Modelo de csirt colombiano



Descargar 1.08 Mb.
Página1/27
Fecha de conversión27.05.2018
Tamaño1.08 Mb.
  1   2   3   4   5   6   7   8   9   ...   27



DISEÑO DE UN CSIRT DE COLOMBIA PARA LA ESTRATEGIA GOBIERNO EN LÍNEA


ÁREA DE INVESTIGACIÓN Y PLANEACIÓN

© República de Colombia - Derechos Reservados

Bogotá, D.C., Diciembre de 2008

FORMATO PRELIMINAR AL DOCUMENTO




Título:

MANUAL PARA LA CONSTITUCIÓN DE UN CSIRT COLOMBIANO

SISTEMA DE GESTIÓN DE CALIDAD

PROGRAMA AGENDA DE CONECTIVIDAD


Fecha elaboración aaaa-mm-dd:

2008-12-04

Sumario:

Corresponde a los entregables No. 12 y 13, primero y segundo avance del CSIRT.

Palabras Claves:

CSIRT, Seguridad de la información, Incidentes

Formato:




Lenguaje:

Castellano

Dependencia:

Dirección de planificación e investigación

Código:




Versión:

2

Estado:

En elaboración

Categoría:




Autor (es):

Proyecto Diseño de modelo SGSI para la estrategia de Gobierno en Línea

Firmas:




Revisó:

Juan C. Alarcón

Jairo Pantoja






Aprobó:

Juan C. Alarcón




Información Adicional:




Ubicación:



CONTROL DE CAMBIOS




VERSIÓN

FECHA

No. SOLICITUD

RESPONSABLE

DESCRIPCIÓN

1

23 10 2008




Fernando Gaona

Primera versión del documento

1.1

05 11 2008




Fernando Gaona

Revisión interna conjunta equipo de Consultoría Digiware

2

04 12 2008




Fernando Gaona

Revisión con el Programa Gobierno en Línea

TABLA DE CONTENIDO





DERECHOS DE AUTOR 11

AUDIENCIA 21

INTRODUCCIÓN 22

1. QUÉ ES UN CSIRT 24

1.1. DEFINICIÓN 24

1.2. ANTECEDENTES 24

1.3. BENEFICIOS DE CONTAR CON UN CSIRT 25

2. INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES EN CSIRTs 27

2.1. ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO 27

2.1.1. FIRST - FORUM FOR INCIDENT RESPONSE AND SECURITY TEAMS 33

2.1.2. ENISA - EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY 40

2.1.3. APCERT - ASIA PACIFIC COMPUTER EMERGENCY RESPONSE TEAM 43

2.1.4. CERT - COORDINATION CENTER DE LA UNIVERSIDAD CARNEGIE MELLON 44

2.1.5. TERENA - TRANS-EUROPEAN RESEARCH AND EDUCATION NETWORKING ASSOCIATION 47

2.1.6. ALEMANIA - CERT-BUND (COMPUTER EMERGENCY RESPONSE TEAM FÜR BUNDESBEHÖRDEN) 48

2.1.7. ARABIA SAUDITA - CERT-SA (COMPUTER EMERGENCY RESPONSE TEAM - SAUDI ARABIA) 50

2.1.8. ARGENTINA - ARCERT (COORDINACIÓN DE EMERGENCIAS EN REDES TELEINFORMÁTICAS) 51

2.1.9. AUSTRALIA - AUSCERT (AUSTRALIA COMPUTER EMERGENCY RESPONSE TEAM) 54

2.1.10. AUSTRIA - CERT.AT (COMPUTER EMERGENCY RESPONSE TEAM AUSTRIA) 55

2.1.11. BRASIL - CERT.BR (COMPUTER EMERGENCY RESPONSE TEAM BRAZIL) 56

2.1.12. CANADÁ - PSEPC (PUBLIC SAFETY EMERGENCY PREPAREDNESS CANADA) 57

2.1.13. CHILE – CSIRT-GOV 58

2.1.14. CHILE - CLCERT (GRUPO CHILENO DE RESPUESTA A INCIDENTES DE SEGURIDAD COMPUTACIONAL) 59

2.1.15. CHINA - CNCERT/CC (NATIONAL COMPUTER NETWORK EMERGENCY RESPONSE TECHNICAL TEAM) 60

2.1.16. COREA DEL SUR - KRCERT/CC (CERT COORDINATION CENTER KOREA) 63

2.1.17. DINAMARCA – DK.CERT (DANISH COMPUTER EMERGENCY RESPONSE TEAM) 65

2.1.18. EMIRATOS ÁRABES UNIDOS – AECERT (THE UNITED ARAB EMIRATES COMPUTER EMERGENCY RESPONSE TEAM) 66

2.1.19. ESPAÑA - ESCERT (EQUIPO DE SEGURIDAD PARA LA COORDINACIÓN DE EMERGENCIAS EN REDES TELEMÁTICAS) 67

2.1.20. ESPAÑA – IRIS-CERT (SERVICIO DE SEGURIDAD DE REDIRIS) 68

2.1.21. ESPAÑA - CCN-CERT (CRYPTOLOGY NATIONAL CENTER - COMPUTER SECURITY INCIDENT RESPONSE TEAM) 70

2.1.22. ESPAÑA - INTECO-CERT (CENTRO DE RESPUESTAS A INCIDENTES EN TI PARA PYMES Y CIUDADANOS) 72

2.1.23. ESTADOS UNIDOS - US-CERT (UNITED STATES - COMPUTER EMERGENCY READINESS TEAM) 74

2.1.24. ESTONIA – CERT-EE (COMPUTER EMERGENCY RESPONSE TEAM OF ESTONIA) 75

2.1.25. FILIPINAS - PH-CERT (PHILIPPINES COMPUTER EMERGENCY RESPONSE TEAM) 76

2.1.26. FRANCIA-CERTA (CENTRE D'EXPERTISE GOUVERNEMENTAL DE RÉPONSE ET DE TRAITEMENT DES ATTAQUES INFORMATIQUES) 77

2.1.27. HONG KONG - HKCERT (HONG KONG COMPUTER EMERGENCY RESPONSE COORDINATION CENTRE) 79

2.1.28. HUNGRÍA - CERT (CERT-HUNGARY) 80

2.1.29. INDIA - CERT-IN (INDIAN COMPUTER EMERGENCY RESPONSE TEAM) 82

2.1.30. JAPAN - JPCERT/CC (JP CERT COORDINATION CENTER) 84

2.1.31. MÉXICO – UNAM-CERT (EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD EN CÓMPUTO) 86

2.1.32. NUEVA ZELANDIA – CCIP (CENTRE FOR CRITICAL INFRASTRUCTURE PROTECTION) 87

2.1.33. HOLANDA – GOVCERT.NL 88

2.1.34. POLONIA - CERT POLSKA (COMPUTER EMERGENCY RESPONSE TEAM POLSKA) 89

2.1.35. QATAR - Q-CERT (QATAR CERT) 90

2.1.36. REINO UNIDO - GOVCERTUK (CESG´S INCIDENT RESPONSE TEAM) 91

2.1.37. SINGAPUR – SINGCERT (SINGAPORE CERT) 92

2.1.38. SRI LANKA – SLCERT (SRI LANKA COMPUTER EMERGENCY RESPONSE TEAM) 93

2.1.39. TÚNEZ - CERT-TCC (COMPUTER EMERGENCY RESPONSE TEAM - TUNISIAN COORDINATION CENTER) 95

2.1.40. VENEZUELA CERT.VE (VENCERT – EQUIPO DE RESPUESTA PARA EMERGENCIAS INFORMÁTICAS) 99

2.2. EXPERIENCIAS O ANTECEDENTES EN COLOMBIA 100

2.2.1. CIRTISI – COLOMBIA (CENTRO DE INFORMACIÓN Y RESPUESTA TÉCNICA A INCIDENTES DE SEGURIDAD INFORMÁTICA DE COLOMBIA) 100

2.2.2. CSIRT COLOMBIA (COL CSIRT) 105

2.2.3. COMITÉ INTERAMERICANO CONTRA EL TERRORISMO DE LA OEA (CICTE) 106



2.3. EN RESUMEN 107

2.3.1. CSIRTs PÚBLICOS 108

2.3.2. CSIRTs PRIVADOS 108

2.3.3. CSIRTs INTERNOS 109

2.3.4. CSIRTs DE COORDINACIÓN 109

2.3.5. ESQUEMA ASOCIATIVO ENTRE EL SECTOR PÚBLICO Y EL PRIVADO 109



3. DEFINICIÓN DE LA ORGANIZACIÓN CSIRT PARA COLOMBIA 110

3.1. TIPO DE ENTIDAD 110

3.2. RELACIÓN CON LAS ENTIDADES 113

3.3. MISIÓN 113

3.4. VISIÓN 113

3.5. OBJETIVOS ESTRATÉGICOS 114

3.6. OBJETIVOS ESPECÍFICOS 114

4. PORTAFOLIO DE SERVICIOS 116

4.1. SERVICIOS PREVENTIVOS 117

4.2. SERVICIOS REACTIVOS 119

4.3. GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 121

4.4. CARACTERÍSTICAS DE LOS SERVICIOS 123

4.4.1. SERVICIOS PREVENTIVOS 124

4.4.2. SERVICIOS REACTIVOS 124

4.4.3. GESTIÓN DE LA CALIDAD DE LA SEGURIDAD 125



5. PROCESOS Y PROCEDIMIENTOS 126

5.1. DELIMITACIÓN SISTÉMICA 126

5.2. PROCESOS 127

5.3. PROCEDIMIENTOS 130

6. ANÁLISIS DEL MERCADO 132

6.1. MACRO ENTORNO 133

6.2. INDUSTRIAS Y SECTORES 133

6.3. ALIADOS ESTRATÉGICOS Y MERCADOS 135

7. INDICADORES Y METAS 137

7.1. PERSPECTIVA SEGURIDAD DE LA INFORMACIÓN NACIONAL 141

7.2. PERSPECTIVA FINANCIERA 142

7.3. PERSPECTIVA PROCESOS INTERNOS 142

7.4. PERSPECTIVA APRENDIZAJE Y CRECIMIENTO 143

7.5. RESUMEN DE LOS INDICADORES 144

7.6. CONSIDERACIONES GENERALES 145

8. ESTRUCTURA ORGANIZACIONAL 147

8.1. ORGANIGRAMA 148

8.1.1. ASESOR JURÍDICO 148

8.1.2. DIRECCIÓN TÉCNICA 148

8.1.3. DIRECCIÓN DE COOPERACIÓN Y SOPORTE 151

8.1.4. DIRECCIÓN ADMINISTRATIVO Y FINANCIERA 152

8.2. PROCESO DE SELECCIÓN 154

8.2.1. COMPETENCIAS COMUNES 154

8.2.2. COMPETENCIAS COMPORTAMENTALES POR NIVEL JERÁRQUICO 156

8.2.3. COMPETENCIAS TÉCNICAS 156

8.2.4. OTRAS CARACTERÍSTICAS 157

8.3. CAPACITACIÓN 158

9. ETAPAS PARA LA CONFORMACIÓN DEL CSIRT – COLOMBIA 159

10. PRESUPUESTO PRELIMINAR DE INVERSIÓN Y FUNCIONAMIENTO 160

10.1. PRESUPUESTO DE InVERSIÓN 162

10.2. PRESUPUESTO DE FUNCIONAMIENTO 162

11. TERMINOLOGÍA 167

12. ANEXOS 180


LISTA DE ILUSTRACIONES





Ilustración 1: Países con CSIRTs Miembros de FIRST 35

Ilustración 2: Estructura de ENISA 42

Ilustración 3: Modelo Detallado del Sistema Administrativo Nacional de Seguridad de la Información 110

Ilustración 4: Delimitación Sistemática de la Entidad 126

Ilustración 5: Modelo Tecnológico del CSIRT 127

Ilustración 6: Modelo de Segmentación del CSIRT 128

Ilustración 7: Despliegue de Procesos 129

Ilustración 8: Catálogo de Procesos 130

Ilustración 9: Catálogo de Procedimientos 131

Ilustración 10: de Análisis del Mercado 132

Ilustración 11: Marco Político, Económico, Social y Tecnológico del CSIRT 133

Ilustración 12: Análisis de Competitividad de Porter 134

Ilustración 13: Matriz DOFA 136

Ilustración 14: Modelo de Gestión 138

Ilustración 15: Alineación de la Visión y la Estrategia 139

Ilustración 16: Mapa Estratégico 140

Ilustración 17: Perspectivas y Orientadores Estratégicos 141

Ilustración 18: Estructura Organizacional Propuesta 148

DERECHOS DE AUTOR



  • SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx:

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • FIRST. http://www.first.org/

Copyright © 1995 - 2006 by FIRST.org, Inc.

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.



  • ENISA. http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf.

Reproduction of material published on this web site is authorized, provided the source is acknowledged, unless it is stated otherwise. Where prior permission must be obtained for the reproduction or use of material published on this web site the above mentioned permission shall be cancelled and restrictions shall be imposed through a legal notice as appropriate published on that specific material.

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.



  • APCERT. http://www.apcert.org/.

Copyright(C) 2008 APCERT. All rights reserved

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.



  • Terena. http://www.terena.org/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • Alemania - CERT-Bund. http://www.bsi.bund.de/certbund/

© Federal Office for Information Security (BSI). All rights reserved

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.



  • Arabia Saudita - CERT-SA. http://www.cert.gov.sa/

Copyright © 2006 - 2007 | Disclaimer. All Rights Reserved

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.



  • Argentina – ArCERT. http://www.arcert.gov.ar/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • Australia – AusCERT. http://www.auscert.org.au/

The material on this web site is covered by copyright. Apart from any use permitted under the Copyright Act 1968, no part may be reproduced or distributed by any process or means, without the prior written permission of AusCERT.

AusCERT acknowledges all instances where copyright is held by, or shared with, another organisation. In such cases, each copyright owner should be contacted regarding reproduction or use of that material.

Se solicita autorización. Respuesta:



Date: Wed, 1 Oct 2008 03:43:58 +0000

CC: auscert@auscert.org.au

Subject: RE: RE: (AUSCERT#200869d4a) Re: Permission to use and to make translations about AusCert

To: fernandogaona@hotmail.com

From: auscert@auscert.org.au

-----BEGIN PGP SIGNED MESSAGE-----

Hash: RIPEMD160

Hi Fernando,

We are happy for you to translate the sections of our website that you have highlighted. Additionally we have in the last week assisted New Zealand via a workshop to aid them in the creation of a National CERT, and we also provide training for the purpose of creating National CERT teams.

Please do not hesitate to contact us further regarding the possibility of training and further collaboration.

Regards,

- -- Jonathan Levine –

Computer Security Analyst | Hotline: +61 7 3365 4417

AusCERT, Australia's National CERT | Fax: +61 7 3365 7031

The University of Queensland | WWW: www.auscert.org.au

QLD 4072 Australia | Email: auscert@auscert.org.au

  • Austria - CERT.at. www.cert.at

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • Brasil - CERT.br. http://www.cert.br

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • Canadá – PSEPC. http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • Chile – CSIRT-GOV. http://www.csirt.gov.cl/

La información presentada en este portal tiene finalidad informativa, especialmente dirigida a los responsables de seguridad, administradores de redes y sistemas, personal informático y en general cualquier individuo que cumpla labores al interior de la Administración del Estado. El mal uso de la información entregada puede ser sancionado en conformidad al estatuto administrativo.

Como el acceso a este portal es público, en los casos en que se detecte uso malicioso de la información, o intentos de quebrantar la seguridad del sistema, CSIRT Chile se reserva el derecho de ejercer todas las acciones legales correspondientes contra quien resulte responsable de dichos actos, amparado en la Ley General de Telecomunicaciones y la Ley de Delito Informático.

Queda estrictamente prohibido utilizar la información presentada en este portal sin el conocimiento y consentimiento formal por parte de CSIRT Chile, en especial para efectos contrarios a los buscados por este equipo.

Se solicita autorización.



  • Chile – CLCERT. http://www.clcert.cl

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • China - CNCERT/CC. http://www.cert.org.cn/english_web/.

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • Corea del Sur - KrCERT/CC. http://www.krcert.or.kr/

COPYRIGHT KRCERT.OR.KR. ALL RIGHTS RESERVED.

All materials released by Internet Incident Response Support Center are protected under the copyright law and copyrights of all released materials are owned by the center. Accordingly, it is prohibited to copy or distribute them partially and entirely.

If you seek for economic profits or benefits equivalent of it, a prior consultation with the center or prior approval from the center is required. In case those materials are quoted partially or entirely after prior consent or approval, it shall clearly state that the source of quoted contents belongs to the center.

The hyperlink from other web sites to the main web page of the center is allowed but not to the other web pages (sub domain). Also, before setting a hyperlink to the main web page of the Center, it should be notified to the center in advance.

In case data posted at a web site of the Center is used for the purpose of positing at the other Internet sites in a due manner, the arbitrary change of data except simple error correction is prohibited. The violation of this act is subject to criminal punishment.

For the purpose of news report, criticism, education and study activities, data posted in the web page can be quoted as long as they satisfy fair practices within a legal boundary.

However, in this case, the quotation of materials is limited to less than 10% of the whole contents. The violation of this act is regarded as infringement on copyright.

As long as the data provided by the center is used for individual purpose (not commercial purpose) or within a boundary of household and equivalent boundary, it can be copied for use. However, even if a specific company, non-profit organization, intends to copy them for the purpose of internal use only, it is not allowed to copy materials.

The illegal copy and distribution of materials provided by the center falls under infringement on copyright property law and the violator is sentenced to imprisonment not exceeding 5 years and a fine not exceeding 50 Mio.won.

For more detailed information, you can contact the Internet Incident Response Support Center

(Tel: 118 / cert@certcc.or.kr, cert@krcert.or.kr).

Se solicita autorización.



  • Dinamarca – DK.CERT. https://www.cert.dk/

Información sobre estas páginas pueden ser protegidas por los derechos de autor

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.



  • Emiratos Árabes Unidos – aeCERT. http://www.aecert.ae/

© 2007-2008 aeCERT. All rights reserved

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.



  • España – ESCERT. http://escert.upc.edu/index.php/web/es/index.html

Los textos, diseños, imágenes, bases de datos, logotipos, estructuras, marcas y otros elementos de esCERT-UPC, incluido todo lo referente a ALTAIR, están protegidos por la normativa de aplicación respecto a la propiedad intelectual e industrial. esCERT-UPC autoriza a los usuarios a reproducir, copiar, distribuir, transmitir, adaptar o modificar exclusivamente los contenidos de la web de esCERT-UPC, siempre que se especifique la fuente y/o los autores.

  • España – IRIS-CERT. http://www.rediris.es/cert/

RedIRIS © 1994-2008

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.



  • España - CCN-CERT. https://www.ccn-cert.cni.es/

© 2008 Centro Criptológico Nacional - C/Argentona s/n 28023 MADRID

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.



  • España - INTECO-CERT. http://www.inteco.es/rssRead/Seguridad/INTECOCERT

Todos los elementos que forman el sitio Web, así como su estructura, diseño y código fuente de la misma, son titularidad de INTECO y están protegidos por la normativa de propiedad intelectual e industrial.

Se prohíbe la reproducción total o parcial de los contenidos de este sitio Web, así como su modificación y/o distribución sin citar su origen o solicitar previamente autorización.

INTECO no asumirá ninguna responsabilidad derivada del uso por terceros del contenido del sitio Web y podrá ejercitar todas las acciones civiles o penales que le correspondan en caso de infracción de estos derechos por parte del usuario.

  • Estados Unidos - US-CERT. http://www.us-cert.gov

You are permitted to reproduce and distribute documents on this web site in whole or in part, without changing the text you use, provided that you include the copyright statement or "produced by" statement and use the document for noncommercial or internal purposes. For commercial use or translations, send your email request to webmaster@us-cert.gov.

Se solicita autorización.



  • Estonia – CERT-EE. http://www.ria.ee/?id=28201

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • Filipinas - PH-CERT. http://www.phcert.org/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • Francia-CERTA. http://www.certa.ssi.gouv.fr/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • Hong Kong – HKCERT. http://www.hkcert.org/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • Hungría – CERT. http://www.cert-hungary.hu/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • India - CERT-In. http://www.cert-in.org.in/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • Japan - JPCERT/CC. http://www.jpcert.or.jp/

Copyright © 1996-2008 JPCERT/CC All Rights Reserved

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.



  • México – UNAM-CERT. http://www.cert.org.mx/index.html

Copyright® Todos los derechos reservados, cert.org.mx. DSC/UNAM-CERT DGSCA

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.



  • Nueva Zelandia – CCIP. http://www.ccip.govt.nz/

Except where specifically noted, all material on this site is © Crown copyright.

Material featured on this site is subject to Crown copyright protection unless otherwise indicated. The Crown copyright protected material may be reproduced free of charge in any format or media without requiring specific permission, provided that the material is reproduced accurately and is not further disseminated in any way, and on condition that the source of the material and its copyright status are acknowledged.

The permission to reproduce Crown copyright protected material does not extend to any material on this site that is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from the copyright holders concerned.

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.



  • Holanda - GOVCERT.NL. http://www.govcert.nl/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • Polonia - CERT Polska. http://www.cert.pl/

Copyright © 2004 NASK

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.



  • Qatar - Q-CERT. http://www.qcert.orgv

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • Reino Unido – GovCertUK. www.govcertuk.gov.uk

Crown Copyright 2008

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.



  • Reino Unido – GovCertUK. www.govcertuk.gov.uk

The material featured on this site is subject to Crown Copyright protection unless otherwise indicated. The Crown Copyright protected material (other than CPNI logo and website design) may be reproduced free of charge in any format or medium provided it is reproduced accurately and not used in a misleading context. Where any of the Crown Copyright items on this site are being republished or copied to others, the source of the material must be identified and the copyright status acknowledged.

The permission to reproduce Crown protected material does not extend to any material on this site which is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from the copyright holders concerned.

For further information on Crown copyright policy and licensing arrangements, please refer to the guidance on OPSI's website at www.opsi.gov.uk/advice/crown-copyright/copyright-guidance/index.htm.

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.



  • Singapur – SingCERT. http://www.singcert.org.sg/

1. SingCERT Security Alerts (such as advisories and bulletins): Permission is granted to reproduce and distribute SingCERT security alerts in their entirety, provided the SingCERT PGP signature or the PGP signature of the original creator of the alerts is included and provided the alert is used for noncommercial purposes with the intent of increasing the awareness of the Internet community.

2. All materials produced by SingCERT except as noted in Section 1, "SingCERT security alerts": Requests for permission to reproduce documents or Web pages or to prepare derivative works or external and commercial use should be addressed to SingCERT through email to cert@singcert.org.sgThis e-mail address is being protected from spam bots, you need JavaScript enabled to view it.

Se solicita autorización.



  • Sri Lanka – SLCERT. http://www.cert.lk/

Copyright Reserved. Sri Lanka CERT.

Website Material: All material on this website is covered by copyright. No part may be re-produced or distributed by any process or means. Requests for permission to reproduce documents or Web pages or to prepare derivative works for external and commercial use should be addressed to Sri Lanka CERT through email to slcert@slcert.gov.lk.

Security Alerts: Permission is granted to reproduce and distribute Sri Lanka CERT security alerts such as advisories and bulletins in its entirety, provided the signature of the original creator of the alerts is included and provided the alert is used for non-commercial purposes.

Se solicita autorización.



  • Túnez - CERT-TCC. http://www.ansi.tn/en/about_cert-tcc.htm

Copyright © 2006 ANSI

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.



  • Venezuela CERT.ve. http://www.cert.gov.ve/

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • CIRTISI COLOMBIA.

http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo%20de%202007%202.pdf

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.



  • CSIRT Colombia. http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt

No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.

  • Solicitud de Autorización de uso y traducción presentada a los diferentes organismos que así lo requieren:

Título:

Permission to use and to make translations about CSIRT

Solicitud:



In order to design a CSIRT for the program “Gobierno en Línea” (e-government) of Colombia, we want to identify a documented relation of national and international initiatives and experiences in CSIRTs. Then we request authorization to translate and to reproduce available information in your web page relating to precedents, offered services, structure of the CSIRT and area of coverage.

The results will be compiled and presented in a technical paper "Design of a CSIRT for the Program Gobierno en Linea of Colombia " in the chapter " Documented Relation of National and International Experiences and Initiatives in CSIRTs ".

Cordial greeting,

Fernando Gaona

Organizations Team Leader

Project "Model of the Computer Security Management for e-Government"

Telephone (+57 3164720780)

Program "Agenda de Conectividad": http://www.agenda.gov.co/

Digiware: http://www.digiware.com.co/Digiware/index1.html
AUDIENCIA

El documento de Diseño de un CSIRT para la Estrategia de Gobierno en Línea de Colombia está dirigido especialmente para las entidades públicas y privadas, así como la comunidad académica que participen en la creación del CSIRT Colombiano o demanden sus productos o servicios, así como la comunidad nacional e internacional relacionada con el tema de la seguridad de la información.


INTRODUCCIÓN

Con el rápido desarrollo de internet, las diferentes entidades del país son cada vez más dependientes del uso de redes públicas, volviendo crítica la protección de la estabilidad de las infraestructuras nacionales que componen esta nueva e-economía emergente y así mismo es urgente.

Los ataques contra las infraestructuras computacionales están aumentando de frecuencia, en sofisticación y en escala. Esta amenaza cada vez mayor requiere un acercamiento y colaboración con las varias organizaciones públicas, privadas y la academia, que tomen el papel de liderazgo y coordinación con el apoyo total del gobierno tanto a nivel central como territorial.

Para tratar esta necesidad urgente, se propone el establecimiento de un grupo CSIRT Colombiano que tendría un foco operacional en la atención de emergencias de seguridad de la información para las transacciones en línea del país, con una permanente colaboración nacional e internacional.

CÓMO UTILIZAR ESTE DOCUMENTO

El presente documento describe el modelo propuesto para la creación de un Equipo de Respuesta a Incidentes de Seguridad de la Información - CSIRT Colombiano (por las siglas en inglés de Computer Security Incident Response Teams) considerando los siguientes aspectos:



  • En el primer capítulo se incluye un marco de referencia donde se define lo que es un CSIRT y algunos beneficios que conlleva.

  • En el segundo capítulo se hace una relación de algunas iniciativas y experiencias nacionales e internacionales en CSIRTs consideradas para el desarrollo de este documento.

  • En el tercer capítulo se presenta una definición general del CSIRT, el tipo de entidad que se recomienda constituir, su misión, visión, el portafolio de productos y servicios, y sus objetivos estratégicos.

  • En el cuarto capítulo se propone un potencial portafolio de productos y servicios que hagan auto sostenible la operación del CSIRT Colombiano.

  • En el quinto capítulo se incluyen los procesos y procedimientos que sostengan la operación de la entidad, haciendo una articulación del modelo de seguridad con la NTC-GP 1000, MECI e ISO 9000. Su caracterización se presenta en el documento anexo.

  • En el sexto capítulo se hace una revisión del entorno del mercado que enfrentará el CSIRT.

  • En el séptimo capítulo se hace una recomendación de indicadores y metas que, bajo el enfoque de la metodología del Balanced Scorecard (Cuadro de Mando Integral), permitan su adecuado control y gestión.

  • En el octavo capítulo se incluye una propuesta de estructura organizacional con las competencias requeridas para cada rol, el modelo de contratación y capacitación del talento humano del CSIRT Colombiano.

  • En el noveno capítulo se sugieren las etapas para la conformación del CSIRT en Colombia.

  • En el décimo capítulo se elabora una propuesta de presupuesto de inversión y funcionamiento del CSIRT, teniendo en cuenta que sea auto sostenible en el mediano y largo plazo.




Compartir con tus amigos:
  1   2   3   4   5   6   7   8   9   ...   27


La base de datos está protegida por derechos de autor ©composi.info 2017
enviar mensaje

    Página principal