Modelo de csirt colombiano



Descargar 1.08 Mb.
Página13/27
Fecha de conversión27.05.2018
Tamaño1.08 Mb.
1   ...   9   10   11   12   13   14   15   16   ...   27

2.3.EN RESUMEN


A modo de resumen de la revisión documental acerca de las iniciativas y experiencias de CSIRT nacionales e internacionales y en concordancia con los comentarios recibidos de la firma Suárez Beltrán & Asociados por medio del Programa Gobierno en Línea, se identifica una tipificación de los CSIRT acorde con sus estructuras, objetivos y funciones.

2.3.1.CSIRTs PÚBLICOS


El carácter público de los CSIRT suelen ser los responsables por la seguridad de la información para las entidades gubernamentales, enfocándose en servir como punto único y de coordinación para el manejo de incidentes de la información relacionados con las infraestructuras críticas nacionales. Así mismo, son responsables por la definición de estándares y buenas prácticas e impulsan la formación y difusión del conocimiento en temas de seguridad de la información. Se identifican dos tipos de estructuras: Unidades públicas independientes o unidades de negocio dependientes de entidades existentes.

  • Unidades públicas independientes: Tiene su área de influencia limitada al país y a las entidades públicas, pero cuentan con plena autoridad para impulsar medidas y tomar acciones preventivas a lo largo de los sectores económicos y administrativos. Dentro de los beneficios de contar con un CSIRT dentro de la estructura del gobierno se pueden considerar el permitir identificar un punto único de contacto central, así como la capacidad de tener un equipo capaz de instrumentar y conducir una rápida respuesta para contener un incidente de seguridad de la información que pueda poner en riesgo la infraestructura crítica nacional.

  • Unidades de negocio dependientes de entidades existentes. Estas dependencias suelen estar asociadas a las áreas de inteligencia, sector de las comunicaciones, la ciencia y tecnología, directamente vinculadas a gabinetes de gobierno o a las entidades policiales o militares. Suelen tener autoridad compartida con otras instancias para el manejo del incidente informático.

2.3.2.CSIRTs PRIVADOS


  • Organismos consultivos sin ánimo de lucro: Despliegan gran parte de sus servicios y actividades a favor de sus miembros inscritos, quienes pagan una suma por la afiliación para el mantenimiento de la estructura del CSIRT. Tiene un papel consultivo y no tiene ninguna autoridad para ordenar o realizar tareas por parte de sus miembros o el área de influencia. Son fuentes generalizadas de buenas prácticas, documentos técnicas compartidos con la comunidad y creación de estándares de mercado. De igual forma, promueven foros para la creación y difusión de conocimiento técnico.

  • Organismo con ánimo de lucro: Identificados como proveedores, el mercado ofrece los servicios de los CSIRT a través de varias alternativas:

    • Centros de Análisis, que se concentran en la agrupación y análisis de datos desde varias fuentes para determinar las tendencias y patrones en la actividad de incidentes.

    • Equipos de Proveedores, que manejen informes de vulnerabilidades en sus productos de software o hardware.

    • Proveedores de Respuesta a Incidentes, que ofrecen servicios de manejo de incidentes para otras organizaciones.

No tienen ningún tipo de autoridad para la mitigación o tratamiento en los incidentes informáticos.

  • Iniciativas Académicas: Bajo este esquema universitario, se generan equipos con énfasis en la investigación y el análisis de la seguridad informática. Se elaboran publicaciones, foros y talleres, cursos de capacitación y boletines periódicos.

2.3.3.CSIRTs INTERNOS


Estos equipos sólo responden a las necesidades de las organizaciones privadas a las que pertenecen, imparte instrucciones, políticas y reglas de aplicación. Su principal actividad es la gestión de incidentes en sus propias entidades.

2.3.4.CSIRTs DE COORDINACIÓN


Estas organizaciones coordinan y facilitan el manejo de incidentes de seguridad de la informaciñon con el apoyo de todas las entidades relacionadas con el tema a nivel nacional y a través de varios CSIRTs nacionales e internacionales.

2.3.5.ESQUEMA ASOCIATIVO ENTRE EL SECTOR PÚBLICO Y EL PRIVADO


Esta alianza se organiza con el fin de proteger la infraestructura de internet del país, ante ataques que pongan en juego su seguridad de la información, beneficiándose del patrocinio económico del sector privado.

3.DEFINICIÓN DE LA ORGANIZACIÓN CSIRT PARA COLOMBIA

3.1.TIPO DE ENTIDAD


Iniciando el proceso de definición y diseño de un CSIRT48 en Colombia, es muy importante tener en cuenta la naturaleza del programa Gobierno en Línea en el cual se enmarca este proyecto.

El CSIRT entra a apoyar el modelo de Seguridad de la Información definido para el programa Gobierno en Línea, facilitando la rápida y efectiva acción para el manejo estratégico de incidentes de seguridad de la información, e interactuando con el Grupo Técnico de Apoyo que tiene entre sus responsabilidades los estudios técnicos y el soporte técnico - jurídico para la preparación de los documentos, políticas, objetivos de control y controles recomendados que son avalados por la Comisión. Asesora a las entidades en su implementación, certifica su cumplimiento y proporciona apoyo técnico y jurídico para la operatividad del modelo.



Ilustración 3: Modelo Detallado del Sistema Administrativo Nacional de Seguridad de la Información



Si bien es cierto que en el marco de este proyecto, el CSIRT que se constituya se orientará a los aspectos de seguridad de la información para la Estrategia de Gobierno en Línea, con el ánimo de hacerlo auto sostenible en el tiempo, es necesario considerar un amplio portafolio de servicios orientados tanto al sector público como privado, para lo cual se han considerado 3 alternativas de tipo de entidad, cada una con ventajas y desventajas respectivamente:

Ventajas Consideradas:

MODELO 1
(Como Dirección del Ministerio de Comunicaciones)


MODELO 2
(Como Asociación Pública sin ánimo de lucro)


MODELO 3
(Como Asociación con Participación Mixta)


Está sometida al control fiscal y social que verifica que los fondos públicos sean utilizados de acuerdo con la Ley y la eficiencia administrativa - competitividad. Brinda mayor transparencia a su operación.

Está sometida al control fiscal y social que verifica que los fondos públicos sean utilizados de acuerdo con la Ley y la eficiencia administrativa - competitividad. Brinda mayor transparencia a su operación.

Foco de la entidad en el objeto misional del CSIRT.

No pueden suspender sus funciones por voluntad de las personas que están a su cargo. Los órganos de la administración y los servicios que se han establecido deben continuar mientras la Ley no autorice la suspensión o supresión de ellos, con lo cual se garantiza la continuidad del servicio.

No pueden suspender sus funciones por voluntad de las personas que están a su cargo. Los órganos de la administración y los servicios que se han establecido deben continuar mientras la Ley no autorice la suspensión o supresión de ellos, con lo cual se garantiza la continuidad del servicio.

Mayor credibilidad por parte de la comunidad.

Los resultados de un establecimiento público no se miden en términos de utilidades o ganancias que se reparten en beneficio de particulares sino por el grado de eficiencia del servicio que se le lleva a la comunidad y la seguridad es un tema de alto impacto en el que todas las entidades deben involucrarse.

Los resultados de un establecimiento público no se miden en términos de utilidades o ganancias que se reparten en beneficio de particulares sino por el grado de eficiencia del servicio que se le lleva a la comunidad y la seguridad es un tema de alto impacto en el que todas las entidades deben involucrarse.

Menor costo de operación ya que se puede transferir a las empresas privadas

Toma de decisiones depende de un único actor

La adopción de decisiones se hace de manera coordinada, por cuanto ellas suponen un ejercicio colegiado, y opera según lo que el acto constitutivo establezca.

La adopción de decisiones se hace de manera coordinada por cuanto ellas suponen un ejercicio colegiado, y opera según lo que el acto constitutivo establezca.

 

 Foco de la entidad en el objeto misional del CSIRT.




Estructuración a través de decreto lo cual permite contar con un CSIRT rápidamente.

Régimen Laboral de derecho privado, salvo a los Directivos y Ordenadores de Gasto, lo cual permite mejorar la escala de remuneración.

Régimen Laboral de derecho privado, salvo a los Directivos y Ordenadores de Gasto, lo cual permite mejorar la escala de remuneración.

Desventajas Consideradas:

MODELO 1
(Como Dirección del Ministerio de Comunicaciones)


MODELO 2
(Como Asociación Pública sin ánimo de lucro)


MODELO 3
(Como Asociación con Participación Mixta)


En la comunidad Colombiana existe una baja confianza en la efectividad de las instituciones públicas.

Se debe entrar a negociar la participación de los integrantes de la sociedad.

Se debe entrar a negociar la participación de los integrantes de la sociedad.

El CSIRT no tendría jerarquía como centro de respuesta.

 

 

Limitado a la burocracia del Ministerio.

 

 

La constitución y los actos de una entidad pública se rigen por leyes y decretos de función pública. Todos sus actos son reglamentados y están encaminados a la prestación de servicios de interés general para la sociedad, sin embargo esto puede hacer más lenta su operación.

Régimen legal mixto.

Régimen legal mixto.

Ausencia de personal especializado para cubrir los frentes de trabajo del C-SIRT, aunque podría acudirse a contrataciones de prestación de servicios.










 La constitución de la asociación supone la elaboración de actos de constitución que se deben concertar con cada uno de los miembros, lo cual toma tiempo.

 La constitución de la asociación supone la elaboración de actos de constitución que se deben concertar con cada uno de los miembros, lo cual toma tiempo.

 Sujeción a las reglas de ejecución presupuestal. Rigidez y problemas operativos.

Sujeción a las reglas de ejecución presupuestal. Rigidez y problemas operativos.

 

La seguridad de la información nacional es un punto crítico del Estado y se convierte en soporte básico para la seguridad nacional, siendo la seguridad nacional y la seguridad de su infraestructura crítica una responsabilidad del mismo Estado, que no puede dejarse en manos de particulares. Por esta razón, se recomienda el establecimiento de una Asociación de carácter público sin ánimo de lucro, adscrita al Ministerio de Comunicaciones, que favorezca los intereses de seguridad nacional sobre intereses particulares y que garantice la transparente e igualitaria gestión de sus servicios. La composición de esta sociedad puede establecerse con la participación del Ministerio de Comunicaciones (50%), los entes policivos (DAS, Policía, Fiscalía con el 25%) y la academia (25%), representada por el Instituto Colombiano para el Desarrollo de la Ciencia y la Tecnología, ‘Francisco José de Caldas’, COLCIENCIAS (ahora constituido como Departamento Administrativo).

Algunas de las ventajas de contar con un CSIRT como entidad pública son:



  • Velar con prioridad por la seguridad de la información de la infraestructura crítica nacional.

  • Contar con un adecuado, seguro, transparente e igualitario manejo de la información confidencial de cada organización cuando se presente un incidente de seguridad de la información.

  • Contar con un grupo de personal especializado, certificado y entrenado en aspectos técnicos a los cuales muchas entidades públicas no tendrían acceso de manera individual.

  • Establecer canales y acuerdos de intercambio de información de manera oficial con otros CSIRT de carácter gubernamental, policivo y privado así como con organizaciones que agrupan equipos de seguridad de la información a nivel internacional (por ejemplo, el FIRST y la Red Interamericana de Respuesta a Incidentes de Seguridad Cibernética de la Organización de Estados Americanos).


Compartir con tus amigos:
1   ...   9   10   11   12   13   14   15   16   ...   27


La base de datos está protegida por derechos de autor ©composi.info 2017
enviar mensaje

    Página principal