CAPITULO 1

Lineamientos y Acciones Re-

comendadas para la Forma-
ción de un Centro de Res-
puesta a Incidentes de Segu-
ridad Informática

Página 13
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
Información del Capítulo 1
NOMBRE DOCUMENTO: Lineamientos y acciones recomendadas para la
formación de un centro de respuesta a incidentes de
seguridad informática.

FECHA DE CREACIÓN: Guatemala, 16 de Septiembre de 2009.

AUTOR: Ing. José Luis Chávez Cortez

AUTORIZADO POR: Ing. Eduardo Carozo

VERSIÓN DOCUMENTO: 1.0

TIPO DE DOCUMENTO: CONFIDENCIAL

Página 14
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
1. Lineamientos y acciones recomendadas para la formación de un centro de
respuesta a incidentes de seguridad informática

1.1 Recomendaciones organizacionales y normativas para la integración de un

CSIRT en la organización
A continuación se presenta un marco de información que tiene total vinculación con el proceso
organizacional y normativo para la integración de un CSIRT en una organización.

Inicia con la descripción de la información básica que debemos saber sobre un CSIRT, pasan-
do luego por las definiciones de las políticas de seguridad informáticas, gestión de incidentes y
recomendaciones de posibles escenarios de inserción dentro de la organización.

1.1.1 Información básica inicial

En el pasado ha habido equivocaciones que se han producido respecto a qué esperar de un
CSIRT. El objetivo de esta sección es proporcionar un marco para la presentación de los te-
mas más importantes (relacionados con la respuesta de incidentes) que son de interés.

1.1.1.1 Introducción
Antes de continuar, es importante comprender claramente lo que se entiende por el término
"Equipo de Respuesta a Incidentes de Seguridad Informática". Para los propósitos de este do-
cumento, un CSIRT es un equipo que ejecuta, coordina y apoya la respuesta a incidentes de
seguridad que involucran a los sitios dentro de una comunidad definida. Cualquier grupo que
se autodenomina un CSIRT debe reaccionar a incidentes de seguridad reportados así como a
las amenazas informáticas de “su” comunidad.

Puesto que es vital que cada miembro de una comunidad sea capaz de entender lo que es ra-
zonable esperar de su equipo, un CSIRT debe dejar claro que pertenece a su comunidad y de-
finir los servicios que el equipo ofrece. Además, cada CSIRT debe publicar sus políticas y pro-
cedimientos de operación. Del mismo modo, estos mismos componentes necesitan saber qué
se espera de ellos para que puedan recibir los servicios de su equipo. Esto requiere que el
equipo también publique cómo y dónde reportar los incidentes.

Se detalla la información que debe tener en un documento base que será utilizada por un
CSIRT para comunicar datos relevantes de información a sus integrantes. Los componentes
de seguridad ciertamente deben esperar que un CSIRT les preste los servicios que describen
en la plantilla completa. Es preciso enfatizar que sin la participación activa de los usuarios, la
eficacia de los servicios de un CSIRT puede ser disminuido considerablemente. Este es parti-
cularmente el caso con los informes. Como mínimo, los usuarios necesitan saber que deben
informar los incidentes de seguridad, saber cómo y dónde deben reportarlos.

Muchos incidentes de seguridad informática se originan fuera de los límites de la comunidad

local y afectan a los sitios en el interior, otros se originan dentro de la comunidad local y afectan
a los anfitriones o los usuarios en el exterior. A menudo, el manejo de incidentes de seguridad
Página 15
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
requerirá varios sitios y un CSIRT para la resolución de casos que requieran este nivel de cola-
boración. Las comunidades necesitan saber exactamente cómo su CSIRT estará trabajando
con otros CSIRTs y organizaciones fuera de sus comunidades, y qué información será compar-
tida.

El resto de esta sección describe el conjunto de temas y cuestiones que un CSIRT necesita
elaborar para sus integrantes. Sin embargo, no se trata de especificar la respuesta "correcta" a
cualquier área de un tema. Más bien, cada tema se discute en términos de lo que este signifi-
ca.

También se presenta un panorama general de las tres áreas principales:

• La publicación de la información por un equipo de respuesta.

• La definición de respuesta del equipo con relación a la respuesta de otros equipos.

• Y, la necesidad de comunicaciones seguras.

Para concluir con la descripción en detalle de todos los tipos de información que la comunidad
necesita saber acerca de su equipo de respuesta.

1.1.1.2 ¿Qué se protege con un CSIRT?

Un equipo de respuesta debe de tener como objetivo proteger infraestructuras críticas de la in-
formación, en base al segmento de servicio al que esté destinado así deberá de ser su alcance
para cubrir requerimientos de protección sobre los servicios que brinda. El CSIRT debe de
brindar servicios de seguridad a las infraestructuras críticas de su segmento básicamente.

Las infraestructuras críticas en un país están distribuidas en grandes sectores, los cuales pue-
den ser:

• Agricultura.

• Energía.

• Transporte.

• Industrias.

• Servicios Postales.

• Suministros de Agua.

• Salud Pública.

• Telecomunicaciones.

• Banca / Finanzas.

Página 16
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Gobierno.

Mientras que las infraestructuras de información están segmentadas de la siguiente manera:

• Internet: servicios Web, Hosting, correo electrónico, DNS, etc.

• Hardware: servidores, estaciones de trabajo, equipos de red.

• Software: sistemas operativos, aplicaciones, utilitarios.

• Sistemas de Control: SCADA, PCS/DCS.

1.1.1.3 Alcance
Las interacciones entre un equipo de respuesta a incidentes y los integrantes del equipo de
respuesta de la comunidad requieren:

• Que la comunidad entienda las políticas y los procedimientos del equipo de respuesta.

• Que muchos equipos de respuesta colaboran para manejar incidentes, la comunidad

también debe entender la relación entre su equipo de respuesta y otros equipos.

• Y por último, muchas interacciones se aprovecharán de las infraestructuras públicas

existentes, de modo que la comunidad necesita saber cómo las comunicaciones serán
protegidas.

Cada uno de estos temas se describe con más detalle a continuación.

1.1.1.3.1 Publicando Políticas y Procedimientos CSIRT

Cada usuario que tiene acceso a un Equipo de Respuesta a Incidentes de Seguridad Cibernéti-
ca debe saber tanto como sea posible sobre los servicios e interacciones de este equipo mucho
antes de que él o ella en realidad los necesiten.

Una declaración clara de las políticas y procedimientos de un CSIRT ayuda al integrante a

comprender la mejor manera de informar sobre los incidentes y qué apoyo esperar después.
¿El CSIRT ayudará a resolver el incidente? ¿Va a proporcionar ayuda a evitar incidentes en el
futuro? Claro que las expectativas, en particular de las limitaciones de los servicios prestados
por un CSIRT, harán que la interacción sea más eficiente y efectiva.

Existen diferentes tipos de equipos de respuesta, algunos grupos son muy amplios (por ejem-
plo, CERT Centro de Coordinación de Internet), otros grupos más limitados (por ejemplo, DFN-
CERT, CIAC), y otras tienen grupos muy restringidos (por ejemplo, equipos de respuesta co-
mercial, equipos de respuesta corporativos). Independientemente del tipo de equipo de res-
puesta, la comunidad debe de apoyar el estar bien informados sobre las políticas de su equipo

Página 17
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
y procedimientos. Por lo tanto, es obligatorio que los equipos de respuesta publiquen esa in-
formación.

Un CSIRT debe comunicar toda la información necesaria acerca de sus políticas y servicios en
una forma adecuada a las necesidades de sus integrantes. Es importante comprender que no
todas las políticas y procedimientos deben ser accesibles al público. Por ejemplo, no es nece-
sario entender el funcionamiento interno de un equipo con el fin de interactuar con él, como
cuando se informa de un incidente o recibir orientación sobre cómo analizar y asegurar uno de
los sistemas.

En el pasado, algunos de los equipos suministraban en una especie de Marco Operacional,

otras proporcionaban una lista de Preguntas Frecuentes (FAQ), mientras que otros escribieron
documentos para su distribución en conferencias de usuarios o boletines enviados.

Recomendamos que cada CSIRT publique sus directrices y procedimientos en su propio servi-
dor de información (por ejemplo, un servidor de World Wide Web). Esto permitiría a los inte-
grantes acceder fácilmente a ella, aunque el problema sigue siendo cómo una persona puede
encontrar su equipo, la gente dentro de la comunidad tiene que descubrir que hay un CSIRT “a
su disposición".

Se prevé que las plantillas de información de un CSIRT pronto se convertirán en resultados de

búsquedas por los distintos motores de búsqueda modernos, lo que ayudará en la distribución
de información sobre la existencia del CSIRT y la información básica necesaria para acercarse
a ellos.

Independientemente de la fuente de la que se recupera la información, el usuario de la plantilla

debe comprobar su autenticidad. Es altamente recomendable que esos documentos vitales
sean protegidos por firmas digitales. Esto permitirá al usuario verificar que la plantilla fue de
hecho publicada por el CSIRT y que no ha sido manipulada (se asume que el lector está fami-
liarizado con el uso adecuado de las firmas digitales para determinar si un documento es autén-
tico).

1.1.1.3.2 Relaciones entre diferentes CSIRTs

En algunos casos, un CSIRT puede ser capaz de operar eficazmente por sí mismo y en estre-
cha colaboración con sus integrantes. Pero con las redes internacionales de hoy en día es mu-
cho más probable que la mayoría de los incidentes a cargo de un CSIRT participarán partes
externas a él. Por lo tanto, el equipo tendrá que interactuar con otros CSIRTs y sitios fuera de
su comunidad.

La comunidad debe comprender la naturaleza y el alcance de esta colaboración, como infor-

mación muy sensible acerca de los componentes individuales pueden ser divulgados en el pro-
ceso.

La colaboración entre los CSIRTs podría incluir las interacciones al preguntarle a los otros
equipos de asesoramiento, la difusión de conocimiento de los problemas y trabajar en coopera-
ción para resolver un incidente de seguridad que afectan a uno o más comunidades de los
CSIRTs.

Página 18
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
Al establecer relaciones de apoyo de tales interacciones, CSIRT debe decidir qué tipo de
acuerdos puede existir entre ellos para compartir, sin embargo, a salvaguardar la información,
si esta relación puede ser divulgada, y si es así a quién.

Tenga en cuenta que hay una diferencia entre un acuerdo de interconexión, donde los CSIRTs
implicados estén de acuerdo para trabajar juntos y compartir la información y la cooperación
simple, donde un CSIRT (o cualquier otra organización) simplemente pide ayuda o consejo a
otro contacto de CSIRT. Aunque el establecimiento de estas relaciones es muy importante y
afectan a la capacidad de un CSIRT en apoyo de su comunidad corresponde a los grupos im-
plicados decidir sobre los detalles específicos.

Está fuera del alcance de este documento el hacer recomendaciones para este proceso. Sin
embargo, el mismo conjunto de intercambio de información que se utiliza para fijar las expecta-
tivas de una comunidad de usuarios ayudará a las demás partes para comprender los objetivos
y los servicios de un CSIRT específico para ser un punto de apoyo ante un eventual incidente.

1.1.1.3.3 Estableciendo medios de comunicación seguros

Una vez que una de las partes ha decidido compartir información con otro equipo, todas las
partes implicadas necesitan garantizar canales de comunicación seguros.

Los objetivos de la comunicación segura son:

• Confidencialidad: ¿Puede alguien acceder al contenido de la comunicación?

• Integridad: ¿Puede alguien manipular el contenido de la comunicación?

• Autenticidad: ¿Estoy comunicado con la persona "correcta"?

Es muy fácil de enviar falsos e-mail, y no es difícil establecer una identidad falsa por teléfono.
Las técnicas criptográficas, por ejemplo, PGP (Pretty Good Privacy) o PEM (Privacy Enhanced
Mail) pueden proporcionar formas eficaces de asegurar el correo electrónico, además con el
equipo correcto, también es posible garantizar la comunicación telefónica. Pero antes de utili-
zar estos mecanismos, ambas partes necesitan de la infraestructura "correcta", es decir, la pre-
paración de antemano. La preparación más importante es garantizar la autenticidad de las cla-
ves criptográficas utilizadas en la comunicación segura:

• Claves Públicas (PGP y PEM): debido a que son accesibles a través de Internet, las
claves públicas deben ser autenticadas antes de ser utilizadas. PGP se basa en una
"Red de Confianza" (donde los usuarios registran las claves de otros usuarios) y PEM
se basa en una jerarquía (donde las autoridades de certificación firman las claves de los
usuarios).

• Claves Secretas (DES y PGP / cifrado convencional): debido a que estos deben cono-
cer tanto al emisor y el receptor, las claves secretas deben ser cambiadas antes de la
comunicación a través de un canal seguro.

La comunicación es fundamental en todos los aspectos de respuesta a incidentes. Un equipo

puede apoyar de la mejor manera el uso de las técnicas antes mencionadas, reuniendo toda la
Página 19
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
información necesaria de una manera coherente. Requisitos específicos (tales como llamar a
un número específico para comprobar la autenticidad de las claves) debe quedar claro desde el
principio.

No está dentro del alcance de esta sección el resolver los problemas técnicos y administrativos
de las comunicaciones seguras. El punto es que los equipos de respuesta deben apoyar y uti-
lizar un método que permita la comunicación entre ellos y sus integrantes (u otros equipos de
respuesta). Cualquiera que sea el mecanismo, el nivel de protección que ofrece debe ser
aceptable para la comunidad que lo utiliza.

1.1.1.4 Manejo de información, Procedimientos y Políticas

Es muy importante que las políticas y procedimientos de un equipo de respuesta sean publica-
dos en su comunidad. En esta sección se listan todos los tipos de información que la comuni-
dad necesita recibir de su equipo de respuesta. La forma de hacer llegar esta información a la
comunidad difiere de un equipo a otro, así como el contenido de la información específica. El
objetivo aquí es describir claramente los diversos tipos de información que un componente de
la comunidad espera de su equipo de respuesta. Lo más importante es que un CSIRT tenga
una política y que los que interactúan con el CSIRT sean capaces de obtenerla y entenderla.

Este esquema debe ser visto como una sugerencia. Cada equipo debe sentirse libre para in-
cluir todo aquello que cree que es necesario para apoyar a su comunidad.

1.1.1.4.1 Descripción de Histórico de Actualización del Documento

Es importante detallar que tan reciente es un documento. Además, se recomienda proporcio-
nar información sobre cómo obtener información sobre futuras actualizaciones o cambios de
versión. Sin esto, es inevitable que los malentendidos y las ideas erróneas surjan con el tiem-
po, los documentos obsoletos pueden hacer más daño.

Se recomienda tener en cuenta los siguientes puntos:

• Fecha de la última actualización: esto debería ser suficiente para permitir que cual-
quier persona interesada evalué la vigencia del documento.

• Si se considera conveniente y adecuado, podría ser oportuno versionar el documento.

• Lista de distribución: las listas de correo son un mecanismo conveniente para distri-
buir información actualizada a un gran número de usuarios. Un equipo puede decidir
utilizar su propia lista o bien una ya existente para la notificación de cambios a los usua-
rios. La lista normalmente es integrada por grupos del CSIRT con los que se tienen in-
teracciones frecuentes. Las firmas digitales se deben utilizar para enviar mensajes de
actualización entre CSIRTs.

• Ubicación del documento: la ubicación de un documento debe de ser accesible a

través de los servicios de información en línea de cada equipo en particular. Los inte-
grantes de cada grupo pueden fácilmente obtener más información sobre el equipo y

Página 20
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 comprobar si las actualizaciones son recientes. Esta versión en línea también debería ir
acompañada de una firma digital.

1.1.1.4.2 Información de Contacto

Los detalles completos de cómo ponerse en contacto con el CSIRT deben describirse, aunque
esto podría ser muy diferente para los diferentes equipos. En algunos casos como ejemplo,
podrían decidir no dar a conocer los nombres de los miembros de su equipo.

A continuación se listan las piezas de información que son recomendables de detallar:

• Nombre del CSIRT.

• Dirección física (Ubicación).

• Dirección(es) de Correo(s) Electrónico(s).

• Zona horaria: esto es útil para la coordinación de los incidentes en el cual se cruzan
zonas horarias.

• Número de teléfono y fax.

• Otras telecomunicaciones: algunos equipos pueden ofrecer comunicaciones de voz

segura.

• Las claves públicas y el cifrado: el uso de técnicas específicas depende de la capaci-

dad de los socios de comunicación para tener acceso a los programas, claves, etc. La
información pertinente debe darse a manera de facilitar a los usuarios la habilitación del
canal de comunicación cifrado respectivo cuando interactúe con el CSIRT.

• Los miembros del equipo: información discrecional del grupo. (Si aplicase.)

• Horario de atención: el horario de funcionamiento semanal (8x5 o 7x24) y calendario

de vacaciones deberá indicarse aquí.

• Información Adicional del Contacto.

El nivel de detalle de esta información queda a criterio de cada grupo. Esto podría incluir dife-
rentes contactos para diversos servicios, o podría ser una lista de servicios de información en
línea. Si en dado caso existen procedimientos específicos para poder acceder a cierto servicio
se recomienda que se detalle adecuadamente.

1.1.1.4.3 Descripción del CSIRT

Cada CSIRT debe tener un documento que especifica lo que tiene que hacer y la autoridad ba-
jo la cual lo hará. El documento debe incluir al menos los siguientes elementos:

• Misión: debe centrarse en las actividades básicas del equipo (definición de un CSIRT).
Con el fin de ser considerado un Equipo de Respuesta a Incidentes de Seguridad In-
formática, el equipo debe ser compatible con la presentación de informes de incidentes

Página 21
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 y el apoyo de sus integrantes frente a los sucesos. Los objetivos y propósitos de un
equipo son especialmente importantes y requieren una definición clara y sin ambigüe-
dades.

• Comunidad: por ejemplo, podrían ser empleados de una empresa o de sus suscripto-
res de pago, o podría ser definido en términos de un enfoque tecnológico, como los
usuarios de un sistema operativo determinado. Una comunidad CSIRT puede ser de-
terminado de varias maneras. La definición de la comunidad debe crear un perímetro
alrededor del grupo al que el equipo proporcionará el servicio. Es importante que exista
una sección de política del documento, la cual debe de explicar cómo serán tratadas las
solicitudes fuera del perímetro definido.

Si un CSIRT decide no revelar su comunidad, se debe explicar el razonamiento detrás

de esta decisión. Por ejemplo, si se cobrasen servicios, el CSIRT no brindará una lista
de sus clientes, sino que declarará que prestan un servicio a un gran grupo de clientes
que se mantienen en secreto debido a los contratos y clausulas de confidencialidad con
sus clientes. Las comunidades podrían reservarse, como cuando un Proveedor de Ser-
vicios de Internet proporciona a un CSIRT servicios que ofrece a los sitios de clientes
que también tienen CSIRTs. La sección de la Autoridad de la descripción del CSIRT
(véase más abajo) debe dejar claro tales relaciones.

• Organización Patrocinadora / Afiliación: la organización patrocinadora, que autoriza

las acciones del CSIRT, debe de respaldar las distintas actividades del CSIRT. Sabien-
do que esto le ayudará a los usuarios a comprender los antecedentes y la puesta en
marcha del CSIRT; es información vital para la construcción de confianza entre un com-
ponente y un CSIRT.

• Autoridad: esta sección puede variar mucho de un CSIRT a otro, basada en la relación
entre el equipo y su comunidad. Mientras que una organización CSIRT dará su autori-
dad por la gestión de la organización, un comunidad CSIRT será apoyada y elegida por
la comunidad, generalmente en un rol de asesoramiento. Un CSIRT puede o no tener
la autoridad para intervenir en el funcionamiento de todos los sistemas dentro de su
perímetro. Se debe identificar el alcance de su control, a diferencia del perímetro de su
comunidad. Si otros CSIRTs operan jerárquicamente dentro de su perímetro, esto debe
ser mencionado aquí, y los CSIRTs relacionados identificados. La divulgación de la au-
toridad de un equipo puede exponer a las reclamaciones de responsabilidad. Cada
equipo debe buscar consejo legal sobre estos asuntos.

1.1.1.4.4 Políticas
Es fundamental que los Equipos de Respuesta a Incidentes definan sus políticas. A continua-
ción se describen las siguientes:

• Política de Tipos de Incidentes y Nivel de Apoyo: los tipos de incidentes que el equi-
po sea capaz de hacer frente, y el nivel de apoyo que el equipo ofrecerá al momento de
responder a cada tipo de incidente, son puntos importantes. El nivel de ayuda puede
cambiar dependiendo de factores tales como la carga de trabajo del equipo y la integri-
dad de la información disponible. Estos factores deberían ser descritos y sus efectos
deben ser explicados. Una lista de tipos de incidentes conocidos será incompleta con
Página 22
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 respecto a posibles futuros incidentes, así que un CSIRT también debería brindar algu-
nos antecedentes "predeterminados" por el apoyo a tipos de incidentes no menciona-
dos.

El equipo debe indicar si va a actuar sobre la información que recibe y sus vulnerabili-
dades, mismas que crean oportunidades para futuros incidentes. Reaccionar sobre di-
cha información, en nombre de sus integrantes es considerado como un servicio opcio-
nal de la política proactiva en lugar de una obligación de servicio básico para un CSIRT.

• Política de Co-operación, Interacción y Divulgación de Información: se debe hacer

explícito que los grupos relacionados con el CSIRT habitualmente interactúan. Estas in-
teracciones no están necesariamente relacionadas con el equipo de respuesta a inci-
dentes de seguridad cibernética, pero se utilizan para facilitar una mejor cooperación en
temas técnicos o de servicios. De ninguna manera se necesita detallar sobre los acuer-
dos de cooperación entregados, el objetivo principal de esta sección es dar a los involu-
crados una comprensión básica de qué tipo de interacciones se han establecido y sus
propósitos.

La cooperación entre CSIRTs puede ser facilitada por el uso de un número único de
asignación de etiquetas combinados con los procedimientos de traspaso explícito. Esto
reduce la posibilidad de malos entendidos, la duplicación de esfuerzos, asistencia en el
seguimiento de incidentes y evitará "ciclos" en la comunicación.

La presentación de informes y la política de divulgación deben dejar claro quiénes serán

los destinatarios CSIRT de un informe en cada circunstancia. También debe tener en
cuenta si el equipo se espera para operar a través de otro CSIRT o directamente con un
miembro de otra comunidad sobre las cuestiones que se refieren específicamente a ese
miembro.

Los grupos relacionados a un CSIRT van a interactuar como se enumera a continua-

ción:

o Equipos de Respuesta a Incidentes: un CSIRT a menudo necesita interactuar

con otros CSIRTs. Por ejemplo, un CSIRT dentro de una gran empresa puede
tener que informar sobre los incidentes a un CSIRT nacional, y un CSIRT nacio-
nal deberá informar de los incidentes de CSIRTs nacionales en otros países pa-
ra hacer frente a todos los sitios implicados en un ataque a gran escala. La co-
laboración entre CSIRTs puede conducir a la divulgación de la información. Los
siguientes son ejemplos de esa comunicación, pero no pretende ser una lista
exhaustiva:

 Informe de incidentes dentro de la comunidad a otros equipos. Si se hace

esto, el conocimiento de la información relacionada con el sitio puede ser del
conocimiento público, accesible a todos, en particular la prensa.

 Manejo de incidentes que ocurren dentro de la comunidad, pero que informa

fuera de ella (lo que implica que algunas informaciones ya han sido divulga-
das fuera del sitio).

Página 23
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
  Observaciones de información desde dentro de la comunidad que indica
sospecha o incidentes confirmados fuera de él.

 Actuar sobre los informes de incidentes de fuera de la comunidad.

 Transmisión de información sobre vulnerabilidades a las empresas, para so-

cios CSIRT o directamente a los sitios afectados que se encuentran dentro o
fuera de la comunidad.

 Comentarios a las partes de la presentación de informes de incidentes o

vulnerabilidades.

 El suministro de información de contactos relativos a los miembros de la

comunidad, los miembros de otros grupos interesados, CSIRTs, o los orga-
nismos policiales.

o Empresas: algunas empresas tienen su propio CSIRT, pero otras no pueden.

En tales casos, un CSIRT necesitará trabajar directamente con una empresa pa-
ra proponer mejoras o modificaciones, para analizar el problema técnico o para
poner a prueba las soluciones previstas. Las empresas desempeñan un papel
especial en el manejo de un incidente si las vulnerabilidades de sus productos
están involucradas en el incidente.

o Los Organismos Policiales: Estos incluyen la policía y otros organismos de in-

vestigación. CSIRT y usuarios deben ser sensibles a las leyes y reglamentos lo-
cales, los cuales pueden variar considerablemente en diferentes países. Un
CSIRT puede asesorar sobre los detalles técnicos de los ataques o pedir aseso-
ramiento sobre las consecuencias jurídicas de un incidente. Leyes y regulacio-
nes locales pueden incluir la presentación de informes específicos y los requisi-
tos de confidencialidad.

o Prensa: Un CSIRT puede ser abordado por la prensa para información y comen-
tarios de vez en cuando. Una política explícita relativa a la divulgación a la
prensa puede ser útil, particularmente para aclarar las expectativas de los inte-
grantes de un CSIRT. La política de prensa suele ser muy sensible a los contac-
tos de prensa.

o Otros: esto podría incluir actividades de investigación o de la relación con la or-

ganización patrocinadora.

El estado predeterminado de cualquier información relacionada con la seguridad que un

equipo recibe por lo general será "confidencial", pero la adherencia rígida de esto hace
que el equipo parezca ser “un agujero negro” de información. El cual puede reducir la
probabilidad de que el equipo obtenga la cooperación de los clientes y de otras organi-
zaciones. Se hace necesario definir la información que se debe de informar o divulgar,
a quién, y cuándo.

Los diferentes equipos pueden estar sujetos a diferentes restricciones legales que re-
quieren o restringen el acceso, especialmente si trabajan en las diferentes jurisdiccio-
Página 24
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 nes. Además, pueden tener obligaciones de información impuestas por su organización
patrocinadora. Cada equipo debe especificar estas restricciones, tanto para aclarar las
expectativas de los usuarios y para informar a los otros equipos. Los conflictos de in-
terés, en particular en materia comercial, también pueden limitar la divulgación de un
equipo.

Un equipo normalmente recogerá las estadísticas. Si se distribuye la información es-

tadística, la política de divulgación debe decirlo, y debe describir cómo obtener esas es-
tadísticas.

• Política de Comunicación y Autenticación: se debe tener una política que describa

los métodos de comunicación segura y verificable que se van a utilizar. Esto es necesa-
rio para la comunicación entre los CSIRTs, y entre un CSIRT y sus integrantes. Se de-
ben incluir las claves públicas para el adecuado establecimiento de comunicación segu-
ra junto con directrices sobre cómo utilizar esta información para comprobar la autenti-
cidad y la forma de tratar la información dañada (por ejemplo, donde informar de este
hecho).

Por el momento, se recomienda que como mínimo cada CSIRT tiene (si es posible), una
clave PGP disponible. Un equipo también puede hacer otros mecanismos disponibles
(por ejemplo, PEM, MOSS, S/MIME), de acuerdo a sus necesidades y las de sus inte-
grantes. Obsérvese, sin embargo, que un CSIRT y los usuarios deben ser sensibles a
las leyes y reglamentos locales. Algunos países no permiten el cifrado fuerte, o hacer
cumplir las políticas específicas sobre el uso de la tecnología de cifrado. Además de ci-
frar la información sensible cuando sea posible, la correspondencia debe incluir la firma
digital. (Tenga en cuenta que en la mayoría de los países, la protección de la autentici-
dad mediante el uso de la firma digital no se ve afectado por las normas de encriptación
existentes, o simplemente no existe.)

Para la comunicación por teléfono o fax un CSIRT puede mantener en secreto los datos
de autenticación de los socios con los que puedan tratar, el uso de una contraseña o
frase puede ser un elemento definido previamente. Obviamente las claves secretas no
deben ser publicadas, aunque se sepa de su existencia.

1.1.1.4.5 Servicios
Los servicios prestados por un CSIRT pueden dividirse en dos categorías: actividades en tiem-
po real directamente relacionados con la principal tarea de respuesta a incidentes, y activida-
des proactivas no en tiempo real, de apoyo de la tarea de respuesta a incidentes. La segunda
categoría y parte de la primera categoría consisten en servicios que son opcionales en el senti-
do de que no todos los CSIRT los ofrecerán.

1.1.1.4.5.1 Respuesta a Incidentes

La respuesta a incidentes por lo general incluye la evaluación de los informes recibidos sobre
incidentes (Evaluación de Incidentes) y el seguimiento de éstos con otros CSIRTs, proveedores
de Internet y sitios (Coordinación de Incidentes). Un tercer nivel de servicios, ayudando a un
sitio local para recuperarse de un incidente (Resolución de Incidentes), está compuesto por
servicios típicamente opcionales, que no todos los CSIRT ofrecerán.

Página 25
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Evaluación de Incidentes: por lo general incluye:

o Informe de Evaluación: la evaluación de los informes de entrada de incidentes,

dando prioridad a ellos, y en relación a los incidentes en curso y las tendencias.

o Verificación: ayuda a determinar si un incidente ha ocurrido realmente, así como su

ámbito de aplicación.

• Coordinación de Incidentes: normalmente incluye:

o Categorización de la Información: la categorización de los incidentes relacionados

con la información (archivos de registro, información de contacto, etc.) con respecto
a la política de divulgación de información.

o Coordinación: la notificación de las otras partes interesadas en una "necesidad de

conocimiento", según la política de divulgación de la información.

• Resolución de Incidentes: Normalmente adicional u opcional, el servicio de resolución

de incidentes incluye:

o Asistencia Técnica: esto puede incluir el análisis de los sistemas comprometidos.

o Erradicación: la eliminación de la causa de un incidente de seguridad (la vulnerabi-

lidad explotada), y sus efectos (por ejemplo, la continuidad del acceso al sistema por
un intruso).

o Recuperación: ayuda en el restablecimiento de los sistemas afectados y los servi-

cios a su estado antes del incidente de seguridad.

1.1.1.4.5.2 Actividades Proactivas

Normalmente opcional o adicional, los servicios proactivos podrían incluir:

• El suministro de Información: esto podría incluir un archivo de vulnerabilidades cono-

cidas, parches o resoluciones de los problemas del pasado, o listas de correo de aseso-
ramiento.

• Herramientas de Seguridad: puede incluir herramientas para la auditoria de la seguri-

dad del sitio.

• Educación y Entrenamiento.

• Evaluación de Productos.

• Auditoría de Seguridad de la Web y Consulta.

1.1.1.4.6 Formas de Notificación de Incidentes

Página 26
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
El uso de los formularios de información hace que sea más sencillo para los usuarios y los
equipos hacer frente a incidentes. El usuario puede preparar respuestas a varias preguntas
importantes antes de que él o ella entren en contacto con el equipo, y por lo tanto pueda venir
bien preparado. El equipo recibe toda la información necesaria a la vez con el primer informe y
se proceda de manera eficiente.

Dependiendo de los objetivos y los servicios de un CSIRT en particular, las formas múltiples
pueden ser utilizadas, por ejemplo un formulario para una nueva vulnerabilidad puede ser muy
diferente de la forma utilizada para la comunicación de incidentes.

Es más eficaz proporcionar formas a través de los servicios de información en línea del equipo.
Los punteros exactos que se les debe dar en el documento de descripción de CSIRT, junto con
las declaraciones acerca del uso adecuado, y las directrices sobre cuándo y cómo utilizar los
formularios. Si por separado las direcciones de correo electrónico son compatibles con la for-
ma basada en el informe, deben ser enumeradas aquí de nuevo.

1.1.1.4.7 Clausula
Aunque el documento de descripción CSIRT no constituye un contrato, la responsabilidad pue-
de concebirse del resultado de las descripciones de los servicios y propósitos. La inclusión de
una clausula que aclare su función al finalizar el documento se recomienda y debería avisar al
usuario de las posibles limitaciones.

En situaciones en que la versión original de un documento debe ser traducido a otro idioma, la
traducción debe llevar una advertencia y un puntero a la original.

El uso y la protección de clausulas se ven afectadas por las leyes y regulaciones locales, de los
cuales cada CSIRT debe ser consciente. En caso de duda el CSIRT debe comprobar la decla-
ración de la clausula con un abogado.

1.1.1.5 Personal que integra un CSIRT

A continuación se listan una serie de características que son valiosas de tomar en cuenta para
el proceso de reclutamiento de personal para la formación de un CSIRT, siendo las siguientes:

• Diversidad de conocimientos tecnológicos.

• Personalidad: habilidad de comunicación y relación personal.

• Personas dedicadas, innovadoras, detallistas, flexibles y metódicas.

• Experiencia en el área de seguridad de la información

• Se maneje coherentemente con los valores personales y de la organización.

• Pueden asumir las funciones de: gerente, líder del equipo y/o supervisores. Para pues-
tos tales como:

Página 27
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 o Encargados de tratamiento de incidentes: personal técnico que está capacitado
para el tratamiento de un incidente informático.

o Encargados de tratamiento de vulnerabilidades: personal técnico que está espe-

cializado en el tratamiento de deficiencias o fallos en la programación o configura-
ción de un sistema informático.

o Personal de análisis y seguimiento de casos: son los responsables de llevar los

registros y brindar el seguimiento adecuado de los casos y su análisis respectivo.

o Especialistas en plataformas operacionales: técnicos experimentados y especia-

lizados en el manejo de plataformas informáticas que tienen dominio del equipo y
sus respectivos sistemas informáticos.

o Instructores: son los encargados de brindar enseñanza en los diferentes temas

dónde tengan su respectiva especialización.

o Técnicos de Soporte: personal especializado en el manejo de hardware y/o softwa-

re para la realización de tareas específicas.

• Otras funciones:

o Personal de Apoyo.

o Redactores Técnicos.

o Administración de Redes y/o Sistemas.

o Desarrolladores Web.

o Asesoría de Prensa o Contactos Medios.

o Abogados en oficinas que lo respaldan.

1.1.2 Políticas de Seguridad Informática

La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empre-
sas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual
lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de informa-
ción. Estos riesgos que se enfrentan han llevado a que muchas empresas desarrollen docu-
mentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y reco-
mendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de las
mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la
empresa.

Las políticas de seguridad informática surgen como una herramienta organizacional para con-
cientizar a los colaboradores de la organización sobre la importancia y sensibilidad de la infor-
mación y servicios críticos que permiten a la institución crecer y mantenerse competitiva. Ante
esta situación, el proponer o identificar una política de seguridad requiere un alto compromiso
con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para
Página 28
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizacio-
nes modernas.

1.1.2.1 Definición
Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que
las mismas establecen un canal formal de actuación del personal, en relación con los recursos
y servicios informáticos de la organización.

No se puede considerar que una política de seguridad informática es una descripción técnica
de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados,
es más bien una descripción de lo que deseamos proteger y el por qué de ello, pues cada polí-
tica de seguridad es una invitación a cada uno de sus miembros a reconocer la información
como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbi-
to de sus negocios.

Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante
del personal por el uso y limitaciones de los recursos y servicios informáticos.

1.1.2.2 Elementos
Como una política de seguridad debe orientar las decisiones que se toman en relación con la
seguridad, se requiere la disposición de todos los miembros de la organización para lograr una
visión conjunta de lo que se considera importante. Las políticas de seguridad informática de-
ben considerar principalmente los siguientes elementos:

Tabla 1: Características que conforman una política.

Característica Descripción
Alcance de la política, incluyendo facilidades, sistemas y personal
Alcance
sobre la cual aplica.
Objetivos de la política y descripción clara de los elementos involu-
Objetivo(s)
crados en su definición.
Las partes involucradas en la política deben de ser claramente
Identificación de Roles
identificados.
Deberes y responsabilidades de las partes identificadas deben de
Responsabilidad
ser definidos.
Describe la interacción apropiada entre las partes identificadas de-
Interacción
ntro de la política.
Procedimientos esenciales pueden ser llamados, pero no deben
Procedimientos
ser explicados en detalle dentro de la política.
Identifica las relaciones entre la política, servicios y otras políticas
Relaciones
existentes.
Describe las responsabilidades y guías para el mantenimiento y
Mantenimiento
actualización de la política.
Definición de violaciones y sanciones por no cumplir con las políti-
Sanciones
cas.

Página 29
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
Las políticas de seguridad informática, también deben ofrecer explicaciones comprensibles so-
bre por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igual-
mente, deberán establecer las expectativas de la organización en relación con la seguridad y
especificar la autoridad responsable de aplicar los correctivos o sanciones.

Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sen-
cillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara
de las mismas, claro está sin sacrificar su precisión.

Por último, y no menos importante, el que las políticas de seguridad, deben seguir un proceso
de actualización periódica sujeto a los cambios organizacionales relevantes, como son: el au-
mento de personal, cambios en la infraestructura computacional, alta rotación de personal, de-
sarrollo de nuevos servicios, regionalización de la empresa, cambio o diversificación del área
de negocios, etc.

1.1.2.3 Parámetros para su establecimiento

Es importante que al momento de formular las políticas de seguridad informática, se consideren
por lo menos los siguientes aspectos:

• Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las
políticas a la realidad de la organización.

• Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la expe-
riencia y son la principal fuente para establecer el alcance y definir las violaciones a las
políticas.

• Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo

los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de se-
guridad.

• Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues
son ellos los interesados en salvaguardar los activos críticos de su área.

• Monitorear periódicamente los procedimientos y operaciones de la organización, de

forma tal, que ante cambios las políticas puedan actualizarse oportunamente.

• Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar

situaciones de tensión al momento de establecer los mecanismos de seguridad que
respondan a las políticas trazadas.

1.1.2.4 Razones que impiden su aplicación

A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directri-
ces de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy
pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos eje-
cutivos de la necesidad y beneficios de buenas políticas de seguridad informática.

Página 30
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
Otros inconvenientes lo representan los tecnicismos informáticos y la falta de una estrategia de
mercadeo por parte de los Gerentes de Informática o los especialistas en seguridad, que llevan
a los altos directivos a pensamientos como: "más dinero para juguetes del Departamento de
Sistemas".

Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren
expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos
comprometen información sensitiva y por ende su imagen corporativa. Ante esta situación, los
encargados de la seguridad deben confirmar que las personas entienden los asuntos importan-
tes de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en
relación con esos asuntos.

Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las estrategias
del negocio, a su misión y visión, con el propósito de que los que toman las decisiones reco-
nozcan su importancia e incidencias en las proyecciones y utilidades de la compañía.

Finalmente, es importante señalar que las políticas por sí solas no constituyen una garantía pa-
ra la seguridad de la organización, ellas deben responder a intereses y necesidades organiza-
cionales basadas en la visión de negocio, que lleven a un esfuerzo conjunto de sus actores por
administrar sus recursos, y a reconocer en los mecanismos de seguridad informática factores
que facilitan la formalización y materialización de los compromisos adquiridos con la organiza-
ción.

1.1.2.5 Implementación, Mantenimiento y Ejecución

Una vez la validación de la política es completada, la retroalimentación debe de brindarse a los
creadores de las políticas para que puedan realizar versiones sobre las existentes. Una vez las
revisiones respectivas son hechas la política tiene que ser revisada y probada nuevamente. Al
estar validada en su totalidad y no ser necesarias más modificaciones, la política puede ser im-
plementada.

La política tiene que ser mantenida y actualizada, será necesario realizar revisiones regulares
sobre su comportamiento en la vida real. Muchas de estas revisiones serán equivalentes a re-
visiones de validación.

Las revisiones se originan por el proceso de validación, la continua validación de las políticas
son realmente revisiones sobre el comportamiento de los parámetros de calidad. Mantenimien-
to y ejecución son parte del proceso de un sistema de aseguramiento de calidad. Cada política
debe poseer un encargado designado quien mantiene el seguimiento en la calidad del servicio
afectado vía el uso de la misma; puede proponer cambios a la política inclusive para hacerla
más apropiada al proceso. Las políticas pueden y deben cambiar en el transcurso del tiempo,
no debe de caer en que una vez instituida jamás se vuelva a actualizar.

1.1.2.6 Políticas recomendadas

A continuación se brinda un listado de las políticas recomendadas que tiene que tener como
mínimo una organización:

Página 31
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 Tabla 2: Políticas recomendadas para la implementación de un CSIRT

Política Contenido Recomendado

Política de Seguridad: son las direc- • Alcances. (facilidades, sistemas y personas.)

trices y objetivos generales de una or- • Objetivos.
ganización relativos a la seguridad, ex- • Descripción de los elementos involucrados.
presados formalmente por la dirección • Responsabilidades.
general. Las políticas de seguridad • Requerimientos mínimos de seguridad en la confi-
deben de contemplar seis elementos guración de los distintos sistemas.
claves en la seguridad: disponibilidad, • Responsabilidades de los usuarios con respecto a
utilidad, integridad, autenticidad, confi- la información a la que tienen acceso.
dencialidad y posesión.

• Introducción / Descripción.
• Control de Acceso.
Política de Clasificación de Informa- • Identificación / Clasificación.
ción: es la definición de los criterios de • Interacciones de Terceros.
clasificación y acceso a la información. • Destrucción y Disposición.
• Seguridad Física.
• Consideraciones especiales (información secreta).

Política Externa para el acceso de la • Definición de Accesos y Procesos apropiados para

Información: clasificación de criterios el acceso a la información.
de acceso de entes externas a la orga- • Expedientes requeridos para el acceso.
nización para la utilización de la infor- • Elaboración de informe para el acceso.
mación que genera la organización.

• Introducción / Descripción.
• Control de acceso.
Política para la clasificación de los • Identificación / Clasificación.
Datos: establecer cómo se clasificarán • Interacciones de Terceros.
los datos dentro de la organización • Destrucción y Disposición.
según los usuarios o entidades que la • Seguridad Física.
consuman. • Consideraciones especiales (información secreta).

Política de Aislamiento de la Infor-

mación: explica las clases de informa- • Descripción y aplicabilidad.
ción que se pueden recopilar, su natu- • Definiciones.
raleza y criterios de uso de la misma. • Requisitos Específicos.
Plasma excepciones de secreto sobre • Información que se brindará al individuo.
algunas de ellas. • El derecho individual del acceso a los datos.
Página 32
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • El derecho individual de oponerse.
• Acceso de datos personales a terceros.
• Proceso de secreto y de seguridad.
• Supervisión de actividades internas.

• Introducción.
• Integridad de la información.
• Secreto de la información.
Política de Seguridad del Internet: es
• Representaciones públicas.
la descripción de los lineamientos de
• Controles de accesos.
seguridad de acceso al Internet y su
• Uso personal.
relación con la organización.
• Expectativas aislamiento de accesos.
• Divulgación de problemas de la seguridad.

• Introducción / Descripción.
• Control de acceso.
Política de Notificación de Inciden-
• Identificación.
tes: define los criterios permitidos y
• Clasificación de las notificaciones.
adecuados para el tratamiento de una
• Interacciones con terceros.
notificación sobre un incidente reporta-
• Destrucción y Disposición.
do.
• Consideraciones especiales (información secreta).

• Introducción / Descripción.
• Procedimiento.
Política de Tratamiento de Inciden-
• Administración del riesgo.
tes: hace referencia a la forma o los
• Interacciones con terceros.
medios que se utilizan para el manejo
• Reserva de información.
de un incidente reportado.
• Consideraciones especiales (información secreta).

• Introducción / Descripción.
• Control de acceso.
Política de Comunicación Externa: • Identificación.
explica las normas para el manejo del • Clasificación de las notificaciones.
intercambio de comunicación con enti- • Interacciones con terceros.
dades externas a la organización. • Destrucción y Disposición.
• Consideraciones especiales (información secreta).

Política de Entrenamiento y Capaci-

tación: detalla los criterios de la orga- • Descripción.
nización en el manejo de los procesos • Definiciones.

Página 33
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
de entrenamiento y capacitación del • Procedimientos.
personal. • Reservas.
• Consideraciones especiales.

• Introducción / Descripción.
Política de Tratamiento de Grandes
• Procedimiento.
Actividades: describe los criterios de
• Administración del riesgo.
la organización para el manejo de un
• Interacciones con terceros.
evento que utilice una alta demanda de
• Reserva de información.
tiempo y recurso.
• Consideraciones especiales (información secreta).

• Introducción / Descripción.
Política de Error Humano: detalla las
• Consideraciones.
directrices o manejos que ejecutará la
• Factores implicados.
organización ante el eventual suceso
• Reserva de información.
de que un integrante del equipo co-
• Consideraciones especiales (información secreta).
menta un error.

• Objetivos.
Política de Selección de Personal:
• Descripción de los aspectos involucrados.
define los criterios de la organización
• Proceso de reclutamiento.
para la implementación del proceso de
• Derechos, obligaciones y responsabilidades.
reclutamiento.

• Descripción consistente respecto a los fines de la

institución.
Política de Despido: define los crite-
• Definiciones.
rios que aplica la organización cuando
• Procedimiento.
se da por finalizado unilateralmente un
• Reservas.
contrato laboral con un empleado.
• Consideraciones especiales.

• Descripción.
• Uso en el negocio solamente.
Política de la Seguridad de la • Control de la configuración.
Computadora Personal: descripción • Control de acceso.
de los criterios de aplicación de la se- • Virus.
guridad informática sobre los computa- • Reserva.
dores personales clasificados por su • Destrucción.
nivel de uso dentro de la organización. • Documentación.
• Seguridad Física.

Página 34
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Objetivo.
• Alcance.
Política de Uso del Correo Electró-
• Responsable.
nico: establece los lineamientos de la
• Documentos asociados.
utilización del correo electrónico de la
• Definiciones.
organización.
• Lineamientos del sistema de correo electrónico.
• Condiciones de uso del correo electrónico.

• Propósito.
• Alcance.
• Política General.
• Responsabilidades.
• Control de acceso del sistema.
• Uso de contraseñas.
• Proceso de la conexión y del término de sesión.
• Privilegios del sistema.
Política de la Seguridad de la Red de • Establecimiento de accesos.
Computadoras: establece los linea- • Virus Computacionales, Gusanos y Caballos de
mientos de seguridad de todos los ac- Troya.
tivos informáticos dentro de la red de • Reserva de los datos y de los programas.
computadoras. Brinda un nivel de de- • Cifrado.
talle por cada dispositivo que se tenga • Computadoras portátiles.
en la red de computadoras de la orga- • Impresiones en papel.
nización. • Aislamiento de accesos.
• Registros y otras herramientas de la seguridad de
los sistemas.
• Manipulación de la información de la seguridad de
la red.
• Seguridad física del computador y su conectividad.
• Excepciones.
• Violaciones.
• Glosario de términos.

• Control de ediciones.
Política de tele conmutación de la • Control de accesos.
información: describe los lineamientos • Almacenamiento de datos y medios.
para el establecimiento de la comuni- • Medios de comunicación.
cación por medio de equipos de tele- • Administración del sistema.
comunicaciones. • Consideraciones del recorrido de los datos.
• Seguridad física.

Política de uso de dispositivo móvi-

• Control de ediciones y accesos.
les: descripción de los criterios de utili-
• Almacenamiento de datos y medios.
zación de todos los dispositivos móvi-
• Medios de comunicación.
les que posea la organización.
• Administración del sistema.
Página 35
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Consideraciones del recorrido de los datos.
• Seguridad física.

• Descripción.
Política de la Seguridad de los
• Uso en el negocio solamente.
equipos de Telecomunicaciones (In-
• Control de la configuración.
ternos y Externos): dicta las normas
• Control de acceso.
de la organización para la aplicación
• Fallas.
de niveles de seguridad adecuados a
• Reserva.
los distintos dispositivos de telecomu-
• Destrucción.
nicación internos y externos que sean
• Documentación.
de la organización.
• Seguridad Física.

Para la definición de las políticas pueden existir diversidad de criterios e implementaciones

según la organización CSIRT.

Por último, para tener una visión más global en la implementación de políticas de una organiza-
ción se presenta el estándar ISO 17799, dónde define las siguientes líneas:

• Seguridad organizacional: aspectos relativos a la gestión de la seguridad dentro de la

organización (cooperación con elementos externos, outsourcing, estructura del área de
seguridad, etc.).

• Clasificación y control de activos: inventario de activos y definición de sus mecanis-

mos de control, así como etiquetado y clasificación de la información corporativa.

• Seguridad del personal: formación en materias de seguridad, clausulas de confiden-

cialidad, reporte de incidentes, monitorización de personal, etc.

• Seguridad física y del entorno: bajo este punto se engloban aspectos relativos a la
seguridad física de los recintos donde se encuentran los diferentes recursos - incluyen-
do los humanos - de la organización y de los sistemas en sí, así como la definición de
controles genéricos de seguridad.

• Gestión de comunicaciones y operaciones: este es uno de los puntos más interesan-

tes desde un punto de vista estrictamente técnico, ya que engloba aspectos de la segu-
ridad relativos a la operación de los sistemas y telecomunicaciones, como los controles
de red, la protección frente a malware, la gestión de copias de seguridad o el intercam-
bio de software dentro de la organización.

• Controles de acceso: definición y gestión de puntos de control de acceso a los recur-

sos informáticos de la organización: contraseñas, seguridad perimetral, monitorización
de accesos...

• Desarrollo y mantenimiento de sistemas: seguridad en el desarrollo y las aplicacio-

nes, cifrado de datos, control de software, etc.

Página 36
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Gestión de continuidad de negocio: definición de planes de continuidad, análisis de
impacto, simulacros de catástrofes, etc.

• Requisitos legales: evidentemente, una política ha de cumplir con la normativa vigente

en el país donde se aplica; si una organización se extiende a lo largo de diferentes paí-
ses, su política tiene que ser coherente con la normativa del más restrictivo de ellos. En
este apartado de la policía se establecen las relaciones con cada ley: derechos de pro-
piedad intelectual, tratamiento de datos de carácter personal, exportación de cifrado,
etc. junto a todos los aspectos relacionados con registros de eventos en los recursos
(bitácoras) y su mantenimiento.

1.1.3 Gestión de Incidentes

La Gestión de Incidentes tiene como objetivo resolver cualquier incidente que cause una inte-
rrupción en el servicio de la manera más rápida y eficaz posible.

La Gestión de Incidentes no debe confundirse con la Gestión de Problemas, pues a diferencia

de esta última, no se preocupa de encontrar y analizar las causas subyacentes a un determina-
do incidente sino exclusivamente a restaurar el servicio. Sin embargo, es obvio, que existe una
fuerte interrelación entre ambas.

Los objetivos principales de la Gestión de Incidentes son:

• Detectar cualquiera alteración en los servicios TI.

• Registrar y clasificar estas alteraciones.

• Asignar el personal encargado de restaurar el servicio según se define en el SLA co-

rrespondiente.

Esta actividad requiere un estrecho contacto con los usuarios, por lo que el Centro de Servicios
(Service Desk) debe jugar un papel esencial en el mismo.

El siguiente diagrama resume el proceso de gestión de incidentes:

Página 37
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 Figura 1: Gestión de Incidentes.

Aunque el concepto de incidencia se asocia naturalmente con cualquier malfuncionamiento de

los sistemas de hardware y software según el libro de Soporte del Servicio de ITIL un incidente
es:

“Cualquier evento que no forma parte de la operación estándar de un servicio y que causa, o
puede causar, una interrupción o una reducción de calidad del mismo”.

Por lo que casi cualquier llamada al Centro de Servicios puede clasificarse como un incidente,
lo que incluye a las Peticiones de Servicio tales como concesión de nuevas licencias, cambio
de información de acceso, etc. siempre que estos servicios se consideren estándar.

Cualquier cambio que requiera una modificación de la infraestructura no se considera un servi-

cio estándar y requiere el inicio de una Petición de Cambio que debe ser tratada según los
principios de la Gestión de Cambios.

Los principales beneficios de una correcta Gestión de Incidentes incluyen:

• Mejorar la productividad de los usuarios.

• Cumplimiento de los niveles de servicio.

• Mayor control de los procesos y monitorización del servicio.

• Optimización de los recursos disponibles.

• Una base de datos de gestión de configuraciones más precisa pues se registran los in-
cidentes en relación con los elementos de configuración.

• Y principalmente: mejora la satisfacción general de clientes y usuarios.

Por otro lado una incorrecta Gestión de Incidentes puede acarrear efectos adversos tales co-
mo:

• Reducción de los niveles de servicio.

• Se dilapidan valiosos recursos: demasiada gente o gente del nivel inadecuado trabajan-
do concurrentemente en la resolución del incidente.

Página 38
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Se pierde valiosa información sobre las causas y efectos de los incidentes para futuras
reestructuraciones y evoluciones.

• Se crean clientes y usuarios insatisfechos por la mala y/o lenta gestión de sus inciden-
tes.

Las principales dificultades a la hora de implementar la Gestión de Incidentes se resumen en:

• No se siguen los procedimientos previstos y se resuelven las incidencias sin registrarlas

o se escalan innecesariamente y/u omitiendo los protocolos preestablecidos.

• No existe un margen operativo que permita gestionar los “picos” de incidencias por lo
que éstas no se registran adecuadamente e impiden la correcta operación de los proto-
colos de clasificación y escalado.

• No están bien definidos los niveles de calidad de servicio ni los productos soportados.
Lo que puede provocar que se procesen peticiones que no se incluían en los servicios
previamente acordados con el cliente.

1.1.3.1 Nivel de Prioridad

Es frecuente que existan múltiples incidencias concurrentes por lo que es necesario determinar
un nivel de prioridad para la resolución de las mismas.

El nivel de prioridad se basa esencialmente en dos parámetros:

• Impacto: determina la importancia del incidente dependiendo de cómo éste afecta a los
procesos de negocio y/o del número de usuarios afectados.

• Urgencia: depende del tiempo máximo de demora que acepte el cliente para la resolu-
ción del incidente y/o el nivel de servicio.

También se deben tener en cuenta factores auxiliares tales como el tiempo de resolución espe-
rado y los recursos necesarios: los incidentes “sencillos” se tramitarán cuanto antes.

Dependiendo de la prioridad se asignarán los recursos necesarios para la resolución del inci-
dente. La prioridad del incidente puede cambiar durante su ciclo de vida. Por ejemplo, se pue-
den encontrar soluciones temporales que restauren aceptablemente los niveles de servicio y
que permitan retrasar el cierre del incidente sin graves repercusiones. Es conveniente estable-
cer un protocolo para determinar, en primera instancia, la prioridad del incidente. El siguiente
diagrama nos muestra un posible “diagrama de prioridades” en función de la urgencia e impac-
to del incidente:

Página 39
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 Figura 2: Diagrama de Prioridades.

1.1.3.2 Escalonamiento
Es frecuente que el Centro de Servicios no se vea capaz de resolver en primera instancia un
incidente y para ello deba recurrir a un especialista o a algún superior que pueda tomar deci-
siones que se escapan de su responsabilidad. A este proceso se le denomina escalado.

Básicamente hay dos tipos diferentes de escalado:

• Escalado funcional: Se requiere el apoyo de un especialista de más alto nivel para re-
solver el problema.

• Escalado jerárquico: Debemos acudir a un responsable de mayor autoridad para to-

mar decisiones que se escapen de las atribuciones asignadas a ese nivel, como, por
ejemplo, asignar más recursos para la resolución de un incidente específico.

El proceso de escalado puede resumirse gráficamente como sigue:

Página 40
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 Figura 3: Escalado.

El diseño de las políticas de escalonamiento va en función de qué tipo de escalamiento se

adopte, queda a discreción de cada grupo CSIRT el diseñar su respectiva política.

Página 41
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
1.1.3.3 Proceso
El siguiente diagrama muestra los procesos implicados en la correcta Gestión de Incidentes.

Figura 4: Proceso de la Gestión de Incidentes.

• Gestión de Configuraciones: la base de datos de Gestión de Configuraciones juego
un papel clave en la resolución de incidentes pues, por ejemplo, nos muestra informa-
ción sobre los responsables de los componentes de configuración implicados. La base
de datos de Gestión de Configuraciones también nos permite conocer todas las implica-
ciones que pueden tener en otros servicios el malfuncionamiento de un determinado
elemento de configuración.

• Gestión de Problemas: ofrece ayuda a la Gestión de Incidentes informando sobre erro-

res conocidos y posibles soluciones temporales. Por otro lado, establece controles so-
bre la calidad de la información registrada por la Gestión de Incidentes para que ésta
sea de utilidad en la detección de problemas y su posible solución.

• Gestión de Cambios: la resolución de un incidente puede general una petición de

cambio que se envía a la Gestión de Cambios. Por otro lado, un determinado cambio
erróneamente implementado puede ser el origen de múltiples incidencias y la Gestión
de Cambios debe mantener cumplidamente informada a la Gestión de Incidencias sobre
posibles incidencias que los cambios realizados puedan causar en el servicio.

• Gestión de Disponibilidad: utilizará la información registrada sobre la duración, el im-

pacto y el desarrollo temporal de los incidentes para elaborar informes sobre la disponi-
bilidad real del sistema.

Página 42
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Gestión de la Capacidad: se ocupará de incidentes causados por una insuficiente in-
fraestructura IT. (Insuficiencia del ancho de banda, capacidad de procesamiento, etc.)

• Gestión de Niveles de Servicio: La Gestión de Incidentes debe tener acceso a los ni-
veles de servicio acordados con el cliente para poder determinar el curso de las accio-
nes a adoptar. Por otro lado, la Gestión de Incidentes debe proporcionar periódicamen-
te informes sobre el cumplimiento de los niveles de servicio contratados.

1.1.3.4 Registro
La admisión y registro del incidente es el primer y necesario paso para una correcta gestión del
mismo. Las incidencias pueden provenir de diversas fuentes tales como usuarios, gestión de
aplicaciones, el mismo Centro de Servicios o el soporte técnico, entre otros.

El proceso de registro debe realizarse inmediatamente pues resulta mucho más costoso hacer-
lo posteriormente y se corre el riesgo de que la aparición de nuevas incidencias demore indefi-
nidamente el proceso.

• La admisión a trámite del incidente: el Centro de Servicios debe de ser capaz de eva-
luar en primera instancia si el servicio requerido se incluye en el SLA del cliente y en
caso contrario reenviarlo a una autoridad competente.

• Comprobación de que ese incidente aún no ha sido registrado: es común que más
de un usuario notifique la misma incidencia y por lo tanto han de evitarse duplicaciones
innecesarias.

• Asignación de referencia: al incidente se le asignará una referencia que le identificará

unívocamente tanto en los procesos internos como en las comunicaciones con el clien-
te.

• Registro inicial: se han de introducir en la base de datos asociada la información bási-

ca necesaria para el procesamiento del incidente (hora, descripción del incidente, sis-
temas afectados...).

• Información de apoyo: se incluirá cualquier información relevante para la resolución

del incidente que puede ser solicitada al cliente a través de un formulario específico, o
que pueda ser obtenida de la propia base de datos de la gestión de la configuración
(hardware interrelacionado), etc.

• Notificación del incidente: en los casos en que el incidente pueda afectar a otros
usuarios estos deben ser notificados para que conozcan como esta incidencia puede
afectar su flujo habitual de trabajo.

1.1.3.5 Clasificación
La clasificación de un incidente tiene como objetivo principal el recopilar toda la información
que pueda ser de utilizada para la resolución del mismo.

Página 43
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
El proceso de clasificación debe implementar, al menos, los siguientes pasos:

• Categorización: se asigna una categoría (que puede estar a su vez subdividida en más
niveles) dependiendo del tipo de incidente o del grupo de trabajo responsable de su re-
solución. Se identifican los servicios afectados por el incidente.
• Establecimiento del nivel de prioridad: dependiendo del impacto y la urgencia se de-
termina, según criterios preestablecidos, un nivel de prioridad.

• Asignación de recursos: si el Centro de Servicios no puede resolver el incidente en

primera instancia designará al personal de soporte técnico responsable de su resolución
(segundo nivel).

• Monitorización del estado y tiempo de respuesta esperado: se asocia un estado al

incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y se estima el
tiempo de resolución del incidente en base al nivel de servicio correspondiente y la prio-
ridad.

1.1.3.6 Análisis, Resolución y Cierre.

En primera instancia se examina el incidente con ayuda de la base de datos de conocimiento
para determinar si se puede identificar con alguna incidencia ya resuelta y aplicar el procedi-
miento asignado.

Si la resolución del incidente se escapa de las posibilidades del Centro de Servicios éste redi-
recciona el mismo a un nivel superior para su investigación por los expertos asignados. Si es-
tos expertos no son capaces de resolver el incidente se seguirán los protocolos de escalado
predeterminados.

Durante todo el ciclo de vida del incidente se debe actualizar la información almacenada en las
correspondientes bases de datos para que los agentes implicados dispongan de cumplida in-
formación sobre el estado del mismo.

Si fuera necesario se puede emitir una petición de cambio. Si la incidencia fuera recurrente y
no se encuentra una solución definitiva al mismo se deberá informar igualmente a la Gestión de
Problemas para el estudio detallado de las causas subyacentes.

Cuando se haya solucionado el incidente se:

• Confirma con los usuarios la solución satisfactoria del mismo.

• Incorpora el proceso de resolución a la base de datos de conocimiento.

• Reclasifica el incidente si fuera necesario.

• Actualiza la información en la base de datos de gestión de configuraciones sobre los

elementos de configuración implicados en el incidente.

• Cierra el incidente.

Página 44
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
1.1.3.7 Control del proceso
La correcta elaboración de informes forma parte esencial en el proceso de Gestión de Inciden-
tes.

Estos informes deben aportar información esencial, por ejemplo:

• La Gestión de Niveles de Servicio: es esencial que los clientes dispongan de informa-

ción puntual sobre los niveles de cumplimiento de los niveles de servicio y que se adop-
ten medidas correctivas en caso de incumplimiento.

• Monitoreo del rendimiento del Centro de Servicios: conocer el grado de satisfacción

del cliente por el servicio prestado y supervisar el correcto funcionamiento de la primera
línea de soporte y atención al cliente.

• Optimizar la asignación de recursos: los gestores deben conocer si el proceso de es-

calado ha sido fiel a los protocolos preestablecidos y si se han evitado duplicidades en
el proceso de gestión.

• Identificar errores: puede ocurrir que los protocolos especificados no se adecuen a la

estructura de la organización o las necesidades del cliente por lo que se deban tomar
medidas correctivas.

• Disponer de Información Estadística: que puede ser utilizada para hacer proyeccio-
nes futuras sobre asignación de recursos, costes asociados al servicio, etc.

Por otro lado una correcta Gestión de Incidentes requiere de una infraestructura que facilite su
correcta implementación. Entre ellos cabe destacar:

• Un correcto sistema automatizado de registro de incidentes y relación con los clientes.

• Una Base de Conocimiento que permita comparar nuevos incidentes con incidentes ya
registrados y resueltos. Una Base de Conocimiento actualizada permite:

o Evitar escalados innecesarios.

o Convertir el “know how” de los técnicos en un activo duradero de la empresa.

o Poner directamente a disposición del cliente parte o la totalidad de estos datos (a la

manera de FAQs) en una Extranet. Lo que puede permitir que a veces el usuario no
necesite siquiera notificar la incidencia.

• Una base de datos de gestión de configuraciones que permita conocer todas las confi-
guraciones actuales y el impacto que estas puedan tener en la resolución del incidente.

Para el correcto seguimiento de todo el proceso es indispensable la utilización de métricas que

permitan evaluar de la forma más objetiva posible el funcionamiento del servicio. Algunos de
los aspectos clave a considerar son:

Página 45
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Número de incidentes clasificados temporalmente y por prioridades.

• Tiempos de resolución clasificados en función del impacto y la urgencia de los inciden-

tes.

• Nivel de cumplimiento de los niveles de servicio.

• Costos asociados.

• Uso de los recursos disponibles en el Centro de Servicios.

• Porcentaje de incidentes, clasificados por prioridades, resueltos en primera instancia por

el Centro de Servicios.

• Grado de satisfacción del cliente.

1.1.3.8 Soporte de Incidentes

A continuación se brinda una tabla que contiene los pasos recomendados para el soporte de
incidentes:

Tabla 3: Pasos recomendados para el soporte de Incidentes

PASOS RECOMENDADOS PARA EL SOPORTE DE INCIDENTES

No.
NOMBRE DESCRIPCIÓN
PASO
Las personas autorizadas por parte de las Unidades de
Negocio reportan situaciones o funcionamientos anorma-
Reporte de un incidente a les en la infraestructura IT (equipos, redes, servidores,
1
ser atendido servicios, etc.) Los incidentes son reportados por dife-
rentes medios: Email, personalmente, por Web utilizando
el Portal de Autoservicio y por Teléfono.
El agente de soporte o usuario identifica el tipo de inci-
dente (alertas, errores, caídas del sistema, actualizacio-
nes, etc.) que se reporta y la prioridad (alta, media, baja)
que se debe asignar. Registra la persona que reporta el
Registro y documentación
2 incidente y el elemento involucrado en el incidente, obtie-
del incidente reportado
ne instantáneamente una visión de toda la información de
la persona, ¿quién es?, ¿cómo debe ser atendida?, inci-
dentes pendientes, etc. Realiza un diagnostico inicial de
lo que sucede.
Cuando el agente de soporte o usuario registra la infor-
mación básica del incidente, se asigna el tiempo máximo
Preparación de la solución
3 de solución que depende de los acuerdos de nivel de
del incidente
servicio pactados. Se despliegan soluciones sugeridas
tomadas de la historia de incidentes similares y de la Ba-

Página 46
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 se de Conocimiento. Se sugieren tareas para planear la
solución del servicio con tareas internas. Y se desplie-
gan plantillas con ayudas para diagnosticar el problema y
para comunicarse con el Cliente: plantillas para envío de
email y para llamadas entrantes y salientes.
Se envían alertas por email para listas de notificación
previamente creadas. Se remite el incidente a otros
usuarios (responsables de la solución) si es necesario.
Se realizan tareas internas para completar actividades
Proceso de solución
necesarias en la solución. Se le comunica a la unidad de
4 utilizando herramientas de
negocio por diferentes medios los avances realizados en
software como apoyo.
la solución del incidente. Todo el proceso se realiza te-
niendo en cuenta el tiempo máximo de solución asignado
al incidente, para lo cual se envían alertas por email a los
responsables.
Como parte del proceso de solución se analiza toda la
información de incidentes similares sobre los mismos
elementos de la infraestructura IT, los diagnósticos reali-
zados y las tareas o actividades internas realizadas para
dar una solución. Si se identifican situaciones recurren-
Identificación y solución
5 tes, se registra la causa común como un problema, que
de problemas
al ser solucionada, soluciona todos los incidentes que
tienen esa causa en común. De esa manera se evita que
se presenten incidentes similares y se mejora el nivel de
satisfacción de las unidades de negocio con el soporte
técnico que se presta.
Se comunica a la unidad de negocio el cierre del inciden-
te reportado cumpliendo las políticas de servicio prometi-
das y respetando los tiempos máximos de solución pac-
Cierre exitoso del tadas según el tipo de incidente que se reportó y la prio-
6
incidente ridad asignada. Se documenta detalladamente el cierre
del servicio para que enriquezca la Base de Conocimien-
to de la organización y pueda ser utilizada como una so-
lución sugerida para un próximo servicio.

También es importante contar con procedimientos de mejora continua sobre las distintas activi-
dades de soporte que se proveen. Para ello se recomiendan los siguientes puntos:

• Planeación de Cambios de Infraestructura IT: es coordinar cambios con mínimo im-

pacto y riesgo aceptable. Ayuda a que los gerentes tecnológicos y los gerentes de áre-
as de negocio estén informados e involucrados sobre qué cambios se realizarán y que
no haya lugar a sorpresas inesperadas. Se asignan responsables y niveles de autoriza-
ción para aprobar los cambios propuestos. Un cambio soluciona problemas, que a su
vez evita la ocurrencia de incidentes.

• Implementación de Cambios con Entregas Controladas: es planear y tener a todos

informados de la implementación de cambios en la infraestructura con mínimas inte-
rrupciones y riesgos. La gestión de entregas complementa la gestión de cambios. En

Página 47
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 los cambios se planea y ejecuta en ambientes de calidad (pruebas) y en la entrega se
ejecuta e implementa ya en sistemas de producción.

• Retroalimentación y Mejora del Proceso de Soporte Técnico: se analiza toda la in-

formación generada en la atención y solución de incidentes para mejorar continuamente
el proceso de soporte técnico a las unidades de negocio. Se mejora la base de conoci-
mientos, las soluciones y tareas sugeridas. Los índices de satisfacción de las unidades
de negocio mejoran y se impulsa el crecimiento.
Y finalmente un esquema de cómo fluiría la información podría ser de la siguiente manera.

Figura 5: Flujo de Información en un CSIRT.

1.1.4 Recomendaciones para la posible inserción del CSIRT en la organización y

sus posibles modelos de relación

A continuación se dará una visión de qué tipo de estructura organizacional puede adoptar un
CSIRT (debe de ser pertinente respecto a las servicios que brinda) así como de los posibles
mapas relacionales con su organización.

Es muy importante tener claro los siguientes puntos:

• Crear la visión y misión.

• Definir el segmento que se atenderá. (Comunidad)

• Seleccionar un modelo organizacional y servicios.

• Canales de comunicación dentro de la organización y su dominio.

Página 48
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Estructura dentro de la Organización: políticas, procesos y procedimientos.

1.1.4.1 Modelos organizacionales CSIRT

Hay que elegir qué modelo organizacional CSIRT se va a desarrollar. Dependiendo de la
elección existe una sinergia natural de los servicios que se brindarán.

Obviamente el modelo que cada equipo tome en sus inicios podrá ser menor en alcance y can-
tidad pero dependiendo de la experiencia y madurez del equipo estos se podrán ir incremen-
tando según sea la estrategia adoptada.
Tabla 4: Modelos organizacionales CSIRT

Modelo Descripción Servicios

Es la organización que se da Básicos:

de hecho cuando no existe • Análisis de Incidentes.
un CSIRT constituido. No • Respuesta al incidente en el lugar.
hay una asignación formal de • Coordinación de respuesta a incidentes.
responsabilidades respecto a • Respuesta a Vulnerabilidades.
los incidentes de seguridad. • Respuesta a Artefactos.
El personal existente, usual- • Configuración y mantenimiento de herra-
mente de TI, maneja los mientas.
Equipo
eventos de seguridad como • Servicios de detección de intrusiones.
de Seguridad
parte de su actividad habi-
tual. Adicionales:
• Alertas y Advertencias.
• Análisis de Vulnerabilidades.
• Coordinación de respuesta a vulnerabilida-
des.
• Análisis de Artefactos.
• Coordinación de la respuesta a Artefactos.

Es una estructura central pe- Básicos:

queña (al menos un gerente • Alertas y Advertencias.
de seguridad) supervisa y • Análisis de Incidentes.
coordina al personal del • Soporte telefónico / correo electrónico.
equipo distribuido en la orga- • Coordinación de respuesta a incidentes.
nización. • Coordinación de respuesta a vulnerabilida-
Modelo
des.
Distribuido
El personal del equipo distri- • Anuncios.
buido es personal previamen-
te existente en la organiza- Adicionales:
ción. Se le asignan explíci- • Respuesta al incidente en el lugar.
tamente responsabilidades • Análisis de Vulnerabilidades.
relativas a seguridad, a las • Respuesta a Vulnerabilidades.
que se dedica parcial o to- • Análisis de Artefactos.
Página 49
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 talmente. • Respuesta a Artefactos.
• Coordinación de la respuesta a Artefactos.
Este modelo se adecúa bien • Observatorio tecnológico.
a organizaciones grandes en • Auditorías o evaluaciones de seguridad.
las que un equipo centraliza- • Configuración y mantenimiento de herra-
do puede ser insuficiente. mientas.
• Desarrollo de herramientas.
• Servicios de detección de intrusiones.
• Difusión de información relacionada con
seguridad.
• Análisis de Riesgo.
• Planificación de la continuidad del negocio
y recuperación de desastres.
• Consultoría de seguridad.
• Concientización.
• Educación / Capacitación.
• Evaluación y/o certificación de productos.

Consta de un equipo centra- Básicos:

lizado de personal a tiempo • Alertas y Advertencias.
completo que toma la res- • Análisis de Incidentes.
ponsabilidad sobre la seguri- • Soporte telefónico / correo electrónico.
dad en toda la organización. • Coordinación de respuesta a incidentes.
• Coordinación de respuesta a vulnerabilida-
des.
• Coordinación de la respuesta a Artefactos.
• Anuncios.
• Observatorio tecnológico.
• Difusión de información relacionada con
seguridad.

Adicionales:
Modelo
• Respuesta al incidente en el lugar.
Centralizado
• Análisis de Vulnerabilidades.
• Análisis de Artefactos.
• Auditorías o evaluaciones de seguridad.
• Configuración y mantenimiento de herra-
mientas.
• Desarrollo de herramientas.
• Servicios de detección de intrusiones.
• Análisis de Riesgo.
• Planificación de la continuidad del negocio
y recuperación de desastres.
• Consultoría de seguridad.
• Concientización.
• Educación / Capacitación.
• Evaluación y/o certificación de productos.

Página 50
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 Es una combinación entre el Básicos:
modelo distribuido y el cen- • Alertas y Advertencias.
tralizado. • Análisis de Incidentes.
• Soporte telefónico / correo electrónico.
• Coordinación de respuesta a incidentes.
• Coordinación de respuesta a vulnerabilida-
des.
• Coordinación de la respuesta a Artefactos.
• Anuncios
• Observatorio tecnológico.
• Difusión de información relacionada con
seguridad.

Adicionales:
Modelo • Respuesta al incidente en el lugar.
Combinado • Análisis de Vulnerabilidades.
• Respuesta a Vulnerabilidades.
• Análisis de Artefactos.
• Respuesta a Artefactos.
• Auditorías o evaluaciones de seguridad.
• Configuración y mantenimiento de herra-
mientas.
• Desarrollo de herramientas.
• Servicios de detección de intrusiones.
• Análisis de Riesgo.
• Planificación de la continuidad del negocio
y recuperación de desastres.
• Consultoría de seguridad.
• Concientización.
• Educación / Capacitación.
• Evaluación y/o certificación de productos.

Es un equipo centralizado Básicos:

que coordina y facilita el ma- • Alertas y Advertencias.
nejo de incidentes de seguri- • Análisis de Incidentes.
dad. Por lo general atiende a • Soporte telefónico / correo electrónico.
una comunidad objetivo for- • Coordinación de respuesta a incidentes.
mada por organizaciones ex- • Coordinación de respuesta a vulnerabilida-
Modelo
ternas múltiples y diversas. des.
Coordinador
• Coordinación de la respuesta a Artefactos.
• Anuncios
• Observatorio tecnológico.
• Difusión de información relacionada con
seguridad.
• Concientización.
• Educación / Capacitación.
Página 51
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 Adicionales:
• Análisis de Vulnerabilidades.
• Respuesta a Vulnerabilidades.
• Análisis de Artefactos.
• Respuesta a Artefactos.
• Desarrollo de herramientas.
• Análisis de Riesgo.
• Planificación de la continuidad del negocio
y recuperación de desastres.
• Consultoría de seguridad.
• Evaluación y/o certificación de productos.

1.1.4.2 Estudio Organizacional

La organización es un sistema de actividades conscientemente coordinadas formado por dos o
más personas; la cooperación entre ellas es esencial para su existencia. La organización es el
acto de disponer y coordinar los recursos disponibles (materiales, humanos y financieros), y se
hace funcional mediante normas y bases de datos que han sido dispuestas para estos propósi-
tos.

Es relevante la realización de un estudio preciso de la organización dónde se desee implantar

un CSIRT para lograr definir una estructura que se adapte a su futura operación.

Se recomienda que el estudio se enfoque en: tipo de estructura y procedimientos. Naturalmen-

te desembocarán en temas de factibilidad tales como: personal, planificación, presupuesto, in-
formación, finanzas, niveles técnicos, etc.

Generalmente una organización se clasifica bajo los siguientes criterios:

• Finalidad: con fin de lucro ó sin fin de lucro.

• Estructura: formal o informal.

• Tamaño: grande, mediana, pequeña, micro.

• Localización: multinacional, nacional, local o regional.

• Producción: bienes y servicios.

• Propiedad: pública, privada, mixta.

• Grado de integración: total o parcialmente integrada.

• Actitud ante los cambios: rígido o flexible.

También las formas organizacionales son importantes de evaluar:

Página 52
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Actividad o Giro: Industriales, Comerciales, Servicios.

• Origen del Capital: Públicas, Privadas.

• Tamaño de la Organización: Grandes, medianas, micro o pequeñas.

Y por último analizar el ambiente organizacional, se debe de reconocer y responder en forma

rentable antes las necesidades y tendencias que demande:

• Ambiente Externo: la interacción con terceros tales como proveedores, clientes, so-
cios, etc.

• Ambiente Interno: todo lo relacionado con la organización dónde se encuentra o él

mismo CSIRT.

Página 53
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
1.1.4.3 Tipos de estructuras organizacionales
Dentro de los distintos tipos de estructuras organizacionales definidos por los expertos se pos-
tulan a continuación los tipos que a criterio encajan para una organización CSIRT.

1.1.4.3.1 Modelo Funcional

Las actividades se agrupan por funciones comunes desde la base hasta la cima de la organiza-
ción. Consolida el conocimiento y las habilidades humanas de actividades específicas con el
fin de proporcionar una pericia o experiencia de mayor profundidad.

Es más efectiva cuando:

• Es necesaria una alta experiencia para lograr los objetivos organizativos.

• La organización necesita ser controlada y coordinada por medio de la jerarquía vertical.

• La eficiencia es importante.

• No se requiere mucha coordinación horizontal.

Estructura funcional con enlaces horizontales: para hacer frente a los retos actuales, las orga-
nizaciones complementan la jerarquía funcional vertical con vínculos horizontales.

Figura 6: Modelo de Organigrama Funcional.

Página 54
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 Tabla 5: Fortalezas y Debilidades del Modelo Funcional.
MODELO FUNCIONAL
FORTALEZAS DEBILIDADES

• Permite economías de escala en los depar- • Respuesta lenta a los cambios del entorno.
tamentos funcionales. • Puede hacer que las decisiones se acumu-
• Permite el desarrollo de habilidades en pro- len en la parte superior, con sobrecarga de
fundidad. la jerarquía.
• Permite que la organización alcance sus • Conduce a una mala coordinación horizontal
objetivos funcionales. entre departamentos.
• Es mejor con uno o unos cuantos productos. • Da lugar a una menor innovación.
• Implica un punto de vista limitado de las
metas organizacionales.

1.1.4.3.2 Modelo Basado en el Producto

Se organiza de acuerdo a lo que se produce ya sean bienes o servicios; esta forma de organi-
zación es empleada en las grandes compañías donde cada unidad que maneja un producto se
le denomina “divisiones” estos poseen subunidades necesarias para su operación.

Figura 7: Modelo de Organigrama basado en el Producto.

Página 55
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 Tabla 6: Fortalezas y Debilidades del Modelo basado en el Producto.
MODELO BASADO EN EL PRODUCTO
FORTALEZAS DEBILIDADES

• Descentraliza la toma de decisiones. • Reduce la oportunidad de utilizar equipo o

• Se utiliza en organizaciones grandes. personal especializado.
• Rápida adaptación de unidades de trabajo. • Entorpece la estandarización.
• Permite que los problemas de coordinación • Coordinación deficiente entre líneas del
e integración sean detectados lo más pronto producto.
posible y se les de una solución rápida. • Se entorpece la comunicación entre espe-
• Altamente recomendada para la implemen- cialistas, ya que ahora presentan sus servi-
tación de cambios rápidos. cios en diferentes unidades.
• Se logra aislar los problemas concernientes • Los empleados de la organización se divi-
a un producto respecto a los demás y evita den en grupos y se encarga de la produc-
que interfieran los problemas de una función ción de un producto especifico, además ca-
con todos los productos. da grupo tiene un especialista para cada
• Permite el empleo de equipo especializado función y un gerente que es el responsable
para el manejo de materiales, así como de de supervisar el proceso que se lleva a cabo
sistemas especializados de comunicacio- para la obtención del producto o servicio y
nes. además envía un reporte al director general
• Satisfacción del Cliente. de la organización acerca de la evolución de
este proceso, este director general es el
responsable de supervisar que cada gerente
realice de forma adecuada su trabajo y fija
las metas de la organización.

1.1.4.3.3 Basada en los clientes

El tipo particular de clientes que una organización busca alcanzar, puede también ser utilizada
para agrupar empleados. La base de esta departamentalización está en el supuesto de que los
clientes en cada conjunto tienen problemas y necesidades comunes que pueden ser resueltos
teniendo especialistas departamentales para cada uno.

Aquí el cliente es el eje central, la organización se adapta y se subdivide agrupándose el per-

sonal para cumplir las funciones necesarias para satisfacer las necesidades de cada tipo de
cliente.

Página 56
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 Figura 8: Modelo de Organigrama basado en el Cliente.

Tabla 7: Fortalezas y Debilidades del Modelo basado en el Cliente.

MODELO BASADO EN EL CLIENTE
FORTALEZAS DEBILIDADES

• Mejora la adaptación a las necesidades del • Dificultad de coordinación con los departa-
cliente. mentos organizados sobre otras bases, con
• Descentralización del proceso de decisión. una constante presión de los gerentes solici-
• Mejor estandarización de productos. tando excepciones y tratamiento especial.
• Satisfacción del Cliente. • En ciertas ocasiones pueden reducirse o
• Gestión de nichos de negocio de la organi- incrementarse ciertos tipos de clientes, ya
zación. sea por recesiones económicas donde los
comercios minoristas tienden a disminuir y
por el contrario se incrementan los muy pe-
queños negocios, esto requiere más vende-
dores pero disminuye el grado de eficiencia
de los mismos.

1.1.4.3.4 Híbrida
Página 57
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
Esta estructura, reúne algunas de las características importantes de las estructuras anterior-
mente expuestas, la estructura de una organización puede ser de enfoque múltiple, ya que utili-
za al mismo tiempo criterios de productos y función o producto y geografía.

Este tipo de estructuración es utilizada mayormente cuando las empresas crecen y tienen va-
rios productos o mercados, es característico que las funciones principales para cada producto o
mercado se descentralicen y se organicen en unidades específicas, además algunas funciones
también se centralizan y localizan en oficinas centrales cuya función es relativamente estable y
requiere economías de escala y especialización profunda. Cuando se combinan características
de las estructuras funcionales y divisionales, las organizaciones pueden aprovechar las fortale-
zas de cada una y evitar alguna de sus debilidades.

Figura 9: Modelo de Organigrama Híbrido.

Tabla 8: Fortalezas y Debilidades del Modelo Híbrido.

MODELO HÍBRIDO
Página 58
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 FORTALEZAS DEBILIDADES

• Coordinación entre y dentro de las líneas • Se crean conflictos entre el personal corpo-
del producto. rativo y el divisional.
• Coincidencia de objetivos entre las divisio- • Altos costos Administrativos.
nes y la central.
• Eficiencia en los departamentos centraliza-
dos.
• Adaptabilidad, coordinación en las divisio-
nes.

1.1.4.3.5 Matricial
Existen condiciones para la estructura matricial:

• Existe presión para compartir recursos escasos entre las líneas de producto.

• Existe presión ambiental con relación a dos o más resultados cruciales.

• El entorno de la organización es complejo e incierto. (Frecuentes cambios externos y

alta interdependencia departamental. Alta necesidad de coordinación y procesamiento
de información.)

La estructura formaliza los equipos horizontales junto con la tradicional jerarquía vertical. La
estructura matricial es mejor cuando:

• La incertidumbre del entorno es alta.

• Los objetivos reflejan un requerimiento doble, como metas de producto y funcionales.

• Funciona mejor en organizaciones de tamaño mediano con pocas líneas de productos.

Página 59
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 Figura 10: Modelo de Organigrama Matricial.

Tabla 9: Fortalezas y Debilidades del Modelo Matricial.

MODELO MATRICIAL
FORTALEZAS DEBILIDADES

• Logra la coordinación necesaria para satis- • Somete a los participantes a la experiencia

facer las demandas duales de los clientes. de una autoridad dual; esto puede ser frus-
• Comparte flexiblemente los recursos huma- trante y ocasionar confusión.
nos entre productos. • Implica que los participantes necesitan bue-
• Adaptada para decisiones complejas y nas habilidades interpersonales y mucha
cambios frecuentes en un entorno inestable. capacitación.
• Proporciona oportunidades para el desarro- • Consume tiempo; implica frecuentes reunio-
llo de habilidades tanto funcionales como en nes y sesiones para la solución de conflic-
productos. tos.
• Es más adecuada en organizaciones de • No funcionará a menos que los participantes
tamaño mediano con productos múltiples. entiendan y adopten relaciones colegiadas
• Recursos Humanos compartidos. en lugar de tipo vertical.
• Requiere grandes esfuerzos para mantener
el equilibrio de poder.

1.2 Recomendaciones generales respecto de la infraestructura física necesaria

Página 60
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 en las etapas iniciales
Esta sección pretende brindar la información básica necesaria para la creación de un centro de
cómputo que iniciará a brindar los respectivos servicios tecnológicos de información para un
CSIRT en formación.

Obviamente con el crecimiento de la experiencia y el nivel de madurez en sus servicios se

podrá escalar en robustecer cada uno de los puntos según sea la necesidad de cada uno de
los servicios que estén implicados.

1.2.1 Recomendaciones de Seguridad Física y Ambiental

La instalación y ubicación física dentro de la organización depende de muchos factores, entre
los que podemos citar: el servicio que se pretende obtener, el tamaño de la organización, las
disponibilidades de espacio físico existente o planificado, etc.

Se comprende dentro del siguiente detalle la seguridad física y ambiental de las áreas, seguri-
dad del equipo y controles generales.

Generalmente, la instalación física de un centro de cómputo exige tener en cuenta por lo me-
nos los siguientes puntos:

1.2.1.1 Local Físico

Donde se analizará el espacio disponible, el acceso de equipos y personal, instalaciones de
suministro eléctrico, acondicionamiento térmico y elementos de seguridad disponibles.

1.2.1.2 Espacio y Movilidad

Características de las salas, altura, anchura, posición de las columnas, posibilidades de movili-
dad de los equipos, suelo móvil o suelo falso, etc.

1.2.1.3 Tratamiento Acústico

Los equipos ruidosos como las impresoras con impacto, equipos de aire acondicionado o equi-
pos sujetos a una gran vibración, deben estar en zonas donde tanto el ruido como la vibración
se encuentren amortiguados.

1.2.1.4 Ambiente Climático

En cuanto al ambiente climático, la temperatura de una oficina con computadoras debe estar
comprendida entre 18 y 21 grados centígrados y la humedad relativa del aire debe estar com-
prendida entre el 45% y el 65%. En todos los lugares hay que contar con sistemas que renue-
ven el aire periódicamente. No menos importante es el ambiente sonoro por lo que se reco-
mienda no adquirir equipos que superen los 55 decibeles, sobre todo cuando trabajan
muchas personas en un mismo espacio.

1.2.1.5 Instalación Eléctrica

El suministro eléctrico a un centro de cómputo, y en particular la alimentación de los equipos,
debe hacerse bajo unas condiciones especiales, como la utilización de una línea independiente
del resto de la instalación para evitar interferencias, con elementos de protección y seguridad

Página 61
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
específicos y en muchos casos con sistemas de alimentación ininterrumpida (equipos electró-
genos, instalación de baterías, etc.).

1.2.1.6 Picos y Ruidos Electromagnéticos

Las subidas (picos) y caídas de tensión no son el único problema eléctrico al que se han de
enfrentar los usuarios. También está el tema del ruido que interfiere en el funcionamiento de
los componentes electrónicos. El ruido interfiere en los datos, además de favorecer la
escucha electrónica.

1.2.1.7 Cableado
Los cables que se suelen utilizar para construir las redes locales van del cable telefóni-
co normal al cable coaxial o la fibra óptica. Algunos edificios de oficinas ya se constru-
yen con los cables instalados para evitar el tiempo y el gasto posterior, y de forma que se mi-
nimice el riesgo de un corte, rozadura u otro daño accidental. Es importante tener presente que
el cableado posee varias categorías y el asesorarse cuál es la más indicada para el uso que se
requiera es una parte vital del proceso de selección. Y por último aplicar procesos de certifica-
ción sobre el cableado instalado es altamente recomendable.

Los riesgos más comunes para el cableado se pueden resumir en los siguientes:

1. Interferencia: estas modificaciones pueden estar generadas por cables de alimenta-

ción de maquinaria pesada o por equipos de radio o microondas. Los cables de
fibra óptica no sufren el problema de alteración (de los datos que viajan a través de él)
por acción de campos eléctricos, que si sufren los cables metálicos.

2. Corte del cable: la conexión establecida se rompe, lo que impide que el flujo de datos
circule por el cable.

3. Daños en el cable: los daños normales con el uso pueden dañar el apantallamiento
que preserva la integridad de los datos transmitidos o dañar al propio cable, lo que hace
que las comunicaciones dejen de ser fiables.

En la mayor parte de las organizaciones, estos problemas entran dentro de la categoría de da-
ños naturales. Sin embargo también se pueden ver como un medio para atacar la red si el ob-
jetivo es únicamente interferir en su funcionamiento.

El cable de red ofrece también un nuevo frente de ataque para un determinado intruso que in-
tentase acceder a los datos. Esto se puede hacer:

1. Desviando o estableciendo una conexión no autorizada en la red: un sistema

de administración y procedimiento de identificación de acceso adecuados hará difícil
que se puedan obtener privilegios de usuarios en la red, pero los datos que fluyen a
través del cable pueden estar en peligro.
2. Haciendo una escucha sin establecer conexión, los datos se pueden seguir y pueden
verse comprometidos.

Página 62
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 3. Luego, no hace falta penetrar en los cables físicamente para obtener los datos
que transportan.

1.2.1.7.1 Cableado de Alto Nivel de Seguridad

Son cableados de redes que se recomiendan para instalaciones con grado de seguridad militar.
El objetivo es impedir la posibilidad de infiltraciones y monitoreos de la información que circula
por el cable. Consta de un sistema de tubos (herméticamente cerrados) por cuyo interior circu-
la aire a presión y el cable. A lo largo de la tubería hay sensores conectados a una computado-
ra. Si se detecta algún tipo de variación de presión se dispara un sistema de alarma.

1.2.1.7.2 Pisos de Placas Extraíbles

Los cables de alimentación, comunicaciones, interconexión de equipos, receptáculos aso-
ciados con computadoras y equipos de procesamiento de datos pueden ser, en caso
necesario, alojados en el espacio que, para tal fin se dispone en los pisos de placas extraíbles,
debajo del mismo.

1.2.1.7.3 Sistema de Aire Acondicionado

Se debe proveer un sistema de calefacción, ventilación y aire acondicionado separado, que se
dedique al cuarto de computadoras y equipos de proceso de datos en forma exclusiva. Te-
niendo en cuenta que los aparatos de aire acondicionado son causa potencial de incen-
dios e inundaciones, es recomendable instalar redes de protección en todo el sistema de cañer-
ía al interior y al exterior, detectores y extintores de incendios, monitores y alarmas efectivas.

1.2.1.7.4 Emisiones Electromagnéticas

Desde hace tiempo se sospecha que las emisiones de muy baja frecuencia que generan algu-
nos periféricos, son dañinas para el ser humano. Según recomendaciones científicas estas
emisiones podrían reducirse mediante filtros adecuados al rango de las radiofrecuencias, sien-
do estas totalmente seguras para las personas. Para conseguir que las radiaciones sean
mínimas hay que revisar los equipos constantemente y controlar su envejecimiento.

1.2.1.8 Iluminación
El sistema de iluminación debe ser apropiado para evitar reflejos en las pantallas, falta de luz
en determinados puntos, y se evitará la incidencia directa del sol sobre los equipos. Las ofici-
nas mal iluminadas son la principal causa de la pérdida de la productividad en las organiza-
ciones y de un gasto energético excesivo. Una iluminación deficiente provoca dolores de
cabeza y perjudica a los ojos.

1.2.1.9 Seguridad Física del Local

Se estudiará el sistema contra incendios, teniendo en cuenta que los materiales sean incom-
bustibles (pintura de las paredes, suelo, techo, mesas, estanterías, etc.). También se estudiará

Página 63
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
la protección contra inundaciones y otros peligros físicos que puedan afectar a la instalación y
condiciones geográficas del lugar.

1.2.1.10 Próximos pasos

Es inevitable el seguir creciendo sobre la base instalada y es allí donde se hace muy importan-
te el no perder de vista que es necesario reforzar otros elementos para que apoyen la estrate-
gia de escalabilidad y robustecimiento de la seguridad. A continuación se listan los elementos
importantes que deben de ser tomados en cuenta según sea el caso:

1.2.1.10.1 Aseguramiento Contra Situaciones Hostiles

Robo de Equipo e Información, Fraude electrónico y Sabotaje.

1.2.1.10.2 Control de Accesos

Establecer control de accesos de personas y vehículos, implementación de detectores de meta-
les, sistemas biométricos (emisión de calor, huella digital, verificación de voz, verificación de
patrones oculares), verificación automática de firmas, seguridad con animales, protección
electrónica (barreras infrarrojas y de microondas, detectores ultrasónicos, circuitos cerrados,
sonorización y dispositivos luminosos).

1.2.1.11 Conclusiones
Evaluar y controlar permanentemente la seguridad física del local es la base para comenzar a
integrar la seguridad como una función primordial dentro de cualquier organización.

Tener controlado el ambiente y acceso físico permite:

• Disminuir siniestros.
• Trabajar mejor manteniendo la sensación de seguridad.
• Descartar falsas hipótesis si se produjeran incidentes.
• Tener los medios para luchar contra accidentes.

Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado
del medio en el que nos desempeñamos; y así tomar decisiones sobre la base de la
información brindada por los medios de control adecuados.

Estas decisiones pueden variar desde el conocimiento de las áreas que recorren ciertas perso-
nas hasta el extremo donde pueden evacuar el local en caso de accidentes.

1.2.2 Recomendaciones sobre la arquitectura de redes de un CSIRT

En esta sección se brindan varias recomendaciones sobre: el ambiente físico, infraestructura
de red, hardware, software, infraestructura de telecomunicaciones y cuatro diagramas que de-
tallan posibles escenarios de implementación de una topología de red para un CSIRT según
sean sus posibilidades y necesidades.

Es importante hacer mención que este detalle brinda un bosquejo bastante global de los ele-
mentos que tienen que ser tomados en cuenta para la implementación de una arquitectura de
red para un CSIRT en particular.
Página 64
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
1.2.2.1 Ambiente Físico
Las áreas relevantes a tratar dentro del ambiente físico son las siguientes:

• Áreas Administrativas: las áreas administrativas así como las salas de reuniones o
apoyo podrán ser compartidas con el resto de la organización.

• Áreas Operativas: tales como salas de trabajo de los equipos técnicos, sala de servido-
res y sala de laboratorios son considerados ambientes críticos y deberán tener imple-
mentaciones de aspectos de seguridad física específica.

Es importante considerar dentro de todas las áreas físicas cuales pueden ser tomadas como
críticas y cuáles no. Para los ambientes críticos deberán ser contempladas las siguientes ca-
racterísticas de seguridad:

• Ambiente aislado de otros departamentos.

• Segmentación del Circuito de Servicios: deben de estar separadas físicamente las

redes de computadores así como el acceso hacia el Internet.

• Acceso restringido al ambiente de trabajo, teniendo puertas con mecanismos de se-

guridad como claves, botones magnéticos u otros recursos que permitan acceso res-
tringido y forma de identificar y mantener almacenados los datos de acceso.

• Obedecer la política de seguridad de información del CSIRT y/u organización.

Se recomienda que el ambiente físico contemple ciertas características de seguridad, como:

• Que el acceso y permanencia en el local de terceras personas sea acompañado por in-
tegrantes del CSIRT.

• Tener siempre a disposición medios de protección y prevención: extintores, senso-

res de humo, rociadores, circuito interno de televisión, piso falso, paredes refractarias,
caja fuerte para el almacenamiento de documentos secretos, sistema empresarial de
almacenaje de copias de seguridad.

A continuación se listan las áreas físicas mínimas que se recomiendan para la implementación
operativa de un CSIRT:

• Recepción.

• Oficina del Director.

• Cuarto de Seguridad. (Caja Fuerte)

• Sala de Reuniones.

• Sala de Archivos y Almacenamiento de Medios.

Página 65
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Sala de Capacitación/Entrenamiento.

• Sala de Operaciones.

• Laboratorio.

• Sala de Servidores.

• Sanitarios.
Obviamente dentro de una organización a la que pertenezca el CSIRT gozará del uso de áreas
comunes a todos. (Espacios abiertos, jardines, corredores, sanitarios, áreas de parqueo de
vehículos, etc.) De lo contrario, también tendrán que ser tomadas en cuenta dentro de su defi-
nición.

1.2.2.2 Infraestructura de Red

La infraestructura de la red de computadores del CSIRT debe estar separada de la infraestruc-
tura de la organización en que esté hospedada. El CSIRT debe tener una estructura propia de
subredes y dominios. Red de la organización y red del CSIRT.

Se recomienda que el CSIRT tenga una estructura de red de computadores aislada, permitien-
do implementar segmentos de redes con funciones específicas. Al menos deben de existir dos
segmentos dentro de la red CSIRT:

• Red para la operación en ambiente de producción: para el almacenaje de los datos y

ejecución de las tareas relativas a los servicios.

• Red para tareas de laboratorio: para la aplicación de pruebas y estudios.

Las redes que se conectan con el ambiente externo (Internet) deben de ser protegidas por me-
dio de dispositivos de seguridad según su necesidad. (Firewall, Proxy, IDS, IPS, etc.)

1.2.2.3 Hardware
Para que un CSIRT pueda operar con todas sus posibilidades se hace necesario poseer equi-
pos de uso general. En la siguiente tabla se listan los elementos necesarios a ser tomados en
cuenta.

Tabla 10: Listado de equipos de hardware necesarios para un CSIRT

Equipo Elementos

• Routers.
Equipos y medios
• Switches.
de conectividad
• Hubs.

Página 66
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Cableado Estructurado.
• Enlace con el Internet que cuente con: una velocidad adecuada,
dirección IP válida / bloque de direcciones IP válidas.
• Dispositivos de seguridad. (Antivirus, IDS, IPS)
• Firewall.
• Detección de Intrusos.
• Correo electrónico, WEB, NTP, DNS.
• Registro de bitácoras de sistemas.
Servidores • Archivos.
• Intranet.
• Acceso Remoto (RPV).
• Backup.
• De Pruebas.
• Estaciones de trabajo.
Estaciones de Trabajo • Computadoras portátiles.
y Equipos Portátiles • Accesorios: pen drive, CDs, DVDs, Discos Duros Externos,
Herramientas, etc.
• Caja Fuerte a prueba de fuego para almacenar documentos y
copias de seguridad.
• Infraestructura de protección contra incendios. (Prevención, de-
tección y alarma.)
Equipos para la
• Sistema de refrigeración y aire acondicionado compatible con las
seguridad en
especificaciones de los equipos adquiridos.
ambiente físico
• Infraestructura de protección contra interrupciones en el suminis-
tro de energía eléctrica. (Estabilizadores, nobreaks, grupos de
generadores compartidos con las instalaciones del órgano que
acogerá al CSIRT.)
• Proyector multimedia portátil.
• Impresora Multifuncional. (Impresora, fax y escáner.)
• Dispositivos para la realización de copias de seguridad: grabado-
Otros
res de CD, DVD y Cintas Magnéticas.
• Trituradora de papel.
• Material de Oficina.

1.2.2.4 Software
Dentro de los tipos de software que debe utilizar una organización CSIRT se encuentran las
siguientes recomendaciones:

• Que los sistemas operacionales de los servidores, estaciones de trabajo y equipos

portátiles utilicen software libre, siempre que esto sea posible.

• Procesos de aseguramiento de sistemas.

o Sistemas operacionales.

o Aplicaciones y configuraciones de los equipos utilizados en la red operacional

CSIRT que sigan un patrón y cumplan los siguientes requisitos:

Página 67
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
  Estar configurados en modo seguro.

 Tengan instaladas las últimas actualizaciones y correcciones de seguridad.

 Poseer sistemas de registro de eventos habilitados. (Bitácoras)

• Sistemas de control del flujo de trabajo (Workflow) para el registro y seguimiento de in-
cidentes.

• Sistemas de información en la Web para recoger informaciones de incidentes y divulga-

ción de alertas, recomendaciones y estadísticas.

• Aplicativos de Firewall corporativo para las estaciones de trabajo y equipos portátiles.

• Aplicativos para la detección y prevención de intrusos.

• Servicios de correo electrónico, Web, NTP y DNS.

• Aplicativos de Criptografía y Firma Digital.

• Aplicativos para uso en el Laboratorio. (Aplicativos para el análisis forense)

• Utilización de programas de virtualización de servidores y estaciones de trabajo para

usos internos y de laboratorio.

1.2.2.5 Infraestructura de Telecomunicaciones

A continuación se listan los componentes necesarios para la implementación de los servicios
de un CSIRT:

• Conexión de Alta Velocidad con el Internet (Mínimo)

• PBX, extensiones y correo de voz.

• Equipo de FAX

• Telefonía Móvil para hacer viable la operación 7x24.

Página 68
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
1.2.2.6 Diagramas Sugeridos

1.2.2.6.1 Esquema Uno: Red Básica Segura

Figura 11: Diagrama Uno: Red Básica Segura.

Tabla 11: Detalles sobre un esquema de red básica segura.

Detalles Descripción

• Esquema para brindar servicios reactivos.

• No posee redundancia de servidores.
Características
• Dos segmentos básicos de red administrados por un Firewall.
• Acceso a Internet mínimo de 2 Mbps.

Página 69
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 Software • Se puede utilizar software libre.

1.2.2.6.2 Esquema Dos: Red Segura Redundante

Figura 12: Diagrama Dos: Red Segura Redundante.

Tabla 12: Detalles sobre un esquema de redes seguras redundantes

Detalles Descripción

• Esquema para brindar servicios reactivos.

Características • Con redundancia de servidores.
• Dos segmentos de red regulados por Firewalls.
• Acceso a Internet mínimo de 2 Mbps.
Página 70
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 Software • Se puede utilizar software libre.

1.2.2.6.3 Esquema Tres: Red Segura Segmentada y Redundante

Figura 13: Diagrama Tres: Red Segura Segmentada y Redundante.

Tabla 13: Detalles sobre un esquema de redes seguras segmentadas y redundantes.

Detalles Descripción

• Esquema para brindar servicios reactivos y proactivos.

• Sensores y servidor con Sistema de Detección de Intrusos (IDS).
• Con redundancia de servidores.
Características
• Enlaces a Internet Redundantes.
• Alta disponibilidad en los servicios.
• Tres segmentos de red para servicios de la organización.
Página 71
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Una red especializada para pruebas. (Laboratorio de Pruebas)
• Accesos entre segmentos regulados por varios Firewalls.
• Acceso a Internet
o Enlace principal a 8 Mbps.
o Enlace secundario para pruebas a 2 Mbps.
Software • Se puede utilizar software libre.

1.2.2.6.4 Esquema Cuatro: Red Segura Segmentada Separada de la Organización

Figura 14: Diagrama Cuatro: Red Segura Segmentada separada de la Organización.

Tabla 14: Detalles sobre un esquema de red segmentada separada de la organización.

Detalles Descripción

• Esquema para brindar servicios reactivos y proactivos.

Características • Separación física de la red CSIRT y de la organización.
• Enlaces para el acceso al Internet redundantes para la red CSIRT.
Página 72
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Sensores y Servidor con Sistema de Detección de Intrusos (IDS).
• Red aislada para Pruebas de laboratorio.
• Tres redes diferentes.
• Niveles de acceso internos regulado por los Firewalls entre la Orga-
nización y el CSIRT.
• Acceso a Internet
o Enlace de la Organización: 2 Mbps.
o Enlaces redundantes CSIRT: 4 Mbps.
o Enlace para red de Laboratorio: 2 Mbps.
Software • Se puede utilizar software libre.

1.2.3 Servicios informáticos iniciales de un CSIRT

Los servicios informáticos que brinde un CSIRT deben de ir de la mano del tipo de servicios
que otorgue el CSIRT a su comunidad. Para ello es relevante tener claro que tipos de servicio
brindará el CSIRT y sus respectivas necesidades de servicios informáticos que tiene que im-
plementar.

1.2.3.1 Servicios CSIRT

Un CSIRT puede realizar funciones proactivas, reactivas y de investigación para ayudar a pro-
teger y asegurar los bienes críticos de una organización o de una comunidad. No hay un grupo
de funciones o servicios estándares que pueda ofrecer un CSIRT. Cada equipo elige sus ser-
vicios basados en las necesidades de su área de cobertura de servicio.

Para detallar esto se presenta la siguiente tabla:

Tabla 15: Servicios CSIRT.

Servicio Procesos

• Servicio de alertas.
• Gestión de incidentes.
o Análisis de incidentes.
o Respuesta a incidentes en sitio.
o Soporte de respuesta a incidentes.
o Coordinación de respuesta a incidentes.
• Gestión de vulnerabilidades.
Servicios Reactivos
o Análisis de vulnerabilidades.
o Respuesta a vulnerabilidades.
o Coordinación de respuesta a vulnerabilidades.
• Gestión de Artefactos (*).
o Análisis.
o Respuesta.
o Coordinación de la respuesta.
• Comunicados.
Servicios Proactivos
• Vigilancia tecnológica.
Página 73
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Auditorías de seguridad o evaluaciones.
• Configuración y mantenimiento de seguridad, herramientas y
aplicaciones e infraestructura.
• Desarrollo de herramientas de seguridad.
• Servicios de detección de intrusos.
• Difusión de información relacionada con la seguridad.
• Análisis de riesgos.
• Continuidad de negocio y plan de recuperación de desastres.
Calidad de los
• Consultoría de seguridad.
servicios de gestión
• Sensibilización en seguridad.
de la seguridad
• Educación / Entrenamiento.
• Evaluación de productos o certificación.
(*) Artefacto: herramientas, programas o porciones de código utilizadas por los atacantes para
lograr vulnerar la seguridad de un sistema.

Debe tenerse en cuenta que algunos servicios tienen tanto un aspecto reactivo como uno pro-
activo. Por ejemplo, la gestión de vulnerabilidades puede realizarse en respuesta al descubri-
miento de una vulnerabilidad que está siendo activamente explotada. Pero también puede
hacerse proactivamente revisando y testeando código para determinar dónde hay vulnerabili-
dades, por lo tanto los problemas pueden ser reparados antes de que sean ampliamente cono-
cidos o explotados.

Algunos equipos pueden ofrecer muchos servicios de esta lista; otros pueden tener capacidad
para proveer algunos pocos; aún otros equipos pueden compartir la responsabilidad de proveer
estos servicios con otras partes de la organización de la que dependen, o pueden tercerizar
algunos servicios para respuesta a un incidente o contratar a un proveedor de servicios de ges-
tión de la seguridad.

La experiencia ha demostrado que cualquiera que sean los servicios que un CSIRT elige ofre-
cer, la organización de la que dependen o gerencia debe asegurar que el equipo tiene los re-
cursos necesarios (gente, experiencia técnica, equipamiento e infraestructura) para proveer un
servicio valioso para los miembros del área de cobertura, o el CSIRT no tendrá éxito y sus des-
tinatarios no informarán incidentes al equipo.

Además, como hay cambios constantes en la tecnología y el uso de Internet, pueden emerger
otros servicios que necesiten ser provistos por un CSIRT. Esta lista de servicios por lo tanto
necesitará evolucionar y cambiar con el transcurso del tiempo.

1.2.3.2 Servicios informáticos de un CSIRT

Los servicios informáticos de un CSIRT deben estar acorde a la administración de la seguridad
de la organización y deben dividir sus tareas en tres grupos relevantes:

• Autenticación: establecer las entidades que pueden tener acceso al universo de

recursos de cómputo que posee un CSIRT.

Página 74
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Autorización: es el hecho de que las entidades autorizadas a tener acceso a
los recursos de cómputo, tengan acceso únicamente a las áreas de trabajo sobre
las cuales ellas deben tener dominio.

• Auditoría: se refiere a la continua vigilancia de los servicios en producción. Entra de-

ntro de este grupo el mantener estadísticas de acceso, estadísticas de uso y
políticas de acceso físico a los recursos.
Los servicios informáticos para un CSIRT, y específicamente, la definición de los sistemas in-
formáticos necesarios para su operación deben de ser consistentes con los métodos de protec-
ción que el CSIRT posea.
A continuación se listan los métodos de protección más comúnmente empleados dentro de una
estructura CSIRT.

Tabla 16: Métodos comúnmente utilizados para la protección en un CSIRT.

Método Descripción

Permiten analizar las bitácoras de los sistemas en busca de pa-

Sistemas de trones de comportamiento o eventos que puedan considerarse
Detección de Intrusos sospechosos, sobre la base de la información con la que han sido
previamente alimentados. Pueden considerarse como monitores.

Monitorean las conexiones que se intentan establecer en una

red o equipo en particular, siendo capaces de efectuar una ac-
Sistemas Orientados ción sobre la base de métricas como: origen y destino de la
a la Conexión de Red conexión, servicio solicitado, permisos, etc. Las acciones que
pueden emprender suelen ir desde el rechazo de la conexión
hasta alerta al administrador.

Analizan sistemas en busca de vulnerabilidades conocidas

Sistemas de Análisis anticipadamente. La “desventaja” de estos sistemas es que pue-
de Vulnerabilidades den ser utilizados tanto por personas autorizadas como por
personas que buscan acceso no autorizado al sistema.

Sistemas de Protección Sistemas que mediante criptografía o sumas de verificación

de Integridad tratan de asegurar que no ha habido alteraciones inde-
de Información seadas en la información que se intenta proteger.

Herramientas que utilizan criptografía para asegurar que la infor-

Sistemas de Protección
mación sólo sea visible para quien tiene autorización. Su aplica-
a la Privacidad de
ción se realiza principalmente en las comunicaciones entre dos
la Información
entidades.

Página 75
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
Resumiendo, un modelo de seguridad debe de estar formado por múltiples componentes o ca-
pas que pueden ser incorporadas a la organización CSIRT según vaya madurando en la im-
plementación y aplicación de los métodos de protección mencionados. Puntualmente se brinda
un listado de aplicaciones de software que entran dentro del esquema de los distintos métodos
de protección y que son elementos fundamentales para operativizar los distintos servicios in-
formáticos que posea un CSIRT.

1.2.3.2.1 Aplicaciones que apoyan la implementación de los servicios informáti-

cos CSIRT

1.2.3.2.1.1 Sistema de Seguimiento de Incidentes

Denominado en inglés como issue tracking system, trouble ticket system o incident ticket sys-
tem. Es un paquete de software que administra y mantiene listas de incidentes, conforme son
requeridos. Los sistemas de este tipo son comúnmente usados en la central de llamadas de
servicio al cliente de una organización para crear, actualizar y resolver incidentes reportados
por usuarios, o inclusive incidentes reportados por otros empleados de la organización. Un sis-
tema de seguimiento de incidencias también contiene una base de conocimiento que contiene
información de cada cliente, soluciones a problemas comunes y otros datos relacionados. Un
sistema de reportes de incidencias es similar a un Sistema de seguimiento de errores (bugtrac-
ker) y, en algunas ocasiones, una compañía de software puede tener ambos, y algunos bug-
trackers pueden ser usados como un sistema de seguimiento de incidentes, y viceversa.

1.2.3.2.1.2 Correo Electrónico Seguro

El empleo de certificados personales de empresa le ayudará a asegurar sus comunicaciones a
través del correo electrónico. Por un lado podrá firmar sus mensajes desde los clientes de co-
rreo de mayor uso en la actualidad, garantizando de esta manera su autenticidad (que el emi-
sor del mensaje es quien dice ser), integridad (que el contenido del mensaje no ha sido altera-
do) y no repudio (que no se podrá negar la autoría del mensaje). El proceso de firma de un e-
mail se basa en la criptografía de clave pública o asimétrica y puede resumirse de la siguiente
forma: el emisor creará un resumen a partir del propio mensaje (hash) y lo cifrará con su clave
privada, este resumen será enviado junto con el mensaje original al receptor, el cual, al recibir-
lo, descifrará el hash recibido al tiempo que creará un nuevo resumen del mensaje que le llega.
Si al comparar ambos hash éstos son idénticos la firma será válida. Este proceso, que en la
teoría resulta algo complejo, se hace totalmente transparente al usuario a través de las aplica-
ciones de gestión de correo. Por otro lado, de manera alternativa o complementaria a la firma
de un documento, a través de un certificado personal de empresa podremos cifrar el contenido
de un mensaje, garantizando de esta manera la confidencialidad del mismo, ya que sólo el re-
ceptor del mensaje encriptado podrá desencriptarlo. El procedimiento de cifrado es inverso al
de firma: el emisor cifrará el mensaje con la clave pública del receptor, por lo que éste será el
único que podrá descifrarlo usando su clave privada (que sólo él conoce).

Página 76
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
1.2.3.2.1.3 Sistemas de Comunicaciones Seguras
Existen varios sistemas de comunicaciones seguras en el mercado. Es importante saber qué
tipo de seguridad brinda y es por ello que se brinda un listado que describe las características
más importantes de cada uno:

• SSH (Secure Shell), stelnet: SSH y stelnet son programas que le permiten efectuar co-
nexiones con sistemas remotos y mantener una conexión cifrada. Con esto evitamos,
entre otras cosas, que las claves circulen por la red sin cifrar.

• Cryptographic IP Encapsulation (CIPE): CIPE cifra los datos a nivel de red. El viaje de
los paquetes entre hosts se hace cifrado. A diferencia de SSH que cifra los datos por
conexión, lo hace a nivel de socket. Así como una conexión lógica entre programas que
se ejecutan en hosts diferentes, está cifrada. CIPE se puede usar en tunnelling para
crear una Red Virtual Privada (RPV). El cifrado a bajo nivel tiene la ventaja de poder
hacer trabajar la red de forma transparente entre las dos redes conectadas en la RPV
sin ningún cambio en el software de aplicación.

• SSL: o Secure Sockets Layer, proporciona los siguientes servicios:

o Cifrado de datos: la información transferida, aunque caiga en manos de un atacante,

será indescifrable, garantizando así la confidencialidad.

o Autenticación de servidores: el usuario puede asegurarse de la identidad del servi-

dor al que se conecta y al que posiblemente envíe información personal confiden-
cial.

o Integridad de mensajes: impide que modificaciones intencionadas o accidentales en

la información pasen inadvertidas cuando viaja por el Internet.

o Opcionalmente, autenticación de cliente: permite al servidor conocer la identidad del

usuario, con el fin de decidir si puede acceder a ciertas áreas protegidas.

1.2.3.2.1.4 Firewall
Es una parte de un sistema o una red que está diseñado para bloquear el acceso no autoriza-
do, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o con-
junto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los dife-
rentes ámbitos sobre la base de un conjunto de normas y otros criterios. Pueden ser imple-
mentados en hardware o software, o una combinación de ambos. Se utilizan con frecuencia
para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conec-
tadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intra-
net pasan a través de él, examina cada mensaje y bloquea aquellos que no cumplen los crite-
rios de seguridad especificados. También es frecuente conectar una tercera red, llamada zona
desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben per-
manecer accesibles desde la red exterior. Correctamente configurado añade una protección
necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad in-
formática abarca más ámbitos y más niveles de trabajo y protección.

Página 77
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
1.2.3.2.1.5 Wrappers
Un Wrapper es un programa que controla el acceso a un segundo programa. El Wrap-
per literalmente cubre la identidad de este segundo programa, obteniendo con esto un
más alto nivel de seguridad. Los Wrappers son usados dentro de la seguridad en sis-
temas UNIXs. Estos programas nacieron por la necesidad de modificar el comportamien-
to del sistema operativo sin tener que modificar su funcionamiento.

Los Wrappers son ampliamente utilizados, y han llegado a formar parte de

herramientas de seguridad por las siguientes razones:

• Debido a que la seguridad lógica está concentrada en un solo programa, los

Wrappers son fáciles y simples de validar.

• Debido a que el programa protegido se mantiene como una entidad separada, éste
puede ser actualizado sin necesidad de cambiar el Wrapper.

• Debido a que los Wrappers llaman al programa protegido mediante llamadas

estándar al sistema, se puede usar un solo Wrapper para controlar el acceso a
diversos programas que se necesiten proteger.

• Permite un control de accesos exhaustivo de los servicios de comunicaciones,

además de buena capacidad de Logs y auditorías de peticiones a dichos servicios, ya
sean autorizados o no.

1.2.3.2.1.6 Listas de Control de Acceso

Las Listas de Control de Accesos (ACL) proveen de un nivel de seguridad adicional a
los clásicos provistos por los Sistemas Operativos. Estas listas permiten definir permisos
a usuarios y grupos concretos. Por ejemplo pueden definirse sobre un Proxy una lista de todos
los usuarios (o grupos de ellos) a quien se les permite el acceso a Internet, FTP, etc. También
podrán definirse otras características como limitaciones de anchos de banda y horarios.

1.2.3.2.1.7 HoneyPot
Es el software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser
sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática
utilizada para recoger información sobre los atacantes y sus técnicas. Los Honeypots pueden
distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al
administrador del sistema de un ataque, además de permitir un examen en profundidad del
atacante, durante y después del ataque al honeypot.

Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes
en la realidad y se les conoce como honeypots de baja interacción y son usados fundamental-
mente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos re-
ales y son capaces de reunir mucha más información; sus fines suelen ser de investigación y
se los conoce como honeypots de alta interacción.
Página 78
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
Un tipo especial de honeypot de baja interacción son los sticky honeypots (honeypots pegajo-
sos) cuya misión fundamental es la de reducir la velocidad de los ataques automatizados y los
rastreos.

En el grupo de los honeypots de alta interacción nos encontramos también con los honeynet.

También se llama honeypot a un website o sala de Chat, que se ha creado para descubrir a
otro tipo de usuarios con intenciones criminales.

1.2.3.2.1.8 Sistemas de Detección de Intrusos

Un sistema de detección de intrusos (IDS) es un componente más dentro del modelo
de seguridad de una organización. Consiste en detectar actividades inapropiadas, incorrec-
tas o anómalas desde el exterior–interior de un sistema informático.

Los sistemas de detección de intrusos pueden clasificarse, según su función y compor-

tamiento en:

• Host–Based IDS: operan en un host para detectar actividad maliciosa en el mismo.

• Network–Based IDS: operan sobre los flujos de información intercambiados en una

red.

• Knowledge–Based IDS: sistemas basados en Conocimiento.

• Behavior–Based IDS: sistemas basados en Comportamiento. Se asume que una in-

trusión puede ser detectada observando una desviación respecto del
comportamiento normal o esperado de un usuario en el sistema.

La idea central de este tipo de detección es el hecho de que la actividad intrusiva es un conjun-
to de actividades anómalas. Si alguien consigue entrar de forma ilegal al sistema, no ac-
tuará como un usuario comprometido; su comportamiento se alejará del de un usuario normal.

Sin embargo en la mayoría de las ocasiones una actividad intrusiva resulta del agrega-
do de otras actividades individuales que por sí solas no constituyen un comportamiento intrusi-
vo de ningún tipo. Así las intrusiones pueden clasificarse en:

• Intrusivas pero no anómalas: denominados Falsos Negativos (el sistema erró-

neamente indica ausencia de intrusión). En este caso la actividad es intrusiva pero co-
mo no es anómala no es detectada. No son deseables, porque dan una falsa sensación
de seguridad del sistema.

• No intrusivas pero anómalas: denominados Falsos Positivos (el sistema erró-

neamente indica la existencia de intrusión). En este caso la actividad es no in-
trusiva, pero como es anómala el sistema “decide” que es intrusiva. Deben inten-
tar minimizarse, ya que en caso contrario se ignorarán los avisos del sistema, incluso
cuando sean acertados.

Página 79
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • No intrusiva ni anómala: son Negativos Verdaderos, la actividad es no intrusiva y se
indica como tal.

• Intrusiva y anómala: se denominan Positivos Verdaderos, la actividad es intrusiva y es

detectada.

Los detectores de intrusiones anómalas requieren mucho gasto computacional, ya que se si-
guen normalmente varias métricas para determinar cuánto se aleja el usuario de lo que se con-
sidera comportamiento normal.

1.2.3.2.1.9 Call Back

Este procedimiento es utilizado para verificar la autenticidad de una llamada vía Modem.
El usuario llama, se autentifica contra el sistema, se desconecta y luego el servidor se conecta
al número que en teoría pertenece al usuario. La ventaja reside en que si un intruso desea
hacerse pasar por el usuario, la llamada se devolverá al usuario legal y no al del intruso, sien-
do este desconectado. Como precaución adicional, el usuario deberá verificar que la llamada
(retorno) proceda del número a donde llamó previamente.

1.2.3.2.1.10 Gestor de Contraseñas

Es un programa que se utiliza para almacenar una gran cantidad de parejas usua-
rio/contraseña. La base de datos donde se guarda esta información está cifrada mediante una
única clave (contraseña maestra o en inglés master password), de forma que el usuario sólo
tenga que memorizar una clave para acceder a todas las demás. Esto facilita la administración
de contraseñas y fomenta que los usuarios escojan claves complejas sin miedo a no ser capa-
ces de recordarlas posteriormente.

1.2.3.2.1.11 Anti Sniffers

Esta técnica consiste en detectar Sniffers en el sistema. Generalmente estos programas se
basan en verificar el estado de la tarjeta de red, para detectar el modo en el cual
está actuando (recordar que un Sniffer la coloca en Modo Promiscuo) y el tráfico de datos en
ella.

1.2.3.2.1.12 Herramientas Criptográficas

Tales como:

• Criptografía: la palabra Criptografía proviene etimológicamente del griego (Kriptos:

Oculto) y (Grafo: Escritura) y significa “arte de escribir con clave secreta o de un modo
enigmático”. Hace varios años que dejó de ser un arte para convertirse en una
técnica (o conjunto de ellas) que tratan sobre la protección (ocultamiento ante
personas no autorizadas) de la información. Entre las disciplinas que engloba ca-
be destacar la Teoría de la Información, la Matemática Discreta, la Teoría de los Gran-
des Números y la Complejidad Algorítmica. Es decir que la Criptografía es la cien-
cia que consiste en transformar un mensaje inteligible en otro que no lo es (median-
te claves que sólo el emisor y el destinatario conocen), para después devolverlo a su
Página 80
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 forma original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo.
El mensaje cifrado recibe el nombre de Criptograma.

• Criptoanálisis: Es el arte de estudiar los mensajes ilegibles, encriptados, para

transformarlos en legibles sin conocer la clave, auque el método de cifrado empleado
siempre es conocido.

• Criptosistema: todo Criptosistema cumple la condición DK(EK(m)) = m es decir, que si

se tiene un mensaje m, se cifra empleando la clave K y luego se descifra empleando la
misma clave, se obtiene el mensaje original m. Existen dos tipos fundamentales de
Criptosistemas utilizados para cifrar datos e información digital y ser enviados poste-
riormente después por medios de transmisión libre.

o Simétricos o de clave privada: se emplea la misma clave K para cifrar y descifrar,

por lo tanto el emisor y el receptor deben poseer la clave. El mayor inconveniente
que presentan es que se debe contar con un canal seguro para la transmi-
sión de dicha clave.

o Asimétricos o de llave pública: se emplea una doble clave conocidas como

Kp (clave privada) y KP (clave Pública). Una de ellas es utilizada para
la transformación E de cifrado y la otra para el descifrado D. En muchos de
los sistemas existentes estas clave son intercambiables, es decir que si empleamos
una para cifrar se utiliza la otra para descifrar y viceversa.

o Entre los algoritmos utilizados se encuentran: Transposición, Cifrados Monoal-

fabéticos (Algoritmo de César y Sustitución General).

• Algoritmos Simétricos: La mayoría de los algoritmos simétricos actuales se apo-

yan en los conceptos de Confusión y Difusión, estos métodos consisten en ocultar la
relación entre el texto plano, el texto cifrado y la clave (Confusión); y repartir la influen-
cia de cada bit del mensaje original lo más posible entre el mensaje cifrado (Difusión).
A continuación se listan algunos algoritmos: Redes de Feistel, DES, DES Triple, IDEA,
Blowfish, RC5, CAST, Rijndael (AES).

• Algoritmos Asimétricos (Llave Privada / Llave Pública): Su principal característica es

que no se basa en una única clave sino en un par de ellas: una conocida (Pública) y
otra Privada. Actualmente existen muchos algoritmos de este tipo pero han de-
mostrado ser poco utilizables en la práctica ya sea por la longitud de las clave, la longi-
tud del texto encriptado generado o su velocidad de cifrado extremadamente largos.

o RSA: es el más empleado en la actualidad, sencillo de comprender e implementar,

aunque la longitud de sus claves es bastante considerable (ha pasado desde sus
200 bits originales a 2048 actualmente).

o Curvas Elípticas (CEE): la eficiencia de este algoritmo radica en la longitud

reducida de las claves, lo cual permite su implementación en sistemas de ba-
jos recursos como teléfonos celulares y Smart Cards.

Página 81
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 Puede hacerse la siguiente comparación con RSA, obteniendo el mismo nivel
de seguridad:

CCE de 163 bits = RSA de 1024 bits

CCE de 224 bits = RSA de 2048 bits

• Autentificación: Se entiende por Autentificación cualquier método que permita ga-

rantizar alguna característica sobre un objeto dado.

o Firmas Digitales: Una firma digital se logra mediante una Función Hash de Resu-
men. Esta función se encarga de obtener una “muestra única” del mensaje original.
Dicha muestra es más pequeña y es muy difícil encontrar otro mensaje que tenga la
misma firma. Las funciones Hash están basadas en que un mensaje de longi-
tud arbitraria se transforma en un mensaje de longitud constante dividiendo el
mensaje en partes iguales, aplicando la función de transformación a cada parte y
sumando todos los resultados obtenidos. Actualmente se recomienda utilizar firmas
de al menos 128 bits (38 dígitos) siendo 160 bits (48 dígitos) el valor más utilizado.

o MD5: El Message Diggest 5 procesa los mensajes de entrada en bloques de 512, y

produce una salida de 128 bits.

o SHA-1: genera firmas de 160 bits a partir de bloques de 512 bits del mensaje origi-
nal.

• PGP (Pretty Good Privacy): es un programa desarrollado por Phil Zimmermann y cuya
finalidad es proteger la información distribuida a través de Internet mediante el uso de
criptografía de clave pública, así como facilitar la autenticación de documentos gracias a
firmas digitales. Utilizado correctamente, PGP puede proporcionar un gran nivel de se-
guridad. A diferencia de protocolos de seguridad como SSL, que sólo protege los datos
en tránsito (es decir, mientras se transmiten a través de la red), PGP también puede uti-
lizarse para proteger datos almacenados en discos, copias de seguridad, etcétera. PGP
usa una función de 4 claves.

• Esteganografía: consiste en ocultar en el interior de información aparentemente

inocua, otro tipo de información (cifrada o no). El texto se envía como texto plano, pe-
ro entremezclado con mucha cantidad de “basura” que sirve de camuflaje al mensaje
enviado. El método de recuperación y lectura sólo es conocido por el destinatario del
mensaje y se conoce como “separar el grano de la paja”. Los mensajes suelen ir ocul-
tos entre archivos de sonido o imágenes y ser enormemente grandes por la cantidad ex-
tra de información enviada (a comparación del mensaje original).

1.2.3.2.1.13 Aplicaciones de aseguramiento de protocolos y servicios

Cuando se implementan aplicaciones informáticas se instalan servicios que están asociados a
protocolos que permiten su funcionalidad bajo un ambiente determinado. Cada uno de los pro-
tocolos y servicios tienen su debilidad ya sea en su implementación o en su uso.

Ya que es necesaria la conectividad entre equipos, se ha de ofrecer los mínimos servi-

cios necesarios para que todo funcione correctamente; esto choca frontalmente con las políti-
Página 82
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
cas de la mayoría de fabricantes y empresas, que por defecto mantienen la mayoría de
servicios abiertos al instalar un equipo nuevo: es responsabilidad del administrador preocupar-
se de cerrar los que no sean estrictamente necesarios.

A continuación se brinda un listado de los protocolos y servicios comunes dentro de la imple-

mentación de una red informática: NetBIOS, ICMP, FINGER, POP, NNTP, NTP, TFTP, FTP,
TELNET, SMTP, Servidores Web.

1.2.3.2.1.14 Otros Protocolos de Seguridad

• SSH (Secure SHell, en español: intérprete de órdenes segura): es el nombre de un pro-

tocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a
través de una red. Permite manejar por completo la computadora mediante un intérprete
de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas
gráficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo. Además de
la conexión a otras máquinas, SSH nos permite copiar datos de forma segura (tanto fi-
cheros sueltos como simular sesiones FTP cifradas), gestionar claves RSA para no es-
cribir claves al conectar a las máquinas y pasar los datos de cualquier otra aplicación
por un canal seguro tunelizado mediante SSH.

• S/MIME: El protocolo MIME Seguro fue propuesto por la empresa RSA y des-
pués de su aparición fue propuesto como estándar por la IETF pero por proble-
mas de derechos y restricciones de patentes no pudo ser posible. Utiliza técnicas si-
milares a PGP e incorpora certificados X.509. Aunque no cuente con el apoyo necesa-
rio para ser considerado un estándar, está implementado en muchos programas de co-
rreo electrónico. Tiene la ventaja sobre PGP, que al utilizar Autoridades de Certifica-
ción, es ideal para ser utilizado por empresas y para el comercio electrónico.

• SOCKS: En sus orígenes este protocolo fue aprobado por el IETF como un
estándar para la autentificación ante un Firewalls. Actualmente, y combinado con SSL
provee las bases para construir RPV altamente seguras. Socks permite la conexión
de equipos situados tras un Firewall. Inicialmente fue pensado para permitir el ac-
ceso desde una red interna a servicios disponibles en el exterior, sin embargo puede
emplearse en sentido contrario, para el acceso desde el exterior de la organiza-
ción (protegida con un Firewall). La conexión es validada por el sistema de autentifica-
ción y después el servidor Socks actúa de intermediario con la aplicación situada en el
servidor destino. Socks actua de “envoltura” sobre el protocolo UDP–TCP permitiendo
que los equipos protegidos por el Firewall puedan conectarse a una red insegura, utili-
zando su propia dirección y devolviendo los resultados al cliente. Debe notarse que
Socks sólo autentifica las conexiones pero no produce ningún tipo de cifrado de los da-
tos por lo que se hace necesario combinarlo con algún algoritmo que si lo haga (SSH,
SSL, PPTP, IPSec, etc).

• Kerberos: es un protocolo de autenticación de redes de ordenador que permite a dos

computadores en una red insegura demostrar su identidad mutuamente de manera se-
gura. Sus diseñadores se concentraron primeramente en un modelo de cliente-servidor,
y brinda autenticación mutua: tanto cliente como servidor verifican la identidad uno del
otro. Los mensajes de autenticación están protegidos para evitar eavesdropping (escu-
Página 83
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 char secretamente) y ataques de Replay (Ataques de Reinyección). Kerberos se basa
en criptografía de clave simétrica y requiere un tercero de confianza. Además, existen
extensiones del protocolo para poder utilizar criptografía de clave asimétrica.

1.2.3.2.1.15 Redes Privadas Virtuales (RPV)

La tecnología de RPV proporciona un medio para usar el canal público de Internet co-
mo un canal apropiado para comunicar los datos privados. Con la tecnología de encriptación y
encapsulamiento, una RPV básica, crea un pasillo privado a través de una red insegura. Es
decir que la red pública sólo proporciona la infraestructura para enviar los datos.

El objetivo fundamental de una RPV es proteger los datos durante la transmisión a través de la
red, permitiendo el uso de redes públicas como si fueran privadas (virtualmente privadas). Esta
protección previene el mal uso, modificación, uso no autorizado e interrupciones de acceso a
la información mientras atraviesa los distintos segmentos de la red (o redes).

Una RPV no protege la información mientras está alojada en el origen, o cuando llega y se
aloja en su destino. También puede dejar expuesto los datos durante alguno de los
procesos de encriptación en la red (redes internas antes de la encriptación o redes ex-
ternas después de la desencriptación). Una RPV solo protege los aspectos de protec-
ción en la comunicación, no protege la información alojada en el disco o impresa en pantalla.

1.2.3.2.1.16 Software Antivirus

Los antivirus nacieron como una herramienta simple cuyo objetivo fuera detectar y eliminar vi-
rus informáticos, con el transcurso del tiempo, la aparición de sistemas operativos más avanza-
dos e Internet, los antivirus han evolucionado hacia programas más avanzados que no sólo
buscan detectar un Virus informático, sino bloquear, desinfectar y prevenir una infección de los
mismos, así como actualmente ya son capaces de reconocer otros tipos de malware, como
spyware, rootkits, etc.

El funcionamiento de un antivirus varía de uno a otro, aunque su comportamiento normal se

basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas fir-
mas o vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y
hacia un ordenador.

Adicionalmente, muchos de los antivirus actuales han incorporado funciones de detección pro-
activa, que no se basan en una lista de malware conocido, sino que analizan el comportamiento
de los archivos o comunicaciones para detectar cuáles son potencialmente dañinas para el
computador, con técnicas como Heurística, HIPS, etc.
Usualmente, un antivirus tiene un (o varios) componente residente en memoria que se encarga
de analizar y verificar todos los archivos abiertos, creados, modificados, ejecutados y transmiti-
dos en tiempo real, es decir, mientras el ordenador está en uso.

Asimismo, cuentan con un componente de análisis bajo demando (los conocidos scanners, ex-
ploradores, etc.), y módulos de protección de correo electrónico, Internet, etc.

Página 84
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas
informáticas que puedan afectar un computador y bloquearlas antes de que la misma pueda
infectar un equipo, o poder eliminarla tras la infección. Actualmente hay una gran mayoría de
antivirus pero no todos se asemejan al pretendido por todos, un antivirus eficaz en todos los
sentidos.

1.2.3.2.1.17 Herramientas de análisis Forense

La Informática Forense es una ciencia relativamente nueva y no existen estándares aceptados,
aunque algunos proyectos están en desarrollo.

En la actualidad existen varias herramientas que nos sirven para realizar análisis forenses in-
formáticos sobre:

• Recuperación de evidencias en Discos Duros.

• Recuperación de contraseñas.

• Detección y recuperación de Virus, Troyanos y Spyware.

• Seguridad en el correo electrónico (Hoax).

• Análisis de redes P2P.

• Móviles y tarjetas SIM.

• Procesos en el computador del usuario.

• Anonimato.

• Investigación de información.

1.2.3.2.1.18 Voz sobre IP (VoIP)

Voz sobre Protocolo de Internet, también llamado Voz sobre IP, VozIP, VoIP (por sus siglas en
inglés), es un grupo de recursos que hacen posible que la señal de voz viaje a través de Inter-
net empleando un protocolo IP (Internet Protocol). Esto significa que se envía la señal de voz
en forma digital en paquetes en lugar de enviarla (en forma digital o analógica) a través de cir-
cuitos utilizables sólo para telefonía como una compañía telefónica convencional o PSTN (sigla
de Public Switched Telephone Network, Red Telefónica Pública Conmutada).

Los Protocolos que son usados para llevar las señales de voz sobre la red IP son comúnmente
referidos como protocolos de Voz sobre IP o protocolos IP. El tráfico de Voz sobre IP puede
circular por cualquier red IP, incluyendo aquellas conectadas a Internet, como por ejemplo re-
des de área local (LAN).

Es muy importante diferenciar entre Voz sobre IP (VoIP) y Telefonía sobre IP:

Página 85
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • VoIP es el conjunto de normas, dispositivos, protocolos, en definitiva la tecnología que
permite la transmisión de la voz sobre el protocolo IP.

• Telefonía sobre IP es el conjunto de nuevas funcionalidades de la telefonía, es decir, en

lo que se convierte la telefonía tradicional debido a los servicios que finalmente se pue-
den llegar a ofrecer gracias a poder portar la voz sobre el protocolo IP en redes de da-
tos.

1.3 Beneficios en la implementación de un CSIRT así como su análisis

situacional e implementación de su Presupuesto de Inversión y
Funcionamiento

1.3.1 Beneficios en la implementación de un CSIRT

Un Centro de Respuesta a Incidentes de Seguridad Informática tiene como beneficio principal
la capacidad que le brindará a su comunidad en poderles proveer un servicio en el manejo de
una respuesta rápida que permita contener un incidente de seguridad informática y según sea
el caso el poder posibilitar la recuperación del daño causado por el mismo. Las relaciones o
alianzas con pares que tenga el centro así como el acceso compartido a estrategias de res-
puesta y alertas tempranas hacen más efectiva su operación.

También contribuyen en procesos de aseguramiento de sistemas, identificación de vulnerabili-

dades hasta la detección de incidentes.

A continuación se listan los beneficios que se obtiene al tener un CSIRT:

• Un punto de contacto focal y confiable dentro de la comunidad para el manejo de inci-

dentes de seguridad informática.

• Promueve un desarrollo en la utilización de infraestructura tecnológica basado en las

buenas y mejores prácticas para la adecuada coordinación de la respuesta a incidentes
de seguridad informática.

• Un punto especializado y asesor para la protección de las distintas actividades informá-

ticas de los sectores que conforman su comunidad objetivo.

• Brinda información sobre vulnerabilidades y las asocia con sus respectivas recomenda-
ciones para la su mitigación y/o control.

• Provee servicios de publicación de información eficaces con la finalidad de socializar la

cultura de seguridad informática.

• Participa y comparte experiencias con equipos similares y proveedores de servicios de

seguridad informática para su promoción y actualización, así como para el estableci-
miento de mejores estrategias para el manejo de incidentes de seguridad informática.

• Administra puntos de contacto con otros CSIRT para respaldar las distintas estrategias
de seguridad informática en un sentido más global.
Página 86
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Apoya a otras instituciones que lo requieran a desarrollar capacidades propias para el
manejo de incidentes así como la implantación de buenas y mejores prácticas de segu-
ridad informática.

• Posee un equipo personal especializado en constante proceso de actualización con la

intención de brindar servicios de soporte informáticos con un alto nivel de eficacia y efi-
ciencia a los distintos requerimientos que la comunidad demande de su respectivo
CSIRT.

• Promueve y desarrolla materiales de concientización, educación y entrenamiento en va-

riedad de temas de seguridad informática.

1.3.2 Análisis FODA General para un CSIRT

Luego se hace necesario realizar un proceso de análisis que evalué si las medidas adoptadas
son relevantes, si están fuera o dentro de la organización así mismo, si provee un valor positivo
o negativo.

Para poder analizar la situación ante la creación de un CSIRT se presenta el siguiente análisis
FODA (Fortalezas, Oportunidades, Debilidades, Amenazas) que apoya la conformación de un
cuadro situacional que nos permite obtener un diagnóstico preciso que nos apoye en el proceso
de tomas de decisiones acordes con los objetivos y políticas de nuestro CSIRT.

Tabla 17: Análisis FODA General para un CSIRT.

ANÁLISIS FODA GENERAL PARA UN CSIRT

ELEMENTO DESCRIPCIÓN

• Posee el respaldo de la organización que lo hospeda así como el re-

corrido que la misma tenga en la comunidad a la que pertenece.
• Un punto focal para la notificación y tratamiento de incidentes de se-
guridad.
FORTALEZAS
• Disponibilidad de personal técnico calificado y actualizado.
• Dado el conocimiento que posee su personal, el CSIRT es relevante
para el proceso de educación para la seguridad y prevención de inci-
dentes.

• Desarrollo de relaciones comerciales de largo plazo con los clientes.

• Búsquedas de alianzas con terceros que complementen los servicios
OPORTUNIDADES
en el mercado objetivo.
• Gran necesidad de coordinación de incidentes de seguridad informá-
tica.

Página 87
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 • Proyecto de interés general para todos los sectores de la sociedad.
• No existe una centralización en la medición y seguimiento de la segu-
ridad informática en el segmento de servicio.

• Experiencia.
• Reconocimiento del trabajo del nuevo CSIRT.
• Los sectores público y privado no tienen la prioridad ni la costumbre
DEBILIDADES de asesorarse por un ente especializado en temas de seguridad in-
formática.
• Infraestructura TIC débil.
• Incipiente regulación de servicios informáticos.

• Desaceleración de la economía mundial y local.

• Rápida obsolescencia de los equipos informáticos.
• Competidores ya establecidos en el mercado de la seguridad informá-
AMENAZAS tica.
• Respaldo financiero limitado.
• Bajos incidentes de seguridad informática pueden desembocar en
dificultar el auto sostenimiento del CSIRT.

1.3.3 Creación de un Presupuesto Preliminar de Inversión y Funcionamiento

Es un presupuesto que deberá de ser ajustado de acuerdo con las validaciones que se realicen
al modelo de la comunidad objetivo que atenderá. Usualmente los rubros se proyectan para un
mínimo de un año y cubre los siguientes puntos:

• Presupuesto de Inversión: comprende todo el cuadro de adquisición de máquina y

equipo que permitan asegurar el proceso productivo y ampliar la cobertura del mercado.
Los principales componentes considerados para el Presupuesto de Inversión son:

o Estudios y Diseños: Los costos incluyen las evaluaciones de riesgos y vulnerabili-

dades de seguridad de la información, que permitan prevenir la acción de los inci-
dentes y crear una línea base para el desarrollo de los servicios y el monitoreo de la
seguridad de la información en las entidades atendidas.

o Plataforma Tecnológica: incluye el hardware y software requerido para garantizar

la operación y la seguridad de la información propia del CSIRT así como la necesa-
ria para la prestación de los servicios ofrecidos. Comprende los siguientes rubros:
Hardware, Software, Servicios de Seguridad, Mantenimiento y Reparaciones, Desa-
rrollo Web, Tecnologías de Seguridad de la Red y de la Información, Gestión de
Equipos de Seguridad, Monitoreo de Equipos de Seguridad, Correlación de Equipos
de Seguridad, Protección a los Sistemas.

o Mobiliario.

Página 88
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
 o Seguros de Equipos e Infraestructura.

• Presupuesto de Funcionamiento: tienen que ver con la razón principal de la entidad

CSIRT. Los componentes son:

o Costo de Personal: debe de diseñarse en base a la estructura organizacional del

CSIRT con salarios acordes al mercado laboral y los perfiles requeridos. Los proba-
bles elementos son los siguientes: Director, Directores, Jefes de Grupo, Profesiona-
les Certificados en Seguridad, Equipo Base, Personal Administrativo. También es
importante proyectar las prestaciones de ley respectivas.

o Reclutamiento: asume la contratación de un tercero para el proceso de búsqueda y

reclutamiento del personal del CSIRT.

o Entrenamiento y Capacitación: costos asociados con la preparación técnica del

personal para un mejor desempeño en la operación.

o Operación: Costos estimados asociados a la operación diaria del CSIRT en la pres-

tación de los servicios ofrecidos tales como: Logística para conferencias y talleres,
Costos de Presentación, Suscripciones a Medios Especializados, Traducciones,
Elaboración de Talleres, Publicaciones, Publicidad y Materiales Informativos, Viáti-
cos.

o Infraestructura: Alquiler de Establecimiento, Servicios Públicos, Mantenimiento.

o Impuestos de Ley: Impuestos Municipales, Impuestos Fiscales, Registro de Co-

mercio, etc. Es importante detallar todos los impuestos que apliquen.

o Costo Variable Adicional: Auditorías de Seguridad, Configuración y Mantenimiento

de la Seguridad, Análisis de Riesgos, Planificación de la continuidad de la operación
y recuperación tras un desastre, Recopilación de Pruebas Forenses, Respuesta a
Incidentes In Situ, Evaluación de Productos.

• Presupuesto de Ventas de Servicios: se estima con base en tarifas y comportamien-

tos esperados del mercado y considerando la operación del CSIRT durante el año de
operación.

o Ventas de Servicios: Cursos de Capacitación, Auditorías de Seguridad, Configura-

ción y Mantenimiento de la Seguridad Informática, Análisis de Riesgos, Planificación
de la Continuidad de la Operación y Recuperación tras un Desastre, Recopilación de
Pruebas Forenses, Respuesta a Incidentes In Situ, Evaluación de Productos.

Página 89
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe
1.4 Conclusiones

• La convergencia de los sistemas multiplica exponencialmente los problemas de

seguridad planteados. El equilibro es difícil, el espectro a cubrir es amplio y, como difi-
cultad extra, el campo de trabajo es intangible. Esto hace necesario desarrollar técnicas
y/o adaptar las existentes de forma tal de circunscribir nuestro trabajo de conse-
guir información dentro de un marco de seguridad.

• Cuando se diseña un sistema se lo hace en base a su operatividad y/o funcionalidad de-

jando de lado la Seguridad. Será necesario establecer una pertenencia y corres-
pondencia entre las técnicas adoptadas conformando un sistema de seguridad;
y no procedimientos aislados que contribuyan al caos general existente. Esto sólo
puede lograrse al integrar la seguridad desde el comienzo, desde el diseño, desde el
desarrollo.

• Las tecnologías involucradas en estos procesos condicionan las técnicas empleadas,

los tiempos condicionan esas tecnologías y, paradójicamente, las legislaciones deben
adaptarse a los rápidos cambios producidos. Esto hace obligatorio no legislar sobre
tecnologías actuales, sino sobre conceptos y abstracciones que podrán ser implemen-
tados con distintas tecnologías en el presente y el futuro. Es urgente legislar un marco
legal adecuado, no solo que castigue a los culpables sino que desaliente acciones hosti-
les futuras.

• Algunos pocos métodos realmente novedosos de infiltración ponen en jaque los

sistemas de seguridad. Aquí, se prueba la incapacidad de lograr 100% de segu-
ridad, pero también es hora de probar que los riesgos, la amenaza, y por ende
los daños pueden ser llevados a su mínima expresión. Muchas veces basta con
restringir accesos a información no utilizada o que no corresponde a los fines plan-
teados. Otras veces la capacitación será la mejor herramienta para disminuir drástica-
mente los daños.

• La seguridad es un estado mental, la seguridad perfecta requiere un nivel de perfec-

ción que realmente no existe, y de hecho dudo que algún día exista, pero los
riesgos deben y pueden ser manejables.

• El costo en el que se incurre suele ser bajo comparado con aquellos luego de producido
un daño. El desconocimiento y la falta de información son el principal inconveniente
cuando se evalúa la inclusión de seguridad como parte de un sistema.

• El desarrollo de software es una “ciencia” imperfecta; y como tal es vulnerable. Es una

realidad, la seguridad involucra manipulación de naturaleza humana. Hay que com-
prender que la seguridad consiste en tecnología y política, es decir que su combinación
y su forma de utilización determina cuan seguros son los sistemas. El problema de la
seguridad no puede ser resuelto por única vez, es decir que constituye un viaje
permanente y no un destino.

Página 90
Proyecto AMPARO: www.proyectoamparo.net
Fortalecimiento de la Capacidad Regional de Atención de Incidentes de Seguridad en América Latina y el Caribe