Proceso
de Gestin de Riesgos.
- Identificacin de dependencias entre activos, se establecer la red de vinculaciones entre otros activos
y el personal.
- Valoracin de activos, dado que se trata de personas, y por lo tanto los activos ms crticos, es de gran
significancia cualquier riesgo que puedan experimentar o generar. Por ello es muy importante realizar una
correcta valuacin.
- Identificacin de Amenazas y vulnerabilidades, a continuacin se plantea una gua (no exhaustiva) de
factores a analizar para identificar en ellos posibles amenazas y vul-nerabilidades:
- Exigencias de las actividades que se realizan en el puesto de trabajo. Las exi-gencias de las tareas recogen los
requerimientos, normas, procedimientos que rigen al personal en el desempeo seguro de su trabajo (Cdigo
de tica, Polti-cas de Seguridad, Procedimientos y/o Poltica de Comunicacin, Procedimiento de Proteccin
de identidad, etc.). Adems tambin abarca los requerimientos y exigencias tcnicas para el uso de los medios
de trabajo, herramientas y lugar fsico, que garanticen la seguridad de las personas en primer lugar y la de los
distintos procesos que se llevan a cabo por el Equipo.
- Anlisis del factor humano. Una vez que ste se encuentre desempendose en determinado puesto
de trabajo dentro del CSIRT (luego de haber sido elegido en un correcto proceso de seleccin de personal), es
importante monitorear las actividades que realiza y apoyarlo en las dificultades que se le presenten.
177
- Anlisis de los medios y las condiciones de trabajo. Los medios de trabajo cons-tituyen la tecnologa e
infraestructura con las que cuenta la persona para la rea-lizacin de sus actividades y son vulnerables de sufrir
siniestros que afecten la integridad del personal, adems de ser un posible blanco de accin maliciosa por
parte del personal.
- Legislacin. Considerar el marco legal en el que se desenvuelve el CSIRT es vi-tal para su correcto
desempeo, y es un gran factor de riesgo el no cumplirlo. Todas las actividades que estn regidas por ste,
deben ser monitoreadas para garantizar su cumplimiento.
- Recursos econmicos. La forma de planificar los recursos, debe seguir al previo anlisis de la necesidad de los mismos. Es importante saber con qu recursos se cuentan para distribuir el capital de la manera
ms eficiente.
- Estimulacin y recompensa del personal. Son factores que permiten disminuir los riesgos de fraude y
abandono por parte del personal, riesgos muy costosos en caso que se materialicen.
- Identificacin de controles, son todas las acciones que permiten reducir la probabili-dad y/o el
impacto de la materializacin de los riesgos identificados. Estos pueden ser desde Polticas y/o Procedimientos
establecidos para el desarrollo de las actividades del CSIRT, como instancias de Evaluacin, Dilogo, etc.; que
puedan generar instancias de intercambios entre los miembros del CSIRT para la toma de decisiones adecuada.
- Anlisis de riesgos (Ver mecanismos establecidos en el captulo 4.1)
- Determinacin de la probabilidad de ocurrencia de las amenaza. Se trata de la fre-cuencia con la cual una
amenaza puede materializarse en un perodo determinado. El perodo ms comnmente empleado para esta
evaluacin es un ao, por lo que debe estimarse la cantidad de veces que puede ocurrir una amenaza en un
ao. Continuando con el proceso descrito, deben analizarse para cada activo, y para cada amenaza cun-tas
veces en un ao podra esta materializarse
- Determinacin del impacto de las amenazas. Se denomina impacto al nivel de dao sobre un activo derivado
de la materializacin de una amenaza. Conociendo el valor de los activos y la degradacin que causan las
amenazas, es posible calcular el impacto que estas tendran para la organizacin.
- Clculo del riesgo. El riesgo es una funcin de la probabilidad de ocurrencia y del im-pacto de una amenaza.
El nivel de riesgo es directamente proporcional a la probabilidad de ocurrencia y al impacto, es decir que si
cualquiera de las dos variables aumenta, en-tonces tambin aumentar el nivel de riesgo.
- Tratamiento de riesgos
Seleccin e implantacin de tcnica de tratamiento
- Mitigar el riesgo. En este caso se busca reducir la probabilidad y/o el impacto del ries-go asociado de
manera que el nivel de riesgo residual sea aceptable.
- Aceptar el riesgo. El riesgo se considera tolerable en su forma y exposicin actual, y no se toma ninguna
accin particular al respecto (o se mantienen los controles existen-tes). Esto sucede porque dada las caractersticas de los riesgos, que la mayora no se puede eliminar, es necesario establecer un nivel de tolerancia de
ciertos riesgos.
178
- Transferir el riesgo. Esta respuesta implica compartir cierta parte del riesgo con un ter-cero, lo cual usualmente toma la forma de un seguro, un contrato de cobertura o la ter-cerizacin de un determinado proceso o
funcin.
- Evitar el riesgo. Esta respuesta es cuando no se vislumbran acciones o controles que puedan conducir el
riesgo dentro de los parmetros aceptables, y se cesan las opera-ciones que generan esta clase de riesgo.
Seguimiento y medicin de resultados
Una vez definida la respuesta ante los distintos riesgos, es necesario implementar activi-dades de control para
garantizar que dichas respuestas estn operando adecuadamente en la prctica y de acuerdo a lo establecido.
Es decir, que cada medida de tratamiento im-plementada presenta los resultados esperados.
Documentacin y Comunicacin
A efectos de garantizar una adecuada prctica de Administracin de Riesgo a todo nivel, ser necesario que la
informacin relevante sea identificada, registrada y comunicada.
El contenido de la informacin debe ser adecuado (estar a un nivel correcto de detalle), opor-tuno (estar
disponible cuando se requiere), actualizado (ser la ltima informacin disponible), exacto (datos correctos) y
accesible (que quien necesite, pueda obtenerla fcilmente). Adems de la informacin adecuada, ser necesario contar con mecanismos efectivos de comunicacin dentro del Equipo y desde el Equipo para los terceros
involucrados. Los canales de comunica-cin se deben ajustar a las necesidades de cada Equipo.
Mejora continua
El proceso de gestin de Riesgos no es una foto de un momento determinado, sino que es un proceso
sistemtico que requiere una evaluacin continua para su mejora. En cada ciclo de Anlisis de Riesgo se deben
analizar los factores que inciden en el proceso, verificando su ali-neacin con los objetivos del Equipo, su
adecuacin y los cambios que requieran realizarse. Tambin deben considerarse los cambios dentro del mismo
proceso, con el objetivo de mejo-rarlos. Ver Anexo 8.5, Ejemplo de Registro de Riesgos.
4.2.5.4 Roles y Responsabilidades

Si bien los Roles y Responsabilidades de los miembros del CSIRT dependen de cada Centro en particular (de los
lineamientos de la Organizacin a la que pertenecen, de la composicin del Equipo, etc.), se plantearn a nivel
general las correspondientes funciones.
La imagen del CSIRT la representa cada uno de sus miembros, por lo que hay que considerar que se trabaja en
representacin de un Equipo y los riesgos tambin as se han de evaluar.
La figura del rol Gerencial del CSIRT debe dirigir y monitorear todo el proceso de Gestin de Riesgos y, cuando
le corresponda, establecer los criterios de evaluacin y tratamiento. Lo que debe procurar el Gerente del CSIRT
es que la relacin puesto-trabajador sea eficaz, disminu-yendo as una gran fuente de riesgos. Debe plantearse
si existen los puestos de trabajo nece-sarios para llevar a cabo los procesos establecidos, si los fines son adecuados para cumplir con los objetivos del proceso, si los puestos estn pensados para alanzar un rendimiento
eficaz, si existen mecanismos de medicin del rendimiento y si se realizan diagnsticos, tomndose las medidas preventivas y correctivas necesarias para evitar la materializacin de riesgos.
179
El resto de los miembros del CSIRT, como responsables de los propios riesgos que ellos pue-dan generar,
deben ser concientes de su trabajo y de lo que ste implica, de realizar correcta-mente todos los Procedimientos establecidos, cumpliendo con las Polticas y las Normas vigen-tes. Frente a cualquier duda, deben preguntar y asesorarse.
4.2.5.5 Plan de Contingencia frente a Errores Humanos

Objetivo
Ejecutar acciones oportunas ante cualquier contingencia que se pudiera presentar como con-secuencia de
Errores Humanos de los miembros del Equipo, para salvaguardar a las personas involucradas, la Comunidad,
los bienes y la reputacin del CSIRT.
Alcance
Todos los integrantes del Equipo y los terceros involucrados.
Plan de contingencia
El Plan de Contingencias define las responsabilidades del personal clave y los procedimientos de respuesta, a
partir de la identificacin de los riesgos especficos del personal, con el fin de minimizar el impacto de su
materializacin.
Actividades Especficas a un Plan de Contingencia:
- Una vez documentados los riesgos del CSIRT, se deben seleccionar aquellos re-lacionados al factor humanos
que afectaran la continuidad del negocio.
- Se deben establecer responsables sobre los mismos, quienes respondern en caso de que ocurra.
- Se establecern tambin Procedimientos asociados a la Proteccin fsica, am-biental y de identidad del
Personal (Procedimientos de Trabajo Seguro).
- Se realizarn Inspecciones de seguridad
- Se harn Reportes de incidentes.
- Se efectuarn charlas de induccin al trabajador nuevo
- Se investigar en caso de ocurrir accidentes.
- Se realizarn simulacros de emergencias
4.2.6 Procedimientos asociados al Personal del CSIRT

4.2.6.1 Procedimiento de Seleccin del Personal del CSIRT
La contratacin de personal para un CSIRT es solo el comienzo del proceso del establecimien-to del vnculo
laboral; pero por ello no deja de ser un paso fundamental cuyo objetivo es identi-ficar al candidato ms
adecuado.
Al momento de contratar personal para un CSIRT, es importante haber establecido un proce-dimiento apropiado para hacerlo, que permita identificar las fortalezas y debilidades de cada uno de los postulantes,
reuniendo la mayor informacin posible para una toma de decisin fun-damentada. Resulta muy beneficioso
el aporte del resto del Equipo en la seleccin del nuevo miembro, en la medida de lo posible, que existan
instancias de relacionamiento con los aspiran-tes.
180
Objetivo
Establecer un procedimiento para la seleccin de personal, procurando que este se ajuste a los conocimientos,
habilidades y condiciones especficas exigidas para el puesto de trabajo de acuerdo a las necesidades del
CSIRT.
Alcance
Este procedimiento se aplica a todas las actividades relacionadas con la seleccin del personal para el CSIRT.
Responsabilidades
Es responsabilidad del Gerente del CSIRT proporcionar al rea de RRHH (en caso de que as est establecido en
la Organizacin) una descripcin del cargo que se necesita ocupar y los requerimientos que debe cumplir el
candidato.
Es responsabilidad del rea RRHH (cuando est as determinado) realizar la convocatoria para los postulantes y
evaluar de cada uno la integridad de la documentacin entregada y el che-queo de los antecedentes de
conducta y laborales. Si la contratacin se realiza a travs de un tercero, ste ser el responsable de realizar lo
establecido para el rea RRHH.
Es responsabilidad del Gerente del CSIRT realizar las instancias correspondientes para selec-cionar el candidato
adecuado.
Descripcin
Cuando surge la necesidad de contratar personal para desempear tareas en el CSIRT, su Ge-rente debe enviar
al rea de RRHH (siempre que as se estipule) un documento de solicitud de vacante en el que se indique los
motivos de necesidad, la descripcin del cargo a ocupar y los requerimientos tcnicos que debe presentar el
candidato; teniendo la viabilidad presupuestaria para ello.
El rea de RRHH debe encargarse de realizar el llamado correspondiente y de verificar que cada candidato ha
presentado documentacin fidedigna que acredita el cumplimiento de los requisitos.
Una vez que estn los candidatos que cumplen con lo solicitado, el Gerente del CSIRT junto con quien estime
adecuado comenzar con el Proceso de entrevistas:
- Llamada telefnica, a travs de la cual se pueden testear las habilidades de comunica-cin del candidato.
- Planificacin de la entrevista personal, que abarque tanto aspectos tcnicos como personales.
- Entrevista inicial
* Presentacin del candidato
* Entrevista individual con Gerente del CSIRT
* Entrevista grupal con el resto del equipo, o quienes se considere necesario
* Discusin interna sobre el candidato
* Chequeo de referencias en caso de ser necesario nuevamente.
* Si se estima conveniente, se puede citar otra instancia de reunin, en donde el candida-to realice una
presentacin de un tema tcnico, y as se podr evaluar su capacidad en esta rea.
181
Una vez cumplidos todos los pasos y, si identifica el candidato adecuado, se procede con el Procedimiento de
Vinculacin.
Si, a travs de este procedimiento, no se hallara el postulante conveniente, se pueden realizar modificaciones
en algunas de las instancias, en particular en los requerimientos iniciales, que permita redireccionar la
bsqueda hacia las personas correctas.
4.2.6.2 Procedimiento de Vinculacin del Personal al CSIRT

Mencionado el carcter sensible de la informacin que maneja un CSIRT, establecer procedi-mientos adecuados para administrar tanto el ingreso de nuevo personal al Equipo como su desvinculacin, es de gran significacin.
De quienes ingresan, se espera que firmen documentos especficos en relacin al CSIRT (adems de los
requeridos por la Comunidad a la que brindan sus servicios), como ser de no divulgacin de informacin
especfica al CSIRT (Compromiso Confidencialidad ), de la conecti-vidad de la red y las interacciones con los
medios.
Objetivo:
El objetivo del presente procedimiento es establecer el mecanismo que se debe utilizar en to-dos los casos de
contratacin de empleados que brinden su servicio al Centro de Respuesta a Incidentes de Seguridad
Informticos (CSIRT).
Alcance
Este procedimiento tiene como alcance a todos los empleados que se vinculen al CSIRT.
Responsabilidades
Es responsabilidad del Gerente del CSIRT facilitar al personal que ingresa al Equipo, las Polti-cas de Seguridad,
el Cdigo de tica, las Polticas de Gestin de incidentes, de Acceso a la Informacin, y todos aquellos documentos necesarios en donde se establezcan sus derechos y obligaciones; hacindole firmar que comprende lo
que en ellos se establece.
3 Ver Anexo 8.2
182
Es responsabilidad de los empleados que ingresan al CSIRT, aceptar y acatar por escrito los estndares establecidos en los documentos recibidos, de acuerdo a lo que cada uno indique. Es responsabilidad de quien ha
elaborado cada documento, responder ante cualquier consulta de duda al respecto.
Es responsabilidad del Gerente del CSIRT hacer firmar a quien ingresa al Equipo, un Compro-miso de confidencialidad antes de que acceda a las instalaciones o a informacin especfica, en el que se establece su obligacin
de no divulgacin de la informacin sensible mientras que desempea sus funciones y tambin luego una vez
finalizado el vnculo laboral. Es responsabi-lidad del nuevo empleado velar por el cumplimiento de las Polticas
establecidas. En caso de violar o ignorar las responsabilidades y estndares definidos en los documentos que
recibe, habilitar a que se ejerzan contra l todas las acciones y recursos legales pertinentes.
Es responsabilidad del Gerente del CSIRT, hacer cumplir el presente procedimiento as como realizar
seguimiento del mismo.
Descripcin
El Gerente del CSIRT, entregar al nuevo empleado los documentos de Poltica, Reglamenta-cin y el Cdigo
de tica, hacindolo firmar una copia de su recibo; a la vez que tambin es responsable de que firme el Compromiso de Confidencialidad respectivo.
El Gerente del CSIRT ser responsable de la adecuada Capacitacin de los nuevos ingresos, en temas de
funcionamiento del CSIRT, sus procedimientos asociados, seguridad y conoci-mientos tcnicos.
4.2.6.3 Procedimiento de Proteccin de Identidad de los miembros del CSIRT

Objetivo
El objetivo de este procedimiento es establecer mecanismos de proteccin de la identidad a los integrantes de
Equipo para el desarrollo de su trabajo en forma segura.
Alcance
El mismo se aplica a todos los miembros del CSIRT en la ejecucin de sus tareas.
Responsabilidades
Es responsabilidad de la Organizacin a la cual pertenece el CSIRT brindar condiciones de se-guridad a todos
sus empleados.
Es responsabilidad del Gerente del CSIRT establecer mecanismos de proteccin a todos los que trabajan en
este Centro, acordes con las necesidades.
Es responsabilidad de todos los integrantes del CSIRT cumplir con el procedimiento estableci-do que procura
proteger la identidad en la actuacin a nombre del Centro, cuando las necesi-dades del caso y su complejidad
lo requieran.
Descripcin
El Gerente del CSIRT analizar los requerimientos de seguridad que tienen sus empleados, determinando en
qu ocasin se amerita el uso del procedimiento de proteccin a la identidad.
183
Cada empleado del CSIRT velar por la adecuada difusin de la informacin, considerando que lo que l dice
tanto a la Comunidad, a otros CSIRTs y terceros involucrados, puede conducir a la resolucin del problema
pero tambin puede no hacerlo, generando graves consecuencias. Al momento de emitir su juicio, debe
procurar que el mismo quede registrado, de forma de respaldar su actuacin; y ser cuidadoso en lo que aconseja, pues los resultados pueden ser muy importantes.
Cuando es necesario, porque el Gerente junto con los tcnicos as lo consideren, se debe actuar con el amparo
sobre su identidad, gestionando el incidente de tal modo que no quede expuesto quin es la persona que
implicada en su resolucin.
En caso de que se produzca un inconveniente, es el Gerente del CSIRT que lo deber solucionar.
4.2.6.4 Procedimiento de Desvinculacin del Personal al CSIRT

La importancia de este procedimiento radica en los riesgos que conlleva este tipo de instancias, donde alguien
con informacin sensible perteneciente al CSIRT, se desvincula de l.
Los motivos para que eso acontezca, bsicamente son los siguientes:
- Renuncia
- Despido
- Jubilacin
- Fatalidad
Si una persona abandona el equipo por su propia voluntad, es de gran valor entender las razo-nes que llevaron
a esa decisin. Por ello, es recomendable realizar una instancia de dilogo, en la que puedan exponerse los
motivos de la partida, los cuales se deben tomar con gran serie-dad. Si una persona es despedida, deben
tenerse en cuenta otros criterios de finalizacin del vnculo laboral para asegurar que no ocurra inconveniente
alguno. Ante la fatalidad de la muer-te, o una instancia en la que un miembro del Equipo se vea impedido de
concurrir a trabajar por un tiempo significativo, debe tenerse en cuenta la necesidad de contar con mecanismos que permitan acceder a las tareas que realizaba. En este punto vale destacar que nadie debe ser imprescindible ni para la Organizacin ni para un Centro de este tipo.
Objetivo
El objetivo de este procedimiento es establecer los pasos a seguir en los casos de empleados que, por determinado motivo, se desvinculan al CSIRT.
Alcance
El mismo se aplica a todos los empleados que finalicen su vnculo laboral con el CSIRT, ya sea por decisin
propia, por requerimientos legales o por decisin del Gerente del Equipo y o de la Organizacin.
Responsabilidades
El Gerente del CSIRT debe llevar el registro y mantenimiento referente a los permisos que se le han otorgado
as como tambin los permisos de acceso a salas restringidas, de manera de ga-rantizar que una vez finalizadas
todas las tareas de inhabilitacin, la persona no tendr ninguna posibilidad de acceso.
184
El Gerente del CSIRT debe realizar la solicitud a quien corresponda, de la baja de todos los permisos a los
distintos activos de informacin, aplicaciones, autorizaciones de acceso a salas restringidas, que el empleado
usufructe antes de la desvinculacin.
El Gerente del CSIRT debe solicitarle a la persona que se desvincula, toda documentacin, tar-jetas de acceso, y
otros dispositivos que pertenezcan a la Empresa; siendo responsable tam-bin de elaborar un Acta donde se
registren los elementos devueltos.
Es responsabilidad del Gerente del CSIRT, modificar las contraseas de los sistemas a los que acceda el involucrado una vez que ste se retire. Es responsabilidad de quien se desvincula del Equipo, reintegrar todas aquellas credenciales y dispositivos que se le otorgaron para desempear su trabajo.
Descripcin
El Gerente del CSIRT le requerir al empleado que cesa en sus funciones, que haga entrega de toda acreditacin que identifique con el Equipo del CSIRT y de la Organizacin para la que sirve, as como tambin todas
las tarjetas de acceso, llaves y dispositivos que posea. Se ela-borar un Acta que registre los elementos que
han sido devueltos por la persona que se retira del Equipo , la cual deber estar firmada por las dos partes. En
caso de que no puedan reco-lectarse elementos especficos tales como llaves o tokens, se deber implementar
un Plan de Contingencia adecuado.
Proceder a su vez a gestionar la solicitud de baja de los permisos y derechos de acceso que el empleado
tenga a todas las aplicaciones y accesos a salas en los edificios de la Empresa as como tambin a modificar las
contraseas de los sistemas. En caso de que se trate de un des-pido, se designar un miembro del Equipo para
que escolte a la persona involucrada en su reti-rada de las instalaciones del CSIRT.
El Gerente del CSIRT le recordar los documentos con los cuales se comprometi desde el momento de su
vinculacin y que esas responsabilidades no cesan frente a su partida.
4.2.7 Anexos
4
Ver Anexo 8.4
185
4.2.7.1 Perfiles requeridos

Si bien existen diferentes requerimientos, de acuerdo al cargo que se vaya a desempear den-tro del CSIRT, a
continuacin se expondrn las caractersticas que deben estar presentes, divi-dindolas de acuerdo al perfil
Gerencial y al Tcnico.
A su vez, distinguiremos los requisitos en tres grupos: capacidades personales, capacidades tcnicas y otros
requerimientos. El orden en que estn planteadas las mismas no hacen refe-rencia al nivel jerrquico de las
mismas.
4.2.7.1.1 Nivel Gerencial

Capacidades personales:
- Integridad. Es un valor especialmente importante para el Gerente del CSIRT, quien de-be tratar informacin
extremadamente sensible y que, en caso de ser utilizada de forma incorrecta, puede derivar en graves consecuencias.
- Capacidad de tomar decisiones. La calidad del servicio que brinde el Equipo, depende directamente de las
decisiones ms crticas que se tomen, las cuales muchas veces deben realizarse en momentos de estrs.
- Capacidad de Liderazgo. Estar al frente de un Centro de Respuesta a Incidentes Infor-mticos requiere una
personalidad que pueda persuadir a los miembros restantes del Equipo para realizar las acciones que considera apropiadas.
- Capacidad de comunicacin y de relacionamiento con las personas. El CSIRT es un grupo y debe actuar como
tal, por lo que la comunicacin es vital y as tambin los vnculos interpersonales que en l se generen. El rol
promotor del Gerente en este as-pecto es fundamental. Tambin es quien establece los mecanismos de Comunicacin en el resto del equipo, para con la Comunidad, en el relacionamiento con los medios y otros terceros.
- Gran resistencia al estrs. Las tareas que se desarrollan en el CSIRT generalmente es-tn acompaadas de un
alto nivel de estrs, ya sea por lo que involucra el incidente que se pretende resolver o por los tiempos necesarios para resolverlo. Como es el Gerente el que respalda todas las decisiones (especialmente las ms delicadas),
debe tener la capacidad de abstraerse del estrs y tomar las medidas adecuadas.
- Capacidad de dirigir y potenciar al resto del Personal. Adems del liderazgo, el Gerente de un CSIRT debe
tener la capacidad de identificar las reas en las que cada uno de los miembros es mejor y potenciarlos en ello,
sabiendo dirigirlos apropiadamente.
- Capacidad de coordinacin. Los tiempos que maneja un CSIRT para la resolucin de incidentes, muchas veces
son muy acotados, y la diversidad de las tareas que se deben cumplir agregan complejidad al tema. Por lo
tanto, la figura gerencial debe tener la ca-pacidad de distribuir en el tiempo las actividades que se deben
realizar, de la forma ms eficiente posible.
- Capacidad de delegar. Si bien es importante que el Gerente est involucrado en los te-mas ms complejos,
debe tener la capacidad de delegar tareas y saber discernir cules son las que requieren esencialmente su
participacin y cules no. Para ello debe confiar en su staff.
186
- Capacidad de mantener el control. Durante la direccin de un CSIRT, se viven situacio-nes de gran tensin y
que pueden involucrar diversos riesgos, incluso el de vida. Por ello, es fundamental que el Gerente del CSIRT
sea capaz de mantener el control en momentos tan difciles, para poder brindar el servicio de forma adecuada.
Competencias tcnicas:
- Conocimiento experto que permita dirigir todas las operaciones del CSIRT.
- Estar actualizado de forma permanente con los avances tecnolgicos y profundizar en el manejo de
los mismos, explorando sus vulnerabilidades.
- Amplio conocimiento y experiencia en tcnicas de intrusin.
- Saber las distintas tcnicas de comunicacin.
Otros requerimientos:
- Amplia experiencia laboral en seguridad de las TI.
- Disposicin a trabajar 24 horas al da, 7 das a la semana o de guardia.
- Conocimiento de la gestin de riesgos y sus aplicaciones prcticas.
4.2.7.1.2
Nivel Tcnico
Capacidades personales:
- Integridad. El personal del equipo debe ser confiable, discreto y capaz de manejar la in-formacin sensible de
manera confidencial; cumpliendo con las normas, las polticas or-ganizacionales y con los procedimientos
establecidos.
- Capacidad de tomar decisiones. Los servicios que brinda el CSIRT requieren mayor-mente respuestas y soluciones rpidas, para ello es indispensable ser capaz de decidir el modo de actuacin de forma expeditiva.
- Flexibilidad, creatividad y espritu de equipo. Los servicios que brinda un CSIRT se ba-san principalmente en
trabajos de equipo, por ello es muy importante el espritu de tra-bajo colectivo que tengan sus miembros, en
el cual cada uno aporte sus experiencias y conocimientos para el beneficio de todos. El ambiente tecnolgico
en el que trabaja un CSIRT, requiere que sus miembros sean flexibles a los cambios, pudindose adaptar fcilmente.
- Capacidad de comunicacin. Ya que los integrantes del CSIRT en la mayor parte de su trabajo deben comunicarse con su comunidad, con su propio equipo, otros equipos de respuesta, con una variedad de expertos
tcnicos, y otros individuos con distintos nive-les de conocimiento tcnico; es imprescindible que sepan
hacerse entender. A travs de una buena comunicacin se asegura que se obtiene y se transmite la informacin nece-saria; para saber qu est pasando, qu factores son importantes, qu acciones se de-ben realizar
y para transmitir en lo que se ha trabajado y la contribucin que pueden realizar los involucrados. Capacidad
de decir las palabras correctas a las personas co-rrectas.
* Comunicacin oral
* Comunicacin escrita
* Capacidad de realizar trabajo sistemtico, siguiendo polticas y procedimientos, tanto de la Organizacin como del Equipo de Respuesta. En esto es muy importante que cada uno comprenda la utilidad y el
motivo de cada procedimiento, y que tenga la posibilidad de aportar su visin en las actualizaciones de los
mismos.
- Resistencia al estrs. Deben ser capaces de darse cuenta cuando se ven envueltos en tales situaciones y
comunicarlo al resto del equipo, y tomar las decisiones adecuadas para recobrar la tranquilidad. Deben mantener la calma en situaciones de tensin.
- Mente abierta y ganas de aprender y de capacitarse. Los avances tecnolgicos constan-tes traen consigo el
requerimiento de actualizacin continua. Por ello es que resulta re-levante esta caracterstica, la que permite
acompasar los cambios que suceden y estar preparados para enfrentarlos.
- Capacidad de reconocer errores propios y/o limitaciones. Es importante saber los pro-pios lmites de cada
uno y especialmente en equipos como estos, donde es imprescin-dible el buen manejo de los incidentes.
- Diplomacia. La comunidad con la cual un CSIRT interacta tiene una gran variedad de objetivos y necesidades, as como tambin diversos niveles de conocimiento y formas de reaccionar frente a incidentes. Por lo
tanto, el staff de un CSIRT debe ser capaz de anticipar potenciales puntos de confrontacin y responder apropiadamente, mantenien-do buenas relaciones.
- Capacidad de solucionar problemas. Debido al tipo y al volumen de informacin al que est expuesto un
CSIRT, si no hay capacidad de discernimiento y de resolucin de pro-blemas por parte del staff, ste se puede
ver desbordado por la situacin. Para resolver un problema, debe saber delegar, y solicitar la contribucin de
otros; saber requerir ms informacin de otras fuentes, verificndola y sintetizndola.
- Detallista y analtico. El manejo de incidentes de carcter sensible requiere suma aten-cin a los detalles que
lo componen y una mente que analice los acontecimientos paso a paso; aunque sin perder la simplicidad en la
visin.
- Capacidad de administrar los tiempos de manera efectiva. Esto permite priorizar entre la gran diversidad de
tareas a las que estn sometidos los miembros de un CSIRT (tales como analizar, coordinar, responder a los
incidentes; preparar presentaciones, capaci-tarse, coordinar y realizar reuniones).
- Capacidad de realizar presentaciones. El alto nivel de intercambio con otras institucio-nes o personas fuera
del CSIRT requiere la capacidad por parte de sus miembros de realizar presentaciones tcnicas, informar a la
Alta Gerencia, presentarse en paneles de discusin, en conferencias, u otro tipo de exposiciones al pblico.
Competencias tcnicas:
- Conocimiento y entendimiento de los principios bsicos de la seguridad.
- Conocer vulnerabilidades de los sistemas.
- Conocer Internet, su historia, filosofa, estructura y la infraestructura que la sostiene.
- Protocolos de Red. Los miembros del CSIRT necesitan tener un bsico entendimiento sobre los protocolos,
sus especificaciones y cmo se utilizan. Tambin deben entender los tpicos ataques que stos pueden sufrir,
as como tambin saber las estrategias para mitigar o eliminarlos.
- Conocimiento sobre los servicios y las aplicaciones de redes.
- Entendimiento de los conceptos de seguridad de las redes as como tambin capacidad de reconocer puntos
vulnerables en las configuraciones de las mismas.
188
- Temas de seguridad de los servidores y sus sistemas operativos. Deben tener expe-riencia en utilizar los
distintos sistemas operativos y familiaridad en el manejo y mante-nimiento del sistema operativo, como
administrador.
- Entender los diferentes tipos de ataques mediante cdigos maliciosos.
- Para algunos de los miembros se requiere experiencia en programacin de redes y sis-temas.
Habilidades en el manejo de incidentes, habilidades asociadas a las actividades subyacentes del da a da.
- Deben reconocer las tcnicas de intrusin.
- Dada la importancia de la Comunicacin, ya mencionada, los miembros del staff deben saber las distintas
tcnicas de comunicacin.
- Ser capaces de realizar Anlisis de Incidentes y de realizar el mantenimiento de los in-cidentes registrados.
Otros requerimientos:
- Disposicin a cumplir regmenes de horario extensos cuando as se necesite, incluso trabajar con turnos de
guardia.
- Estabilidad econmica.
- Trabajar como testigo experto en caso de que se requiera, si su trabajo implica recolec-cin de evidencia
forense.
No hay un solo grupo de habilidades que sea adecuada al equipo de un CSIRT, stas varan en funcin de la
clase de equipo, de los incidentes que atienden, el tipo de tecnologas que utili-zan. A modo general se establecieron anteriormente las caractersticas fundamentales.
Una nota muy importante en este tema, es que ningn integrante debe ser indispensable. Para evitar ello, los
integrantes deben cumplir con los mayores requisitos posibles. Lo que es impor-tante es que el Gerente tenga
un suplente, con capacidades similares, que pueda tomar su lu-gar en caso de que ste no se encuentre
disponible.
4.2.7.2 Plan de capacitacin para los miembros del CSIRT

Como se ha mencionado previamente, contar con un Plan o Programa de Capacitacin para los miembros del
CSIRT es un fundamental para constituir un equipo con slidos conocimientos que pueda atender los requerimientos de su Comunidad de forma adecuada.
Este Programa debe abarcar aspectos de iniciacin, tanto respecto a Normas, Polticas y Procedimientos del
Equipo de la Organizacin de la que depende, as como en aspectos tcnicos primarios.
Introduccin:
- Lneas generales de la Comunidad para la cual trabajan.
- Historia y Organizacin del CSIRT, as como la misin, los objetivos y valores que se manejan internamente.
- Temas de confidencialidad y no revelacin de la informacin.
- Cdigo del Conducta.
- Polticas de uso aceptable.
- Visin general de los procedimientos de respuesta a incidentes y la gestin de Riesgos.
- Comunicacin con la Comunidad y con otros terceros, tanto por va oral como escrita.
- Polticas de relacionamiento con los medios.
189
Aspectos Tcnicos:
- Herramientas y procedimientos de clasificacin, correo electrnico y manejo de incidentes.
- Comunicaciones seguras.
- Incidentes de baja prioridad.
- Incidentes con alta prioridad.
Respecto al Manejo de incidentes:
- Creacin de un CSIRT
- Gestin del CSIRT
- Fundamentos del Manejo de Incidentes
- Manejo de Incidentes Avanzados
Referente a la Seguridad en las Redes
- Visin General de la creacin y la gestin del CSIRT
- Seguridad de la Informacin para el Staff Tcnico
- Seguridad de la Informacin Avanzada para el Staff Tcnico
Certificaciones:
- CISSP: Dominio de conocimiento en tecnologa y gerencia en Seguridad de la Informacin (www.isc2.org)
- CISM: Conocimiento en gerencia de Seguridad de la Informacin. (www.isaca.org)
- ABCP o CBCP: Conocimiento en planes y gestin de la continuidad de la operacin. (www.drii.org)
- CISA: Experiencia en auditora de sistemas. (www.isaca.org)
- ISO 27001 Lead Auditor: Conocimiento en auditora de sistemas de gestin en seguridad de la in-formacin
SGSI.
190
4.2.7.3 Modelo Compromiso de Confidencialidad

En la ciudad de ___________________________, a los __________________ das del mes
de_____________________ de dos mil______________ el Sr./Sra.
___________________________________________________, titular del documento N_________________,
en su carcter de miembro del ____________________________________ o de persona vinculada al mismo
cualquiera sea la naturaleza de su relacin, constituyendo domicilio para todos sus efectos en esta ciudad en la
calle ____________________________________, declara:
PRIMERO: Objeto del presente Acuerdo.En virtud de la prestacin de servicios de carcter laboral mencionada, el trabajador puede tener acceso a
instalaciones, dependencias, recursos, sistemas, documentos en soporte papel, documentos electrnicos,
soportes informticos, electrnicos y telemticos susceptibles de contener informacin considerada confidencial; frente a los que est obligado a mantener su sigilo, no divulgndola. sta comprender toda la informacin que, por su naturaleza o contenido, en caso ser expuesta pueda causar cualquier tipo de dao,
perjuicio o desventaja para el CSIRT o la Comunidad a la que pertenece o brinda sus servicios.
SEGUNDO: Obligaciones asumidas por la vinculacin con ___________________________
1- Se prohbe divulgar y se exige mantener estricta confidencialidad respecto de toda la informacin, documentos, contratos, propuestas y material del CSIRT que se confieran por escrito o se reciban verbalmente
durante las tareas ejecutadas en el cumplimiento de su labor.
2.- Adoptar medidas de seguridad razonables y prudentes para proteger la informacin reservada, incluyendo
sin limitarse a ello, las disposiciones de seguridad que se le instruyan al firmante, en concordancia con las
Polticas y Procedimientos de la Seguridad de la Informacin.
TERCERO: En caso de desvinculacin laboral.Tras la terminacin de la relacin labora, cualquiera sea su causa, mantendr su deber de sigilo y secreto
profesional respecto de la informacin confidencial a que haya tenido acceso durante el desempeo de sus
funciones.
CUARTO: Sancin por Incumplimiento.En caso de incumplimiento del presente compromiso, el CSIRT queda plenamente facultado para disponer las
medidas legales y reglamentarias que por derecho correspondan.
QUINTO: Definiciones:
a) Informacin Secreta: Datos que tienen asignados el mximo nivel de seguridad limitndose su acceso
dentro de la organizacin, y que requieren por su esencia un alto grado de integridad. Su divulgacin a
terceros no autorizados puede provocar severos impactos a la operativa e imagen del Equipo y/o Instituciones
involucradas.
b) Informacin Confidencial: Datos que tienen asignados un nivel de seguridad menos restrictivo que los
anteriores dentro de la organizacin en razn de ser menos sensibles.
c) Informacin de Uso Interno: Datos de carcter privativo al funcionamiento de la Institucin, que en el caso
de ser revelados a terceros pueden acarrear daos o ser utilizados por personas ajenas a la misma, para fines
particulares. El tratamiento de estos datos, slo pueden ser accesibles a los miembros del Equipo o personas
vinculadas al mismo que necesitan conocer o utilizar la informacin de un rea o sector en particular, inherentes a sus funciones.
d) Informacin Pblica: Esta categora incluye cualquier otra informacin que no se encuentre comprendida en
las anteriores, no requiriendo proteccin contra accesos no autorizados.
191
En seal de conformidad se suscriben dos ejemplares del mismo tenor, en lugar y fecha arriba indicados.
Firma
Contra firma
C.I. N.
192
4.2.7.4 Evaluaciones del Personal

La evaluacin de desempeo es el proceso por el cual se estima el rendimiento global del empleado, es un
procedimiento sistemtico y peridico de comparacin entre el desempeo de una persona en su trabajo y
una pauta de eficiencia (generalmente la descripcin y especifi-cacin del cargo). Es un sistema de apreciacin
del desempeo del individuo en el cargo y de su potencial de desarrollo. Por lo general, el evaluador suele ser
un supervisor o superior que conozca bien el puesto, generalmente el jefe directo.
Adems de mejorar el desempeo, muchas Instituciones utilizan esta informacin para deter-minar las compensaciones. Un buen sistema de evaluacin puede tambin identificar proble-mas. Las personas que se
desempean de manera insuficiente pueden poner en evidencia procesos equivocados de seleccin, orientacin y capacitacin, o puede indicar que el diseo del puesto o los desafos externos no han sido considerados en todas sus facetas.
Factores que generalmente se evalan:
- Conocimiento del trabajo
- Calidad del trabajo
- Relaciones con las personas
- Capacidad de iniciativa
- Capacidad de Cooperacin
- Capacidad analtica
Objetivos de la evaluacin de desempeo
- Para detectar necesidades de instruccin y perfeccionamiento.
- Para detectar el potencial de desarrollo del trabajador.
- Para aplicar incentivos salariales por buen desempeo.
- Para mejorar la comunicacin entre los distintos niveles de mando.
- Para auto-perfeccionamiento de los empleados.
Etapas de una Evaluacin.
- Definir objetivos
- Establecer a quien est dirigido.
- Determinar quin es el evaluador y quin revisar la evaluacin.
- Definir la Periodicidad.
- Elegir el mtodo.
- Capacitar al evaluador.
- Realizar la Evaluacin.
- Analizarla.
- Comunicar los resultados.
- Utilizar los resultados.
193
4.2.7.5
Modelo de Acta de Desvinculacin Laboral
ACTA DE DESVINCULACIN LABORAL.En la Ciudad de _______________________, a los_________________das del mes de _________________del

ao dos mil___________, comparece___________________________, titular del Documento
______________________, domiciliado/a en__________________________________________de esta Ciudad,
con motivo de la finalizacin de su vnculo laboral con_____________________________________; para hacer
entrega de los siguientes dispositivos que le haban sido entregados por motivos laborales:
Conforme con el Acto precedido, y recordando mi obligacin de mantener la confidencialidad de la informacin manejada durante dos aos ms,
FIRMA______________________________
CONTRAFIRMA______________________
194
4.2.7.6
Modelo de Registro de riesgos
DESCRIPCIN DEL RIESGO

- Nombre o ttulo del Riesgo
- Descripcin del Riesgo, incluyendo su alcance.
- Naturaleza del Riesgo, incluyendo detalles de la clasificacin del mismo y su impacto en el tiempo.
- Agentes involucrados en el Riesgo.
- Responsable de Riesgo.
- Probabilidad e impacto.
- Nivel de exposicin al Riesgo.
- Mecanismos de control existentes.
- Potenciales mejoras a realizar en los mecanismos de control.
- Recomendaciones de Mejora para la gestin del Riesgo.
- Responsabilidades para implementar las mejoras.
- Responsabilidades para auditar el cumplimiento del proceso
Tabla Comparativa de los Riesgos identificados
Descripcin del
Riesgo
Probabilidad
Impacto
Nivel de
Exposicin
Controles
existentes
195
5. Terminologa
Caja Fuerte
Una Caja Fuerte es un compartimiento de seguridad que ha sido in-ventado para que su
apertura sea muy difcil para personas no autori-zadas y as poder guardar elementos de valor.
Por lo general son fa-bricadas en un metal extremadamente duro, por lo que son muy pesa-das
y constan de un sistema de cierre que solo se puede abrir me-diante claves secretas, y que estas
claves pueden cambiarse para preservar ms an la seguridad.
Canales de
Comunicacin
Seguros
Se refiere a la transmisin protegida de la informacin compartida en-tre los diferentes equipos,

y no a la utilizacin adecuada de la informa-cin por los equipos.
CIAC
Computer Incident Advisory Capability (CIAC). Es un equipo asesor en capacidades de

incidentes computacionales del Departamento de Energa de los Estados Unidos.
Criptografa
Es el arte o ciencia de cifrar y descifrar informacin mediante tcnicas especiales y se emplea

frecuentemente para permitir un intercambio de mensajes que slo puedan ser ledos por
personas a las que van dirigidos y que poseen los medios para descifrarlos.
CSIRT
Segn CERT/CC, un Computer Security Incident Response Team (CSIRT). Es una organizacin
responsable de recibir reportes de inci-dentes de seguridad, analizarlos y responderlos.
DCS
Distributed Control System, Sistema de Control Distribuido ms cono-cido por sus siglas en
ingls DCS. Es un sistema de control por lo ge-neral un sistema de fabricacin, proceso o
cualquier tipo de sistema dinmico, en el que los elementos del tratamiento no son centrales en
la localizacin (como el cerebro), sino que se distribuyen en todo el sistema con cada compo
nente subsistema controlado por uno o ms controladores. Todo el sistema de los controladores
est conectada por redes de comunicacin y de monitoreo.
DES
Data Encryption Standard (DES). Es un algoritmo de cifrado, es decir, un mtodo para cifrar
informacin, y cuyo uso se ha propagado am-pliamente por todo el mundo. El algoritmo fue
controvertido al princi-pio, con algunos elementos de diseo clasificados, una longitud de clave
relativamente corta, y las continuas sospechas sobre la existen-cia de alguna puerta trasera para
la National Security Agency (NSA). Posteriormente DES fue sometido a un intenso anlisis
acadmico y motiv el concepto moderno del cifrado por bloques y su criptoanlisis.
DFN-CERT
Es una comunidad alemana de equipos de respuesta a emergencias que se dedica a la investi

gacin y educacin.
196
DNS
Domain Name System (DNS), Sistema de Nombre de Dominio. Es un sistema de nomenclatura

jerrquica para computadoras, servicios o cualquier recurso conectado al internet o a una red
privada. Este sistema asocia informacin variada con nombres de dominios asignado a cada uno
de los participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibles para
los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con
el propsito de poder localizar y direccionar estos equipos mundialmente.
FAQ
Frequently Asked Questions (FAQ), es el trmino Preguntas Frecuentes o preguntas ms

frecuentes. Se refiere a una lista de preguntas y respuestas que surgen frecuentemente dentro
de un determinado contexto y para un tema en particular.
FINGER
El servicio Finger (puerto 79, TCP) es un protocolo que proporciona informacin de los usuarios
de una mquina, estn o no conectados en el momento de acceder al servicio.
Firewall
Un Firewall o Cortafuego es una parte de un sistema o una red que est diseado para bloquear
el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de
un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el
trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios.
Firma Digital La Firma Digital hace referencia, en la transmisin de mensajes telemticos y en la gestin de
documentos electrnicos, a un mtodo criptogrfico que asocia la identidad de una persona o
de un equipo informtico al mensaje o documento. En funcin del tipo de firma, puede, adems,
asegurar la integridad del documento o mensaje.
FTP
File Transfer Protocol (FTP), Protocolo de Transferencia de Archivos. En informtica, es un proto

colo de red para la transferencia de archivos entre sistemas conectados a una red TCP
(Transmission Control Protocol), basado en la arquitectura cliente-servidor. Desde un equipo
cliente se puede conectar a un servidor para descargar archivos desde l o para enviarle archi
vos, independientemente del sistema operativo utilizado en cada equipo. El Servicio FTP es
ofrecido por la capa de Aplicacin del modelo de capas de red TCP/IP al usuario, utilizando
normalmente el puerto de red 20 y el 21.
Hardware
Es el conjunto de materiales que componen una computadora.
Hosting
El alojamiento web (en ingls web hosting) es el servicio que provee a los usuarios de Internet
un sistema para poder almacenar informacin, imgenes, vdeo, o cualquier contenido accesible
va Web. Los Web Host son compaas que proporcionan espacio de un servidor a sus clientes.
Hub
Un Hub o concentrador es un equipo de redes que permite conectar entre s otros equipos y
retransmite los paquetes que recibe desde cualquiera de ellos a todos los dems. Se han dejado
de utilizar debido al gran nivel de colisiones y trfico de red que propician.
ICMP
Internet Control Message Protocol (ICMP), Protocolo de Mensajes de Control de Internet. Es el

sub-protocolo de control y notificacin de errores del Protocolo de Internet (IP). Como tal, se usa
para enviar mensajes de error, indicando por ejemplo que un servicio determinado no est
disponible o que un router o host no puede ser localizado.
197
IDS
Intrusion Detection System (IDS), Sistema de Deteccin de Intrusos. Es un programa usado para
detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser
ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automticas. El IDS
suele tener sensores virtuales con los que el ncleo del IDS puede obtener datos externos
(generalmente sobre el trfico de red). El IDS detecta, gracias a dichos sensores, anomalas que
pueden ser indicio de la presencia de ataques o falsas alarmas.
IPS
Intrusion Prevention System (IPS), Sistema de Prevencin de Intrusos. Es un dispositivo que

ejerce el control de acceso en una red informtica para proteger a los sistemas computacionales
de ataques y abusos. La tecnologa de Prevencin de Intrusos es considerada por algunos como
una extensin de los Sistemas de Deteccin de Intrusos (IDS), pero en realidad es otro tipo de
control de acceso, ms cercano a las tecnologas cortafuegos.
NetBIOS
NetBIOS, "Network Basic Input/Output System". Es en sentido estricto, una especificacin de

interfaz para acceso a servicios de red, es decir, una capa de software desarrollado para enlazar
un sistema operativo de red con hardware especfico. Desde su creacin, NetBIOS se ha conver
tido en el fundamento de muchas otras aplicaciones de red.
NNTP
Network News Transport Protocol (NNTP), Protocolo para la Transferencia de Noticias en Red. Es
un protocolo inicialmente creado para la lectura y publicacin de artculos de noticias en
Usenet.
NTP
Network Time Protocol (NTP). Es un protocolo de Internet para sincronizar los relojes de los
sistemas informticos a travs de ruteo de paquetes en redes con latencia variable. NTP utiliza
UDP como su capa de transporte, usando el puerto 123. Est diseado para resistir los efectos
de la latencia variable.
Outsourcing La Subcontratacin es el proceso econmico en el cual una empresa determinada mueve o

destina los recursos orientados a cumplir ciertas tareas, a una empresa externa, por medio de un
contrato. Esto se da especialmente en el caso de la subcontratacin de empresas especializadas.
Para ello, pueden contratar slo al personal, en cuyo caso los recursos los aportar el cliente
(instalaciones, hardware y software), o contratar tanto el personal como los recursos.
PCS
Personal Comunication System (PCS), Servicio de Comunicacin Personal. Es el nombre dado

para los servicios de telefona mvil digital en varios pases y que operan en las bandas de radio
de 1800 o 1900 MHz.
PEM
Formato de archivo empleado para almacenar certificados digitales.
Pendrive
Una memoria USB (de Universal Serial Bus; en ingls Pendrive, USB Flash Drive) es un pequeo
dispositivo de almacenamiento que utiliza memoria flash para guardar la informacin que
puede requerir y no necesita bateras (pilas). La batera era necesaria en los primeros modelos,
pero los ms actuales ya no la necesitan. Estas memorias son resistentes a los rasguos
(externos), al polvo, y algunos al agua que han afectado a las formas previas de almacenami
ento porttil-, como los disquetes, discos compactos y los DVD. En Espaa son conocidas popu
larmente como pendrives o lpices USB.
198
POP
Post Office Protocol, (POP), Protocolo de la Oficina de Correo. En informtica se utiliza el POP3 en
clientes locales de correo para obtener los mensajes de correo electrnico almacenados en un
servidor remoto.
Proxy
En el contexto de las redes informticas, el trmino Proxy hace referencia a un programa o

dispositivo que realiza una accin en representacin de otro. Su finalidad ms habitual es la de
servidor proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organi
zacin cuando slo se puede disponer de un nico equipo conectado, esto es, una nica direc
cin IP.
Red de
Confianza
Es un ambiente de trabajo donde los usuarios registran las claves de otros usuarios para poder
establecer comunicaciones seguras entre sus pares.
Router
Router. Enrutador, Direccionador, Ruteador o Encaminador. Es un dispositivo para la interconex

in de redes informticas que permite asegurar el enrutamiento de paquetes entre redes o
determinar la ruta que debe tomar el paquete de datos.
SCADA
Supervisory Control and Data Acquisition (SCADA), Registro de Datos y Control de Supervisin.
Es una aplicacin de software especialmente diseada para funcionar sobre ordenadores
(computadores) en el control de produccin, proporcionando comunicacin con los dispositivos
de campo (controladores autnomos) y controlando el proceso de forma automtica desde la
pantalla del ordenador. Tambin provee de toda la informacin que se genera en el proceso
productivo a diversos usuarios, tanto del mismo nivel como de otros usuarios supervisores
dentro de la empresa (supervisin, control calidad, control de produccin, almacenamiento de
datos, etc.).
Segmento
de Red
Un segmento de red suele ser definido mediante la configuracin del hardware (comnmente
por Router o Switch) o una direccin de red especfica. Una gran red en una organizacin puede
estar compuesta por muchos segmentos de red conectados a la LAN principal llamada back
bone, que existe para comunicar los segmentos entre s.
Servidor Web Es un programa que implementa el protocolo HTTP (HyperText Transfer Protocol). Este protocolo
pertenece a la capa de aplicacin del modelo OSI y est diseado para transferir lo que llama
mos hipertextos, pginas Web o pginas HTML (HyperText Markup Language): textos complejos
con enlaces, figuras, formularios, botones y objetos incrustados como animaciones o
reproductores de msica.
SMTP
Simple Mail Transfer Protocol (SMTP), Protocolo Simple de Transferencia de Correo. Es un proto
colo de la capa de aplicacin. Protocolo de red basado en texto utilizado para el intercambio de
mensajes de correo electrnico entre computadoras u otros dispositivos (PDA's, telfonos
mviles, etc.). Est definido en el RFC 2821 y es un estndar oficial de Internet.
199
Software
Es el conjunto de programas que puede ejecutar el hardware para la realizacin de las tareas de
computacin a las que se destina.
Switch
Switch o Conmutador. Es un dispositivo digital de lgica de interconexin de redes de computa

dores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Su funcin es inter
conectar dos o ms segmentos de red, de manera similar a los puentes (bridges), pasando datos
de un segmento a otro de acuerdo con la direccin MAC de destino de las tramas en la red.
Telnet
Telnet (TELecommunication NETwork) es el nombre de un protocolo de red (y del programa

informtico que implementa el cliente), que sirve para acceder mediante una red a otra
mquina, para manejarla remotamente como si estuviramos sentados delante de ella. Para que
la conexin funcione, como en todos los servicios de Internet, la mquina a la que se acceda
debe tener un programa especial que reciba y gestione las conexiones. El puerto que se utiliza
generalmente es el 23.
TFTP
Trivial File Transfer Protocol (TFTP), Protocolo de Transferencia de Archivos Trivial. Es un proto
colo de transferencia muy simple semejante a una versin bsica de FTP. TFTP a menudo se
utiliza para transferir pequeos archivos entre ordenadores en una red, como cuando un
terminal X Window o cualquier otro cliente ligero arranca desde un servidor de red.
Usuario
Es la persona que utiliza o trabaja con algn objeto o que es destinataria de algn servicio
pblico, privado, empresarial o profesional.
VPN RPV
Virtual Private Network (VPN), Red Privada Virtual (RPV). Es una tecnologa de red que permite
una extensin de la red local sobre una red pblica o no controlada.
200
Web
World Wide Web, Red Global Mundial. Es la forma abreviada de referirse al conjunto de todas las
pginas que pueden consultarse en Internet.
Workflow
Workflow, Flujo de Trabajo. Es el estudio de los aspectos operacionales de una actividad de

trabajo: cmo se estructuran las tareas, cmo se realizan, cul es su orden correlativo, cmo se
sincronizan, cmo fluye la informacin que soporta las tareas y cmo se le hace seguimiento al
cumplimiento de las tareas.
201
6. Bibliografa
CAPITULO 1
West-Brown, Moira J.; Stikvoort, Don; & Kossakowski, Klaus-Peter. Handbook for Com-puter Security
Incident Response Teams (CSIRTs) (CMU/SEI-98-HB-001). Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, 1998.
Kossakowski, Klaus-Peter. Information Technology Incident Response Capabilities. Hamburg: Books on
Demand, 2001 (ISBN: 3-8311-0059-4).
G. Killcrece et al, Organizational Models for Computer Security Incident Teams
(CSIRTs), Handbook CMU/SEI-2003-HB-001, diciembre 2003.
N. Brownlee; E. Guttman. Expectations for Computer Security Incident Response. Junio 1998.
Killcrece, Georgia; Kossakowski, Klaus-Peter; Ruefle, Robin; & Zajicek, Mark. CSIRT Services List. Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon Universi-ty, 2002.
G. Killcrece et al, Organizational Models for Computer Security Incident Teams (CSIRTs), Handbook
CMU/SEI-2003-HB-001, diciembre 2003.
Kossakowski; Klaus-Peter & Stikvoort, Don. A Trusted CSIRT Introducer in Europe. Amersfoort, Netherlands: M&I/Stelvio, February, 2000. (see "Appendix E, Basic Set of Information").
West-Brown, Moira J.; Stikvoort, Don; Kossakowski, Klaus-Peter; Killcrece, Georgia; Ruefle, Robin; &
Zajicek, Mark. Handbook for Computer Security Incident Response Teams (CSIRTs) (CMU/SEI-2003-HB-002),
2003.
CAPITULO 2
[1] Grance, Tim; Kent Karen; Kim, Brian; Computer Security Incident Handling Guide. Recom-mendations of the
National Institute for Standards and Technology; NIST; January 2004
[2] Killcrece, Georgia; Kossakowski, Klaus-Peter; Ruefle, Robin; Zajicek, Mark; Organizational Models for Computer Security Incident Response Teams (CSIRTs); CMU/CEI-2003-HB-001
[3] UNAM-CERT. Taller de creacin de equipos de respuesta a incidentes.
[Kill03-2]
G. Killcrece et al, State of the Practice of Computer Security Incident Response Teams (CSIRTs),
Technical report, CMU/SEI-2003-TR-001, ESC-TR-2003-001, octubre 2003.
[West03]
West-Brown, Moira J.; Stikvoort, Don; Kossakowski, Klaus-Peter; Killcrece, Georgia; Ruefle, Robin;
& Zajicek, Mark. Handbook for Computer Security Incident Response Teams (CSIRTs) (CMU/SEI-2003-HB-002),
2003.
[Certuy06]
Misin, Comunidad Objetivo y Servicios CERTUY (Taller-CERTUY-002), 2006
202
CAPITULO 3
3.1
[CERT-hb]
M. West-Brown, D. Stikvoort, K. Kossakowski, G. Killcrece, R. Ruefle y M. Zajicek, Handbook for
Computer Security Incident Response Teams (CSIRTs), abril 2003. En lnea:
http://www.cert.org/archive/pdf/csirt-handbook.pdf. ltima visita: noviembre 2009.
[FIRST] Forum of Incident Response and Security Teams, http://www.first.org. ltima visita: noviembre 2009
[FIRST-TC]
FIRST Technical Colloquia, http://www.first.org/events/colloquia. ltima visita: noviembre 2009
[ISACA]
ISACA, http://www.isaca.org. ltima visita: noviembre 2009
[ISC2] International Information Systems Security Certification Consortium, Inc., http://www.isc2.org. ltima
visita: noviembre 2009
[PMI]
3.2
Project Management Institute, http://www.pmi.org. ltima visita: noviembre 2009
[18044]
ISO/IEC TR 18044:2004. Gestin de incidentes de la seguridad de la informa-cin.
[27001]
ISO/IEC 27001:2005. Sistemas de Gestin de la Seguridad de la Informacin Requisitos.
[27002]
ISO/IEC 27002:2005(17799). Cdigo de buenas prcticas para la gestin de la seguridad de la
informacin.
203
CAPITULO 4
4.1
ISO/IEC 27005 - Tecnologa de la informacin - Tcnicas de seguridad - Gestin del riesgo de seguridad de la
informacin
NORMA IRAM - ISO/IEC 27001 - Tecnologa de la informacin - Sistemas de gestin de seguri-dad de la informacin (SGSI) - Requisitos
NORMA IRAM - ISO/IEC 27002 - Tecnologa de la informacin - Tcnicas de Seguridad
Cdigo de prctica para la gestin de la seguridad de la informacin
MAGERIT versin 2
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin
NIST SP 800-30 - Risk Management Guide for Information Technology Systems
4.2
[Ministerio08] Informe Final para la constitucin de un CSIRT Colombiano- Modelo de Seguridad- Estrategia de
Gobierno en Lnea, 2008.
[RM] Risk Management and the HR Executive-Written by Valerie Frederickson, MS, CMP.
[RFC235098] RFC2350 - Expectations for Computer Security Incident Response, N. Brownlee, The University of
Auckland, 1998.
[Smi95]
Forming an Incident Response Team. Danny Smith. Australian Computer Emergency Response
Team, 1995.
[Castillo]
Procedimiento para la gestin de los Riesgos Laborales de forma integrada y con un enfoque de
procesos y su implicacin en los resultados econmicos, en la calidad de vida laboral y la productividad del
trabajo Ing. Lus Alberto Castillo Rosal
204
7. ANEXOS
205
Lacnic
Rambla Repblica de Mxico 6125
Montevideo C.P. 11400 Uruguay
Phone: + 598 2604 2222
ISBN: 978 - 9974 - 98 - 741 - 8
Edicin 2012

Manual Básico de Gestión de Incidentes de Seguridad Informática

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual Básico de Gestión de Incidentes de Seguridad Informática

Cargado por

Copyright:

Formatos disponibles

Manual bsico de:

Manual bsico de:

Acerca del Manual:

Autores del Manual bsico de Gestin de Incidentes de Seguridad Informtica

Autores de los Talleres de Gestin de Incidentes

Integrantes del Steering Committe del Proyecto AMPARO

Jos Luis Chvez Cortez 07/03/10 Integracin inicial.

Rubn Aquino Luna

09/03/10 Revisin del contenido y su indizacin en el docu-mento.

09/03/10 Revisin del contenido y su indizacin en el docu-mento.

09/03/10 Revisin del contenido y su indizacin en el docu-mento.

Ara Alvez Bou

09/03/10 Revisin del contenido y su indizacin en el docu-mento.

17/03/10 Revisin sobre la integracin final del documento.

26/07/12 Revisin sobre la integracin final del documento.

1.3.3 Creacin de un Presupuesto Preliminar de Inversin y Funcionamiento.......................................... 088

2.11.8 Planeacin de la continuidad del negocio.........................................................................................

4.2.7.1.2 Nivel Tcnico..................................................................................................................................

1. Lineamientos y acciones recomendadas para la formacin de un centro de respuesta a

1.1.1 Informacin bsica inicial

1.1.1.2 Qu se protege con un CSIRT?

Mientras que las infraestructuras de informacin estn segmentadas de la siguiente manera:

1.1.1.3.1 Publicando Polticas y Procedimientos CSIRT

1.1.1.3.2 Relaciones entre diferentes CSIRTs

1.1.1.3.3 Estableciendo medios de comunicacin seguros

1.1.1.4 Manejo de informacin, Procedimientos y Polticas

1.1.1.4.1 Descripcin de Histrico de Actualizacin del Documento

1.1.1.4.2 Informacin de Contacto

1.1.1.4.3 Descripcin del CSIRT

1.1.1.4.5.1 Respuesta a Incidentes

Evaluacin de Incidentes: por lo general incluye:

1.1.1.4.5.2 Actividades Proactivas

1.1.1.4.6 Formas de Noticacin de Incidentes

1.1.1.5 Personal que integra un CSIRT

1.1.2 Polticas de Seguridad Informtica

1.1.2.3 Parmetros para su establecimiento

1.1.2.4 Razones que impiden su aplicacin

Tabla 2: Polticas recomendadas para la implementacin de un CSIRT

Poltica de Seguridad: son las direc-trices y objetivos

- Alcances. (facilidades, sistemas y personas.)

- Denicin de Accesos y Procesos apropiados para el

Poltica para la clasicacin de los Datos: establecer

Poltica de Aislamiento de la Infor-macin: explica las

Tabla 2: Polticas recomendadas para la implementacin de un CSIRT

Poltica de Seguridad: son las direc-trices y objetivos

- Alcances. (facilidades, sistemas y personas.)

- Denicin de Accesos y Procesos apropiados para el

Poltica para la clasicacin de los Datos: establecer

Poltica de Aislamiento de la Infor-macin: explica las

Poltica de Noticacin de Inciden-tes: dene los

Poltica de Comunicacin Externa: explica las normas

Poltica de Entrenamiento y Capaci-tacin: detalla

Poltica de Tratamiento de Grandes Actividades:

Poltica de Error Humano: detalla las directrices o

Poltica de Seleccin de Personal: dene los criterios

Poltica de Despido: dene los crite-rios que aplica la

- Descripcin consistente respecto a los nes de la

Poltica de Uso del Correo Electr-nico: establece los

Poltica de la Seguridad de la Red de

Poltica de tele conmutacin de la informacin:

Poltica de uso de dispositivo mviles: descripcin de

- Control de ediciones y accesos.

Poltica de la Seguridad de los

- Gestin de continuidad de negocio: denicin de planes de continuidad, anlisis de impacto, simulacros de