Está en la página 1de 8

Universidad Nacional Abierta y a Distancia

Escuela de Ciencias Básicas de Tecnología e Ingeniera


Especialización en Seguridad Informática
Escenario propuesto como alternativa de trabajo de grado
Propuesta para el desarrollo de la alternativa de grado como Proyecto
Aplicado

Escenario Dos (Enfoque Directivo - Administrativo)

Cibersecurity de Colombia LTDA, es una empresa Colombiana que presta servicios


de seguridad para la protección de la Información. Su propósito para el año 2021 es
consolidarse como un Centro de Respuesta a Incidentes Cibernéticos en el ámbito de
CSIRT.
Este buscará crear y gestionar las funciones de respuesta a incidentes cibernéticos,
ofreciendo servicios que permitan dar soporte a sus clientes teniendo presente el nivel
de servicio contratado los cuales pueden ser de respuesta a incidentes o de gestión a
vulnerabilidades.
Dado que la empresa Cibersecurity de Colombia LTDA cuenta con Usted dentro del
equipo de trabajo, se le ha asignado la tarea de liderar el diseño documental que permita
dar desarrollo a las actividades propias del CSIRT.
A continuación se mencionan los requerimientos mínimos los cuales deberá presentar
para ser aprobada su propuesta, teniendo presente que esta será desarrollada en dos
etapas:
Primer Etapa Proyecto de Seguridad Informática I:
Actividad Entregable Momento de Entrega
Definir el ámbito de actuación del Documento que contenga panorama actual Curso Proyecto de
CSIRT de CiberSeguridad en Colombia en los Seguridad Informática I
últimos tres (3) años.

Estudio de factibilidad indicado que ámbito


y el ¿porque? de la actuación del CSIRT
Creación de la Taxonomía de Taxonomía de ataques relevantes a partir Curso Proyecto de
ataques para la actuación del del documento de panorama actual Seguridad Informática I
CSIRT
Catálogo de servicios del CSIRT Curso Proyecto de
Definir los tipos de servicios Seguridad Informática I
“proactivos y reactivos” del CSIRT
además de los posibles servicios
complementarios que se podrían
ofertar.

Segunda Etapa Proyecto de Seguridad Informática II:


Actividad Entregable Momento de Entrega
Definir requisitos y perfiles del Caracterización y manual de funciones de Curso Proyecto de
equipo de trabajo para la los perfiles del equipo de trabajo del CSIRT Seguridad Informática II
conformación del CSIRT
Políticas y Procedimientos Manual de Políticas y Procedimientos Curso Proyecto de
Operacionales Operacionales, de obligatoriedad Seguridad Informática II
Política de:
• Clasificación de Información
• Protección de datos
• Retención de Información
• Destrucción de Información
• Divulgación De Información
• Acceso a la Información
• Uso apropiado de los sistemas del
CSIRT
• Definición de Incidentes de
Seguridad y Política de Eventos
• Gestión de Incidentes
• Cooperación

Definir la estructura orgánica Estructura Orgánica del CSIRT Curso Proyecto de


sugerida para el CSIRT Seguridad Informática II
Productos a entregar en la Primera Etapa:
Curso Proyecto de Seguridad Informática I
Pre tarea Generalidades sobre Seguridad Informática e identificación
de las temáticas de interés por parte de la comunidad
científica relacionadas con esta área del conocimiento
Tarea 1 Formato F-7-9-1 de propuesta de proyecto aplicado
Tarea 2 Elaboración de la propuesta de trabajo de grado
desarrollados como mínimo el 50% de los objetivos
específicos
Presentación y Sustentación de la propuesta de trabajo de
grado
Postarea Mejoras al documento final y anexos

Como evidencia de la apropiación del conocimiento en el curso de Curso Proyecto de


Seguridad Informática I, deberá sustentar el trabajo realizado, para lo cual cada
equipo de trabajo presentara las siguientes actividades:

1. El equipo de trabajo deberá elaborar un video donde se observen las actividades


realizadas durante el desarrollo del proyecto para dar solución al escenario
propuesto. En el video debe aparecer la cámara del estudiante, y su duración debe
ser de máximo de 20 minutos, conteniendo los siguientes puntos.

• Presentación del equipo de trabajo (aprox. 1 min).


• Análisis rápido del caso de estudio (aprox. 2 min).
• Normatividad analizada desde su posición para dar solución al caso (aprox. 3 min).
• Herramientas identificadas para el desarrollo del caso (aprox. 3 min).
• Desarrollo de los requerimientos (aprox. 9 min).
• Conclusiones (aprox. 1 min).
• Recomendaciones (aprox. 1 min).

El video deberá de ser publicado en cualquier plataforma de video, obtener su enlace,


verificando su adecuado funcionamiento y adjuntándolo como anexo en la propuesta de
trabajo de grado.
Productos a entregar en la Segunda Etapa:
Curso Proyecto de Seguridad Informática II
Pre tarea Propuesta aprobada por comité de Investigación
Video Presentando la opción de grado seleccionada en el
curso de Proyecto de Seguridad Informática I
Tarea 1 Entrega del desarrollo del 50% del desarrollo de los
objetivos específicos del escenario seleccionado en el curso
de Proyecto de Seguridad Informática I
Tarea 2 Entrega de la propuesta de grado desarrollada en un 100%
Postarea Mejoras al documento final y anexos

Como evidencia de la apropiación del conocimiento Curso Proyecto de Seguridad


Informática II, deberá sustentar el trabajo realizado, para lo cual cada equipo de
trabajo presentara las siguientes actividades:

2. El equipo de trabajo deberá elaborar un video donde se observen las actividades


realizadas durante el desarrollo del proyecto para dar solución al escenario
propuesto. En el video debe aparecer la cámara del estudiante, y su duración debe
ser de máximo de 20 minutos, conteniendo los siguientes puntos.

• Presentación del equipo de trabajo (aprox. 1 min).


• Análisis rápido del caso de estudio (aprox. 2 min).
• Normatividad analizada desde su posición para dar solución al caso (aprox. 3 min).
• Herramientas identificadas para el desarrollo del caso (aprox. 3 min).
• Desarrollo de los requerimientos (aprox. 9 min).
• Conclusiones (aprox. 1 min).
• Recomendaciones (aprox. 1 min).

El video deberá de ser publicado en cualquier plataforma de video, obtener su enlace,


verificando su adecuado funcionamiento y adjuntándolo como anexo en la propuesta de
trabajo de grado.
Materia de Apoyo

West-Brown, M., Stikvoort, D., Kossakowski, K., Killcrece, G., Ruefle, R. & Zajicek. M (2003). Handbook
for Computer Security Incident Response Teams (CSIRTs). Pittsburgh. Carnegie Mellon

OEA. (2016). Buenas Prácticas para establecer un CSIRT nacional. Recuperado de


https://www.sites.oas.org/cyber/Documents/2016 - Buenas Practicas CSIRT.pdf

Asobancaria. (2018). Implementación y puesta en marcha CSIRT para el sector financiero. Recuperado de
https://www.asobancaria.com/wp-content/uploads/CSIRT-Financiero-Asobancaria-julio-2018.pdf

Ministerio de Tecnologías de la Información y las Comunicaciones, Ministerio de Defensa Nacional,


Dirección Nacional de Inteligencia, D. N. de P. (2016). POLITICA NACIONAL DE SEGURIDAD
DIGITAL. Recuperado de https://colaboracion.dnp.gov.co/CDT/Conpes/Económicos/3854.pdf

PLANEACIÓN, DEPARTAMENTO NACIONAL DE, Ministerio de Tecnologías de la Información y las


Comunicaciones, S. de I. y C. (2018). POLÍTICA NACIONAL DE EXPLOTACIÓN DE DATOS (BIG
DATA). Recuperado de https://colaboracion.dnp.gov.co/CDT/Conpes/Económicos/3920.pdf

Huertas, L. (2016). Estructura interna de un CSIRT. [Video Youtube] Recuperado de


https://www.youtube.com/watch?v=RaBp3qsxQYY

Balderrama, J. (2017). Como crear un CSIRT Fundamentos. [Video Youtube] Recuperado de


https://www.youtube.com/watch?v=2huboveQFLs

FIRST.org. (2019). Forum of Incident Response and Security Teams, por sus siglas en inglés. Recuperado de
https://www.first.org/

G, f i r s t . o r. (2016). Foro sobre los equipos de seguridad e intervención 2 en caso de incidente


(FIRST.Org). Recuperado de
https://www.first.org/education/FIRST_SIRT_Services_Framework_Version1.0-es.pdf

DE LA TORRE MOSCOSO, H. M., & PARRA ROSERO, M. A. (2018). ESTRATEGIA Y DISEÑO DE UN


EQUIPO DE RESPUESTA ANTE INCIDENTES DE SEGURIDAD INFORMÁTICA (CSIRT)
ACADÉMICO PARA LA UNIVERSIDAD DE LAS FUERZAS ARMADAS ESPE (Universidad de las
Fuerzas Armadas). Retrieved from file:///C:/Users/luis.zambrano/Downloads/T-ESPE-
040447_unlocked.pdf
Normograma

Norma Descripción

Ley 527 de 1999 Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del
(Comercio comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación
electrónico) y se dictan otras disposiciones.

Ley 1273 de 2009 Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado -
denominado “de la protección de la información y de los datos”- y se preservan integralmente
los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras
disposiciones

Ley 1341 de 2009 Por la cual se definen Principios y conceptos sobre la sociedad de la información y la
(Sector TIC) organización de las Tecnologías de la Información y las Comunicaciones -TIC-, se crea la
Agencia Nacional del Espectro y se dictan otras disposiciones

Decreto 1727 de 2009 Por el cual se determina la forma en la cual los operadores de los bancos de datos de
(Habeas Data) información financiera, crediticia, comercial, de servicios y la proveniente de terceros países,
deben presentar la información de los titulares de la información

Decreto 1704 de Interceptación Legal de comunicaciones


2012

Decreto ley 019 de Entidades de certificación digital


2012

NTC ISO/IEC 27005 catálogo de amenazas y vulnerabilidades

NTC ISO 31000 gestión del riesgo

NTC 5722 requisitos para que las empresas implanten, mantengan y mejoren un sistema de gestión de
continuidad de negocio

ISO IEC/27031 conceptos y principios de la disponibilidad de tecnología de información y comunicación (TIC)


para la continuidad del negocio

ISO IEC/27032 estandarización de los lineamientos para aplicar y mejorar el estado de ciberseguridad

ISO IEC/27035 Gestión de incidentes de seguridad de la información

ISO IEC/27014:2013 conceptos y principios para el gobierno de la seguridad de la información

ISO IEC/38500 Estándar que fija unos objetivos básicos para un buen gobierno de los procesos y decisiones
empresariales relacionadas con los servicios de TI

Magerit Metodología de análisis y gestión de riesgos de los sistemas de información


versión 3

Octave la evaluación de riesgos

NIST 800-30/-39 Metodología para la gestión de riesgos


MIPG modelo integrado de planeación y gestión

Nist Estándar mundial para la seguridad de los sistemas de control industrial

MISP Opensource Threat Intelligence Plataform & Open Standards for Threat Information Share
“Compartir información mediante una plataforma de inteligencia de amenazas”

STIX, TAXII, Cybox Intercambio automatizado global de amenazas.