Diagnostico de La Situacion Actual

ENTREGABLE 2: DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
REA DE INVESTIGACIN Y PLANEACIN Repblica de Colombia - Derechos Reservados
DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
Bogot, D.C., Octubre de 2008
Pgina 2 de 205
FORMATO PRELIMINAR AL DOCUMENTO Ttulo: Fecha elaboracin aaaa-mm-dd: Sumario: Palabras Claves: Formato: Dependencia: ENTREGABLE 2: DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA 3 Octubre 2008 Este documento correponde al entregable nmero 2. Diagnstico Situacin Actual Diagnstico, estndares internacionales, compromisos, mapa interrelacin, aspectos legales, habeas data, proteccin individuo, calidad, MECI, CSIRT, Seguridad Informtica, Incidentes, sensibilizacin. Lenguaje: Investigacin y Planeacin Documento para revisin por parte del Supervisor del contrato Castellano
Cdigo:
Versin:
Estado:
Categora: Autor (es): Revis: Aprob: Informacin Adicional: Ubicacin: Equipo consultora Digiware Juan Carlos Alarcon Ing. Hugo Sin Firmas:
Pgina 3 de 205
CONTROL DE CAMBIOS
VERSIN 0 1 FECHA 30/09/ 2008 03/10/200 8 No. SOLICITUD RESPONSABLE Equipo del Proyecto Equipo del Proyecto DESCRIPCIN Entregable 2: Diagnstico de la Situacin Actual Revisin interna conjunta equipo consultora Digiware
Pgina 4 de 205
TABLA DE CONTENIDO
1. AUDIENCIA................................................................................................... 23 2. INTRODUCCIN............................................................................................. 24 3. RESUMEN EJECUTIVO..................................................................................... 25 4. DIAGNSTICO SITUACIN ACTUAL.................................................................. 27 4.1. DIAGNSTICO 1: SEGURIDAD DE LA INFORMACIN ESTNDARES Y MEJORES PRCTICAS........................................................................................................27 4.1.1. INTRODUCCIN.................................................................................................................. 27 4.1.2. RELACIN DOCUMENTADA DE ESTNDARES Y MEJORES PRCTICAS NACIONALES E INTERNACIONALES EN SEGURIDAD DE LA INFORMACIN...................................................................................................... 27 4.1.3. MAPA DE INTERRELACIN DE ESTNDARES Y MEJORES PRCTICAS NACIONALES E INTERNACIONALES EN SEGURIDAD DE LA INFORMACIN...................................................................................................... 42 4.1.3.1. Objetivo .................................................................................................................. 43 4.1.3.2. Estndares de Seguridad de la Informacin por categora. .......................................43 4.1.3.3. Criterios de seleccin de Estndares de Seguridad de la Informacin. .....................44 4.1.3.4. Mapa de Interrelacin de Estndares de Seguridad de la Informacin.......................49 4.1.3.5. Conclusiones.............................................................................................................. 49 4.2. DIAGNSTICO 2: COMPROMISOS Y AVANCES DE COLOMBIA EN MATERIA DE SEGURIDAD DE LA INFORMACIN NORMATIVA Y PROTECCIN DE INFORMACIN DEL INDIVIDUO........................................................................................................51 4.2.1. INTRODUCCIN ................................................................................................................. 51 4.2.1.1. Relacin documentada de compromisos internacionales de Colombia en materia de seguridad informtica.............................................................................................................. 52 4.2.1.1.1. Comercio Electrnico............................................................................................... 52 4.2.1.1.2. Legislacin Interna en Materia de Comercio Electrnico..........................................54 4.2.1.1.3. Compromisos Internacionales de Colombia en Materia de Gobierno en Lnea.........58 4.2.1.1.4. Legislacin interna en Materia de Gobierno en Lnea...............................................59 4.2.1.1.5. Compromisos Internacionales en Materia de Seguridad Informtica.......................64 4.2.1.2. Relacin documentada de avances de Colombia en materia de proteccin de informacin del individuo y Habeas Data................................................................................. 66 4.2.1.2.1. Legislacin interna en Materia de Proteccin de Informacin del Individuo y Habeas Data......................................................................................................................................... 66 4.2.1.2.2. Jurisprudencia Colombiana en Materia de Proteccin de Informacin del Individuo y Habeas Data............................................................................................................................. 80 4.2.1.3. Relacin documentada de avances de Colombia en materia normativa en seguridad informtica............................................................................................................................... 85
Pgina 5 de 205
4.2.1.4. Relacin documentada de iniciativas y experiencias nacionales e internacionales en proteccin de informacin del individuo y habeas data...........................................................87 4.3. DIAGNSTICO 3: INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES EN CSIRTS 91 4.3.1. INTRODUCCIN.................................................................................................................. 91 4.3.2. QU ES UN CSIRT.......................................................................................................... 93 4.3.3. ANTECEDENTES............................................................................................................. 93 4.3.4. BENEFICIOS DE CONTAR CON UN CSIRT.......................................................................94 4.3.5. ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO ..............................95 4.3.5.1. FIRST - Forum for Incident Response and Security Teams.......................................100 4.3.5.1.1. Antecedentes......................................................................................................... 100 4.3.5.1.2. Servicios Ofrecidos................................................................................................. 100 4.3.5.1.3. Estructura............................................................................................................... 101 4.3.5.1.4. rea de Influencia.................................................................................................. 101 4.3.5.2. ENISA - European Network and Information Security Agency..................................108 4.3.5.2.1. Antecedentes......................................................................................................... 108 4.3.5.2.2. Servicios Ofrecidos................................................................................................. 109 4.3.5.2.3. Estructura............................................................................................................... 110 4.3.5.2.4. rea de Influencia.................................................................................................. 111 4.3.5.3. APCERT - Asia Pacific Computer Emergency Response Team..................................111 4.3.5.3.1. Antecedentes......................................................................................................... 111 4.3.5.3.2. Servicios Ofrecidos................................................................................................. 111 4.3.5.3.3. Estructura............................................................................................................... 111 4.3.5.3.4. rea de Influencia.................................................................................................. 112 4.3.5.4. CERT - Coordination Center de la Universidad Carnegie Mellon...............................113 4.3.5.4.1. Antecedentes......................................................................................................... 113 4.3.5.4.2. Servicios Ofrecidos................................................................................................. 113 4.3.5.4.3. Estructura............................................................................................................... 114 4.3.5.4.4. rea de Influencia.................................................................................................. 115 4.3.5.5. TERENA - Trans-European Research and Education Networking Association...........115 4.3.5.5.1. Antecedentes......................................................................................................... 115 4.3.5.5.2. Servicios Ofrecidos................................................................................................. 115 4.3.5.5.3. Estructura............................................................................................................... 116 4.3.5.5.4. rea de Influencia.................................................................................................. 117 4.3.5.6. Alemania - CERT-Bund (Computer Emergency Response Team fr Bundesbehrden) ............................................................................................................................................... 117 4.3.5.6.1. Antecedentes......................................................................................................... 117 4.3.5.6.2. Servicios Ofrecidos................................................................................................. 118 4.3.5.6.3. rea de Influencia.................................................................................................. 118 4.3.5.7. Arabia Saudita - CERT-SA (Computer Emergency Response Team - Saudi Arabia). .118 4.3.5.7.1. Antecedentes......................................................................................................... 118 4.3.5.7.2. Servicios Ofrecidos................................................................................................. 119 4.3.5.7.3. rea de Influencia.................................................................................................. 120 4.3.5.8. Argentina - ArCERT (Coordinacin de Emergencias en Redes Teleinformticas).....120 4.3.5.8.1. Antecedentes......................................................................................................... 120 4.3.5.8.2. Servicios Ofrecidos................................................................................................. 121 4.3.5.8.3. Estructura.............................................................................................................. 122 4.3.5.8.4. rea de Influencia.................................................................................................. 122 4.3.5.9. Australia - AusCERT (Australia Computer Emergency Response Team)...................122 4.3.5.9.1. Antecedentes......................................................................................................... 122 4.3.5.9.2. Servicios Ofrecidos................................................................................................. 123 4.3.5.9.3. rea de Influencia.................................................................................................. 124
Pgina 6 de 205
4.3.5.10. Austria - CERT.at (Computer Emergency Response Team Austria)........................124 4.3.5.10.1. Antecedentes....................................................................................................... 124 4.3.5.10.2. Servicios Ofrecidos............................................................................................... 124 4.3.5.10.3. rea de Influencia................................................................................................ 125 4.3.5.11. Brasil - CERT.br (Computer Emergency Response Team Brazil).............................125 4.3.5.11.1. Antecedentes....................................................................................................... 125 4.3.5.11.2. Servicios Ofrecidos............................................................................................... 125 4.3.5.11.3. rea de Influencia................................................................................................ 125 4.3.5.12. Canad - PSEPC (Public Safety Emergency Preparedness Canada)........................126 4.3.5.12.1. Antecedentes....................................................................................................... 126 4.3.5.12.2. Servicios Ofrecidos............................................................................................... 126 4.3.5.12.3. rea de Influencia................................................................................................ 127 4.3.5.13. Chile CSIRT-GOV.................................................................................................. 127 4.3.5.13.1. Antecedentes....................................................................................................... 127 4.3.5.13.2. Servicios Ofrecidos............................................................................................... 127 4.3.5.13.3. Estructura............................................................................................................. 128 4.3.5.13.4. rea de Influencia................................................................................................ 128 4.3.5.14. Chile - CLCERT (Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional)...................................................................................................................... 128 4.3.5.14.1. Antecedentes....................................................................................................... 128 4.3.5.14.2. Servicios Ofrecidos............................................................................................... 128 4.3.5.14.3. Estructura............................................................................................................. 129 4.3.5.14.4. rea de Influencia................................................................................................ 129 4.3.5.15. China - CNCERT/CC (National Computer Network Emergency Response Technical Team)..................................................................................................................................... 129 4.3.5.15.1. Antecedentes....................................................................................................... 129 4.3.5.15.2. Servicios Ofrecidos............................................................................................... 130 4.3.5.15.3. Estructura............................................................................................................. 131 4.3.5.15.4. rea de Influencia................................................................................................ 132 4.3.5.16. Corea del Sur - KrCERT/CC (CERT Coordination Center Korea)...............................133 4.3.5.16.1. Antecedentes....................................................................................................... 133 4.3.5.16.2. Servicios Ofrecidos............................................................................................... 133 4.3.5.16.3. Estructura............................................................................................................. 133 4.3.5.16.4. rea de Influencia................................................................................................ 135 4.3.5.17. Dinamarca DK.CERT (Danish Computer Emergency Response Team).................135 4.3.5.17.1. Antecedentes....................................................................................................... 135 4.3.5.17.2. Servicios Ofrecidos............................................................................................... 135 4.3.5.17.3. Estructura............................................................................................................. 136 4.3.5.17.4. rea de Influencia................................................................................................ 136 4.3.5.18. Emiratos rabes Unidos aeCERT (The United Arab Emirates Computer Emergency Response Team)..................................................................................................................... 136 4.3.5.18.1. Antecedentes....................................................................................................... 136 4.3.5.18.2. Servicios Ofrecidos............................................................................................... 136 4.3.5.18.3. Estructura............................................................................................................. 137 4.3.5.18.4. rea de Influencia................................................................................................ 137 4.3.5.19. Espaa - ESCERT (Equipo de Seguridad para la Coordinacin de Emergencias en Redes Telemticas)................................................................................................................ 137 4.3.5.19.1. Antecedentes....................................................................................................... 137 4.3.5.19.2. Servicios Ofrecidos............................................................................................... 138 4.3.5.19.3. Estructura............................................................................................................. 138 4.3.5.19.4. rea de Influencia................................................................................................ 138
Pgina 7 de 205
4.3.5.20. Espaa IRIS-CERT (Servicio de seguridad de RedIRIS).........................................139 4.3.5.20.1. Antecedentes....................................................................................................... 139 4.3.5.20.2. Servicios Ofrecidos............................................................................................... 140 4.3.5.20.3. Estructura............................................................................................................. 140 4.3.5.20.4. rea de Influencia................................................................................................ 140 4.3.5.21. Espaa - CCN-CERT (Cryptology National Center - Computer Security Incident Response Team)..................................................................................................................... 141 4.3.5.21.1. Antecedentes....................................................................................................... 141 4.3.5.21.2. Servicios Ofrecidos............................................................................................... 141 4.3.5.21.3. Estructura............................................................................................................. 142 4.3.5.21.4. rea de Influencia................................................................................................ 142 4.3.5.22. Espaa - INTECO-CERT (Centro de Respuestas a Incidentes en TI para PYMES y Ciudadanos)........................................................................................................................... 142 4.3.5.22.1. Antecedentes....................................................................................................... 142 4.3.5.22.2. Servicios Ofrecidos............................................................................................... 143 4.3.5.22.3. rea de Influencia................................................................................................ 144 4.3.5.23. Estados Unidos - US-CERT (United States - Computer Emergency Readiness Team) ............................................................................................................................................... 144 4.3.5.23.1. Antecedentes....................................................................................................... 144 4.3.5.23.2. Servicios Ofrecidos............................................................................................... 144 4.3.5.23.3. Estructura............................................................................................................. 145 4.3.5.23.4. rea de Influencia................................................................................................ 145 4.3.5.24. Estonia CERT-EE (Computer Emergency Response Team of Estonia).................145 4.3.5.24.1. Antecedentes....................................................................................................... 145 4.3.5.24.2. Servicios Ofrecidos............................................................................................... 145 4.3.5.24.3. rea de Influencia................................................................................................ 146 4.3.5.25. Filipinas - PH-CERT (Philippines Computer Emergency Response Team)...............146 4.3.5.25.1. Antecedentes....................................................................................................... 146 4.3.5.25.2. Servicios Ofrecidos............................................................................................... 146 4.3.5.25.3. rea de Influencia................................................................................................ 147 4.3.5.26. Francia-CERTA (Centre d'Expertise Gouvernemental de Rponse et de Traitement des Attaques informatiques).................................................................................................. 147 4.3.5.26.1. Antecedentes....................................................................................................... 147 4.3.5.26.2. Servicios Ofrecidos............................................................................................... 148 4.3.5.26.3. Estructura............................................................................................................. 148 4.3.5.26.4. rea de Influencia................................................................................................ 149 4.3.5.27. Hong Kong - HKCERT (Hong Kong Computer Emergency Response Coordination Centre)................................................................................................................................... 149 4.3.5.27.1. Antecedentes....................................................................................................... 149 4.3.5.27.2. Servicios Ofrecidos............................................................................................... 149 4.3.5.27.3. rea de Influencia................................................................................................ 150 4.3.5.28. Hungra - CERT (CERT-Hungary)............................................................................. 150 4.3.5.28.1. Antecedentes....................................................................................................... 150 4.3.5.28.2. Servicios Ofrecidos............................................................................................... 150 4.3.5.28.3. rea de Influencia................................................................................................ 152 4.3.5.29. India - CERT-In (Indian Computer Emergency Response Team).............................152 4.3.5.29.1. Antecedentes....................................................................................................... 152 4.3.5.29.2. Servicios Ofrecidos............................................................................................... 153 4.3.5.29.3. Estructura............................................................................................................. 154 4.3.5.29.4. rea de Influencia................................................................................................ 154 4.3.5.30. Japan - JPCERT/CC (JP CERT Coordination Center)..................................................154
Pgina 8 de 205
4.3.5.30.1. Antecedentes....................................................................................................... 154 4.3.5.30.2. Servicios Ofrecidos............................................................................................... 155 4.3.5.30.3. rea de Influencia................................................................................................ 156 4.3.5.31. Mxico UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cmputo) ............................................................................................................................................... 156 4.3.5.31.1. Antecedentes....................................................................................................... 156 4.3.5.31.2. Servicios Ofrecidos............................................................................................... 157 4.3.5.31.3. Estructura............................................................................................................. 157 4.3.5.31.4. rea de Influencia................................................................................................ 157 4.3.5.32. Nueva Zelandia CCIP (Centre for Critical Infrastructure Protection)....................158 4.3.5.32.1. Antecedentes....................................................................................................... 158 4.3.5.32.2. Servicios Ofrecidos............................................................................................... 158 4.3.5.32.3. Estructura............................................................................................................. 158 4.3.5.32.4. rea de Influencia................................................................................................ 158 4.3.5.33. Holanda GOVCERT.NL.......................................................................................... 159 4.3.5.33.1. Antecedentes....................................................................................................... 159 4.3.5.33.2. Servicios Ofrecidos............................................................................................... 159 4.3.5.33.3. rea de Influencia................................................................................................ 159 4.3.5.34. Polonia - CERT Polska (Computer Emergency Response Team Polska)..................160 4.3.5.34.1. Antecedentes....................................................................................................... 160 4.3.5.34.2. Servicios Ofrecidos............................................................................................... 160 4.3.5.34.3. Estructura............................................................................................................. 160 4.3.5.34.4. rea de Influencia................................................................................................ 160 4.3.5.35. Qatar - Q-CERT (Qatar CERT)................................................................................. 161 4.3.5.35.1. Antecedentes....................................................................................................... 161 4.3.5.35.2. Servicios Ofrecidos............................................................................................... 161 4.3.5.35.3. Estructura............................................................................................................. 162 4.3.5.35.4. rea de Influencia................................................................................................ 162 4.3.5.36. Reino Unido - GovCertUK (CESGs Incident Response Team)................................162 4.3.5.36.1. Antecedentes....................................................................................................... 162 4.3.5.36.2. Servicios Ofrecidos............................................................................................... 163 4.3.5.36.3. rea de Influencia................................................................................................ 163 4.3.5.37. Singapur SingCERT (Singapore CERT).................................................................164 4.3.5.37.1. Antecedentes....................................................................................................... 164 4.3.5.37.2. Servicios Ofrecidos............................................................................................... 164 4.3.5.37.3. Estructura............................................................................................................. 164 4.3.5.37.4. rea de Influencia................................................................................................ 164 4.3.5.38. Sri Lanka SLCERT (Sri Lanka Computer Emergency Response Team).................165 4.3.5.38.1. Antecedentes....................................................................................................... 165 4.3.5.38.2. Servicios Ofrecidos............................................................................................... 165 4.3.5.38.3. rea de Influencia................................................................................................ 166 4.3.5.39. Tnez - CERT-TCC (Computer Emergency Response Team - Tunisian Coordination Center)................................................................................................................................... 166 4.3.5.39.1. Antecedentes....................................................................................................... 166 4.3.5.39.2. Servicios Ofrecidos............................................................................................... 167 4.3.5.39.3. Estructura............................................................................................................. 170 4.3.5.39.4. rea de Influencia................................................................................................ 170 4.3.5.40. Venezuela CERT.ve (VenCERT Equipo de Respuesta para Emergencias Informticas).......................................................................................................................... 171 4.3.5.40.1. Antecedentes....................................................................................................... 171 4.3.5.40.2. Servicios Ofrecidos............................................................................................... 172
Pgina 9 de 205
4.3.5.40.3. Estructura............................................................................................................. 172 4.3.5.40.4. rea de Influencia................................................................................................ 172 4.3.6. EXPERIENCIAS O ANTECEDENTES EN COLOMBIA........................................................173 4.3.6.1. CIRTISI Colombia (Centro de Informacin y Respuesta Tcnica a Incidentes de Seguridad Informtica de Colombia)...................................................................................... 173 4.3.6.1.1. Antecedentes......................................................................................................... 173 4.3.6.1.2. Servicios Ofrecidos................................................................................................. 174 4.3.6.1.3. Estructura............................................................................................................... 175 4.3.6.1.4. rea de Influencia.................................................................................................. 178 4.3.6.2. CSIRT Colombia (COL CSIRT).................................................................................... 179 4.3.6.2.1. Antecedentes......................................................................................................... 179 4.3.6.2.2. Servicios Ofrecidos................................................................................................. 180 4.3.6.2.3. Estructura............................................................................................................... 180 4.3.6.2.4. rea de Influencia.................................................................................................. 180 4.3.6.3. Comit Interamericano Contra el Terrorismo de la OEA (CICTE)..............................180 4.3.6.3.1. Antecedentes......................................................................................................... 180 4.4. DIAGNSTICO 4: INICIATIVAS Y PROGRAMAS NACIONALES DE SENSIBILIZACIN A LA COMUNIDAD PARA EL USO ADECUADO DE LOS SERVICIOS ELECTRNICOS...............................182 4.4.1. INTRODUCCIN ............................................................................................................... 182 4.4.2. RELACIN DOCUMENTADA ................................................................................................ 182 4.4.3. CONCLUSIONES .............................................................................................................. 183 5. TERMINOLOGA........................................................................................... 184 6. APNDICES................................................................................................. 199 7. BIBLIOGRAFA............................................................................................. 205
Pgina 10 de 205
LISTA DE FIGURAS
ILUSTRACIN 1: PASES CON CSIRTS MIEMBROS DE FIRST.................................. 102 ILUSTRACIN 2: ESTRUCTURA DE ENISA............................................................ 110
Pgina 11 de 205
DERECHOS DE AUTOR
Portal www.iso27000.es http://www.iso27000.es/avisolegal.html
Queda prohibida la reproduccin, distribucin, transmisin, adaptacin o modificacin, por cualquier medio y en cualquier forma, de los contenidos del Portal (textos, diseos, grficos, informaciones, bases de datos, archivos de sonido y/o imagen, logos,) y dems elementos de este sitio, salvo autorizacin previa de sus legtimos titulares o cuando as resulte permitido por la ley. Se prohbe asimismo respecto de los contenidos antes detallados, cualquier utilizacin comercial o publicitaria, distinta de la estrictamente permitida, en su caso, y la vulneracin, en general, de cualquier derecho derivado de los mismos. Respuesta obtenida al correo electrnico enviado 02/10/2008, permitiendo el uso, reproduccin y traduccin de los contenidos: -----Mensaje original----De: webmaster.iso27000 [mailto:webmaster@iso27000.es] Enviado el: domingo, 05 de octubre de 2008 07:12 p.m. Para: jpantoja@digiware.com.co CC: juan.alarcon@qualtic.com; rmerchan@digiware.com.co Asunto: Re: autorizacin copyright uso de referencias e imgenes Estimado Jairo, nos parece muy interesante la labor que nos indicas en tu e-mail y por nuestra parte no hay problema en que se utilicen referencias a los contenidos que ponemos a disposicin pblica siempre y cuando no se utilicen con nimo de lucro. Por otra parte, el posible uso de traducciones o contenidos de enlaces de otras pginas se escapan lgicamente a nuestra decisin y deberan ser reclamadas a los autores originales mediante un e-mail similar al que nos hacen llegar de Colombia. Si estiman que su trabajo final podra ser difundido mediante una noticia y enlace al original o incluso alojando una copia en pdf en nuestro servidor por favor no duden en hacrnoslo saber. Colombia es un pas bastante interesado en la norma y seguro que sera una buena referencia a nivel local para ustedes. Reciban un cordial saludo, Equipo iso27000.es ************************* Correo enviado 02/10/2008
Pgina 12 de 205
Jairo Pantoja Moncayo escribi: > Buenas tardes! > > Mi nombre es Jairo Pantoja M. y soy consultor Senior en seguridad de la > informacin, trabajo en Digiware de Colombia www.digiware.com.co y > actualmente estoy participando como lder tcnico de un proyecto de > seguridad bastante importante con el gobierno de Colombia y el ministerio de > Comunicaciones Gobierno en Lnea http://www.agenda.gov.co/ > > Mi equipo y yo estamos haciendo investigacin de mejores prcticas, > estndares y recomendaciones sobre la implantacin de un modelo de seguridad > para que todas las entidades del gobierno y las empresas proveedoras de > servicios de internet (ISPs y telecentros) puedan acoger las > recomendaciones, polticas y controles para que validen su cumplimiento y > puedan generar mayor confianza del ciudadano en cuanto a seguridad de la > informacin. > > Por tal razn, y encontrando material bastante valioso en su pgina > http://www.iso27000.es solicitamos de su autorizacin (con respecto al aviso > legal - copyright) para traducir y reproducir informacin disponible en su > pgina web, documentos e imgenes que pueda servirnos para desarrollar este > proyecto vital para la seguridad de la informacin en Colombia. > > La informacin har parte de documentos entregables del proyecto para > soportar y sustentar nuestras recomendaciones hacia el cliente, obviamente, > en esta operacin, siempre hacemos referencia a las fuentes, enlaces a las > pginas, links, etc. para no quebrantar los derechos de autor de sus > materiales. > > Quedo en espera de su confirmacin; > Muchas gracias, > Jairo Hernn Pantoja Moncayo > > <mailto:jpantoja@digiware.com.co> jpantoja@digiware.com.co > > Consultor Senior de Seguridad, > > DIGIWARE S.A. > > Colombia - Ecuador - Per > <http://www.digiware.com.co/> www.digiware.com.co > Calle 100 # 13 - 21 Of. 301 > Telfono: (+571)-5082220 > Cel. 310-2107349 > Fax. (+571)-5236634 > Bogot Colombia CERT-CC, Tomado de http://www.cert.org: External use and translations: You must request our permission to use our documents or prepare derivative works for external use, or to make translations. Requests should be addressed to the SEI Licensing Agent through email to permission@sei.cmu.edu or surface mail to SEI Licensing Agent, Software Engineering Institute,Carnegie Mellon University, Pittsburgh PA 15213.
Pgina 13 de 205
Se solicita autorizacin. SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx: No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. FIRST. Tomado de: http://www.first.org/ Copyright 1995 - 2006 by FIRST.org, Inc. No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. ENISA. Tomado de: http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf. Reproduction of material published on this web site is authorized, provided the source is acknowledged, unless it is stated otherwise. Where prior permission must be obtained for the reproduction or use of material published on this web site the above mentioned permission shall be cancelled and restrictions shall be imposed through a legal notice as appropriate published on that specific material. No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
APCERT. http://www.apcert.org/. Copyright(C) 2008 APCERT. All rights reserved No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Terena. http://www.terena.org/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Alemania - CERT-Bund. http://www.bsi.bund.de/certbund/ Federal Office for Information Security (BSI). All rights reserved No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Arabia Saudita - CERT-SA. http://www.cert.gov.sa/ Copyright 2006 - 2007 | Disclaimer. All Rights Reserved
Pgina 14 de 205
No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Argentina ArCERT No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Australia AusCERT. http://www.auscert.org.au/ The material on this web site is covered by copyright. Apart from any use permitted under the Copyright Act 1968, no part may be reproduced or distributed by any process or means, without the prior written permission of AusCERT. AusCERT acknowledges all instances where copyright is held by, or shared with, another organisation. In such cases, each copyright owner should be contacted regarding reproduction or use of that material. Se solicita autorizacin. Respuesta: Date: Wed, 1 Oct 2008 03:43:58 +0000 CC: auscert@auscert.org.au Subject: RE: RE: (AUSCERT#200869d4a) Re: Permission to use and to make translations about AusCert To: fernandogaona@hotmail.com From: auscert@auscert.org.au -----BEGIN PGP SIGNED MESSAGE----Hash: RIPEMD160 Hi Fernando, We are happy for you to translate the sections of our website that you have highlighted. Additionally we have in the last week assisted New Zealand via a workshop to aid them in the creation of a National CERT, and we also provide training for the purpose of creating National CERT teams. Please do not hesitate to contact us further regarding the possibility of training and further collaboration. Regards, - -- Jonathan Levine Computer Security Analyst | Hotline: +61 7 3365 4417
Pgina 15 de 205
AusCERT, Australia's National CERT | Fax: +61 7 3365 7031 The University of Queensland | WWW: www.auscert.org.au QLD 4072 Australia | Email: auscert@auscert.org.au Austria - CERT.at. www.cert.at No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Brasil - CERT.br. http://www.cert.br No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Canad PSEPC. http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Chile CSIRT-GOV. http://www.csirt.gov.cl/ La informacin presentada en este portal tiene finalidad informativa, especialmente dirigida a los responsables de seguridad, administradores de redes y sistemas, personal informtico y en general cualquier individuo que cumpla labores al interior de la Administracin del Estado. El mal uso de la informacin entregada puede ser sancionado en conformidad al estatuto administrativo. Como el acceso a este portal es pblico, en los casos en que se detecte uso malicioso de la informacin, o intentos de quebrantar la seguridad del sistema, CSIRT Chile se reserva el derecho de ejercer todas las acciones legales correspondientes contra quien resulte responsable de dichos actos, amparado en la Ley General de Telecomunicaciones y la Ley de Delito Informtico. Queda estrictamente prohibido utilizar la informacin presentada en este portal sin el conocimiento y consentimiento formal por parte de CSIRT Chile, en especial para efectos contrarios a los buscados por este equipo. Se solicita autorizacin. Chile CLCERT. http://www.clcert.cl No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. China - CNCERT/CC. http://www.cert.org.cn/english_web/ . No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Pgina 16 de 205
Corea del Sur - KrCERT/CC. http://www.krcert.or.kr/ COPYRIGHT KRCERT.OR.KR. ALL RIGHTS RESERVED. All materials released by Internet Incident Response Support Center are protected under the copyright law and copyrights of all released materials are owned by the center. Accordingly, it is prohibited to copy or distribute them partially and entirely. If you seek for economic profits or benefits equivalent of it, a prior consultation with the center or prior approval from the center is required. In case those materials are quoted partially or entirely after prior consent or approval, it shall clearly state that the source of quoted contents belongs to the center. The hyperlink from other web sites to the main web page of the center is allowed but not to the other web pages (sub domain). Also, before setting a hyperlink to the main web page of the Center, it should be notified to the center in advance. In case data posted at a web site of the Center is used for the purpose of positing at the other Internet sites in a due manner, the arbitrary change of data except simple error correction is prohibited. The violation of this act is subject to criminal punishment. For the purpose of news report, criticism, education and study activities, data posted in the web page can be quoted as long as they satisfy fair practices within a legal boundary. However, in this case, the quotation of materials is limited to less than 10% of the whole contents. The violation of this act is regarded as infringement on copyright. As long as the data provided by the center is used for individual purpose (not commercial purpose) or within a boundary of household and equivalent boundary, it can be copied for use. However, even if a specific company, non-profit organization, intends to copy them for the purpose of internal use only, it is not allowed to copy materials. The illegal copy and distribution of materials provided by the center falls under infringement on copyright property law and the violator is sentenced to imprisonment not exceeding 5 years and a fine not exceeding 50 Mio.won. For more detailed information, you can contact the Internet Incident Response Support Center (Tel : 118 / cert@certcc.or.kr;cert@krcert.or.kr). Se solicita autorizacin.
Dinamarca DK.CERT. https://www.cert.dk/ Informacin sobre estas pginas pueden ser protegidas por los derechos de autor No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Emiratos rabes Unidos aeCERT. http://www.aecert.ae/
Pgina 17 de 205
2007-2008 aeCERT . All rights reserved No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Espaa ESCERT. http://escert.upc.edu/index.php/web/es/index.html Los textos, diseos, imgenes, bases de datos, logotipos, estructuras, marcas y otros elementos de esCERT-UPC, incluido todo lo referente a ALTAIR, estn protegidos por la normativa de aplicacin respecto a la propiedad intelectual e industrial. esCERT-UPC autoriza a los usuarios a reproducir, copiar, distribuir, transmitir, adaptar o modificar exclusivamente los contenidos de la web de esCERT-UPC, siempre que se especifique la fuente y/o los autores. Espaa IRIS-CERT. http://www.rediris.es/cert/ RedIRIS 1994-2008 No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Espaa - CCN-CERT. https://www.ccn-cert.cni.es/ 2008 Centro Criptolgico Nacional - C/Argentona s/n 28023 MADRID No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Espaa - INTECO-CERT. http://www.inteco.es/rssRead/Seguridad/INTECOCERT Todos los elementos que forman el sitio Web, as como su estructura, diseo y cdigo fuente de la misma, son titularidad de INTECO y estn protegidos por la normativa de propiedad intelectual e industrial. Se prohbe la reproduccin total o parcial de los contenidos de este sitio Web, as como su modificacin y/o distribucin sin citar su origen o solicitar previamente autorizacin. INTECO no asumir ninguna responsabilidad derivada del uso por terceros del contenido del sitio Web y podr ejercitar todas las acciones civiles o penales que le correspondan en caso de infraccin de estos derechos por parte del usuario.
Estados Unidos - US-CERT. http://www.us-cert.gov You are permitted to reproduce and distribute documents on this web site in whole or in part, without changing the text you use, provided that you include the copyright statement or "produced by" statement and use the document for noncommercial or internal purposes. For commercial use or translations, send your email request to webmaster@us-cert.gov. Se solicita autorizacin.
Pgina 18 de 205
Estonia CERT-EE. http://www.ria.ee/?id=28201 No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Filipinas - PH-CERT. http://www.phcert.org/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Francia-CERTA. http://www.certa.ssi.gouv.fr/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Hong Kong HKCERT. http://www.hkcert.org/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Hungra CERT. http://www.cert-hungary.hu/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
India - CERT-In. http://www.cert-in.org.in/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Japan - JPCERT/CC. http://www.jpcert.or.jp/ Copyright 1996-2008 JPCERT/CC All Rights Reserved No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Mxico UNAM-CERT. http://www.cert.org.mx/index.html Copyright Todos los derechos reservados, cert.org.mx. DSC/UNAM-CERT DGSCA No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Nueva Zelandia CCIP. http://www.ccip.govt.nz/ Except where specifically noted, all material on this site is Crown copyright.
Pgina 19 de 205
Material featured on this site is subject to Crown copyright protection unless otherwise indicated. The Crown copyright protected material may be reproduced free of charge in any format or media without requiring specific permission, provided that the material is reproduced accurately and is not further disseminated in any way, and on condition that the source of the material and its copyright status are acknowledged. The permission to reproduce Crown copyright protected material does not extend to any material on this site that is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from the copyright holders concerned. No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Holanda - GOVCERT.NL. http://www.govcert.nl/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Polonia - CERT Polska. http://www.cert.pl/ Copyright 2004 NASK No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. Qatar - Q-CERT. http://www.qcert.orgv No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Reino Unido GovCertUK. www.govcertuk.gov.uk Crown Copyright 2008 No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Reino Unido GovCertUK. www.govcertuk.gov.uk The material featured on this site is subject to Crown Copyright protection unless otherwise indicated. The Crown Copyright protected material (other than CPNI logo and website design) may be reproduced free of charge in any format or medium provided it is reproduced accurately and not used in a misleading context. Where any of the Crown Copyright items on this site are being republished or copied to others, the source of the material must be identified and the copyright status acknowledged. The permission to reproduce Crown protected material does not extend to any material on this site which is identified as being the copyright of a third party. Authorisation to reproduce such material must be obtained from the copyright holders concerned.
Pgina 20 de 205
For further information on Crown copyright policy and licensing arrangements, please refer to the guidance on OPSI's website at www.opsi.gov.uk/advice/crown-copyright/copyrightguidance/index.htm. No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Singapur SingCERT. http://www.singcert.org.sg/ 1. SingCERT Security Alerts (such as advisories and bulletins): Permission is granted to reproduce and distribute SingCERT security alerts in their entirety, provided the SingCERT PGP signature or the PGP signature of the original creator of the alerts is included and provided the alert is used for noncommercial purposes with the intent of increasing the awareness of the Internet community. 2. All materials produced by SingCERT except as noted in Section 1, "SingCERT security alerts": Requests for permission to reproduce documents or Web pages or to prepare derivative works or external and commercial use should be addressed to SingCERT through email to cert@singcert.org.sgThis e-mail address is being protected from spam bots, you need JavaScript enabled to view it. Se solicita autorizacin.
Sri Lanka SLCERT. http://www.cert.lk/ Copyright Reserved. Sri Lanka CERT. Website Material: All material on this website is covered by copyright. No part may be re-produced or distributed by any process or means. Requests for permission to reproduce documents or Web pages or to prepare derivative works for external and commercial use should be addressed to Sri Lanka CERT through email to slcert@slcert.gov.lk. Security Alerts: Permission is granted to reproduce and distribute Sri Lanka CERT security alerts such as advisories and bulletins in its entirety, provided the signature of the original creator of the alerts is included and provided the alert is used for non-commercial purposes. Se solicita autorizacin.
Tnez - CERT-TCC. http://www.ansi.tn/en/about_cert-tcc.htm Copyright 2006 ANSI No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Venezuela CERT.ve. http://www.cert.gov.ve/ No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
CIRTISI COLOMBIA.
Pgina 21 de 205
http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de %20mayo%20de%202007%202.pdf No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente. CSIRT Colombia. http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt No hacen comentarios acerca de requerimientos adicionales en torno a Derechos de Autor y se interpreta que se puede hacer referencia a la fuente.
Solicitud de Autorizacin de uso y traduccin presentada a los diferentes organismos que as lo requieren: Ttulo: Permission to use and to make translations about CSIRT Solicitud: In order to design a CSIRT for the program Gobierno en Lnea (e-government) of Colombia, we want to identify a documented relation of national and international initiatives and experiences in CSIRTs. Then we request authorization to translate and to reproduce available information in your web page relating to precedents, offered services, structure of the CSIRT and area of coverage. The results will be compiled and presented in a technical paper "Design of a CSIRT for the Program Gobierno en Linea of Colombia " in the chapter " Documented Relation of National and International Experiences and Initiatives in CSIRTs ". Cordial greeting, Fernando Gaona Organizations Team Leader Project "Model of the Computer Security Management for e-Government" Telephone (+57 3164720780) Program "Agenda de Conectividad": http://www.agenda.gov.co/ Digiware: http://www.digiware.com.co/Digiware/index1.html
Pgina 22 de 205
1.
AUDIENCIA
Este documento est dirigido a todo el equipo que interviene en el proyecto Modelo de Seguridad Informtica para la Estrategia de Gobierno en Lnea de parte tanto del contratista como del contratante, y tiene como propsito, lograr la ambientacin y comprensin de los objetivos y expectativas del proyecto en mencin con la estrategia de Gobierno en Lnea, para que una vez teniendo claro el marco de referencia, se pueda involucrar a la comunidad nacional e internacional relacionada con el tema de la seguridad de la informacin, a las entidades pblicas y privadas, as como a la comunicad acadmica en general.
Pgina 23 de 205
2.
INTRODUCCIN
El inters y la preocupacin por la seguridad de la informacin se han incrementado durante los ltimos aos, puesto que nuevas amenazas surgen cada da con el uso de los servicios y tecnologas informticas, las telecomunicaciones, el acceso a Internet y el comercio electrnico. Es as, como las diferentes entidades del pas son cada vez ms dependientes del uso de redes pblicas, volviendo crtica la prestacin de servicios, la estabilidad y productividad de las infraestructuras nacionales que componen esta nueva e-economa emergente que es necesario de igual forma, urgente proteger. Bajo la ptica y alcance de los principios definidos en la Estrategia de Gobierno en Lnea, existen dos que corresponden a: "Proteccin de la informacin del individuo" y "Credibilidad y confianza en el Gobierno en Lnea". Para lograr el cumplimiento de estos objetivos, se requiere que tanto los Servicios de Gobierno en Lnea como la Intranet Gubernamental cumplan con los tres elementos fundamentales de la Seguridad de la Informacin, a saber: disponibilidad de la informacin y los servicios; integridad de la informacin y los datos; y, confidencialidad de la informacin. Para la correcta administracin de la Seguridad Informtica, se deben establecer y mantener programas y mecanismos que busquen cumplir con los tres requerimientos mencionados, no nicamente bajo la perspectiva tecnolgica de las mejores prcticas y estndares internacionales en seguridad de la informacin, sino tambin es necesario, abordar la problemtica de la seguridad desde la perspectiva organizacional y jurdica, con el fin de consolidar una buena prctica en el Estado Colombiano, en lo referente a la prestacin segura de los Servicios de Gobierno en Lnea. Todo lo anterior debe estar acompaado de los instrumentos normativos que eliminen las barreras de implementacin, as como de los elementos de divulgacin y capacitacin que apoyen la implementacin del proyecto de seguridad para que le den confianza al usuario final y a los prestadores de servicios de Gobierno en Lnea.
Pgina 24 de 205
3.
RESUMEN EJECUTIVO
En materia de seguridad de la informacin existe un amplio panorama de normas tcnicas, estndares y mejores prcticas que han sido emitidas por entidades gubernamentales, grupos de inters, institutos de normalizacin, organizaciones independientes y comunidad acadmica, de las cuales se elabor una relacin documentada, que sin ser exhaustiva, refleja el estado del arte en lo referente a los Sistemas de Gestin de Seguridad de la Informacin - SGSI. En Colombia, las normas internacionales en seguridad de la informacin, han sido adoptadas por el Instituto Colombiano de Normas Tcnicas y Certificacin, ICONTEC, por otra parte, el Gobierno Colombiano ha generado normativas de control interno como el MECI 1000 y de calidad como la NTCGP 1000 apoyado por estndares internacionales (COSO, ISO9001 respectivamente). Las organizaciones de distintos sectores, ven en la implementacin de sistemas de gestin, ventajas competitivas que apoyan sus procesos misionales. En el componente jurdico, adems de haber compilado la normatividad existente en seguridad informtica, habeas data y proteccin de informacin del individuo, se ha logrado un compendio de normas que vinculan al Estado Colombiano o actualmente estn vigentes en materia de Gobierno en Lnea, comercio electrnico y manejo legal de la informacin, describiendo una a una cada norma haciendo nfasis en su vigencia y aplicacin, incluyendo las normas de derecho comparado ms relevantes. A nivel de Centros de Respuesta a Incidentes de Seguridad Computacional CSIRT (por las siglas en ingls de Computer Security Incident Response Teams), se incluye una relacin documental de algunas experiencias nacionales e internacionales relacionadas, considerando sus antecedentes, servicios ofrecidos, su estructura y rea de influencia, con el fin de identificar mejores prcticas para la constitucin de un CSIRT para el Estado Colombiano. En cuanto a las iniciativas y programas nacionales de sensibilizacin a la comunidad para el uso adecuado de los servicios electrnicos, se incluye una relacin documental de algunas pocas iniciativas en este sentido y que denotan lo importante que es para
Pgina 25 de 205
Gobierno en Lnea prever esta actividad como una de las ms importantes a desarrollar para que el modelo de seguridad informtica propuesto sea una realidad.
Pgina 26 de 205
4.
DIAGNSTICO SITUACIN ACTUAL

DE LA INFORMACIN
4.1. DIAGNSTICO 1: SEGURIDAD ESTNDARES Y MEJORES PRCTICAS

4.1.1. Introduccin
El inters y la preocupacin por la seguridad de la informacin se han incrementado durante los ltimos aos, puesto que nuevas amenazas surgen cada da con el uso de las tecnologas informticas, las telecomunicaciones, el acceso a Internet y el comercio electrnico. Es as como organizaciones de diferentes sectores, grupos de inters, organismos gubernamentales, instituciones de normalizacin y profesionales de diferentes disciplinas, han apoyado e impulsado la continua creacin y actualizacin de estndares y mejores prcticas para la seguridad de la informacin. La relacin documentada de estndares y mejores prcticas del numeral 4.1.2 presenta, sin ser una relacin exhaustiva, el estado del arte en estndares, guas y mejores prcticas para la seguridad de la informacin orientada hacia los requerimientos tanto generales como a nivel tcnico que todo modelo y sistema de gestin en seguridad de la informacin SGSI debe tener para ser aceptado a todo nivel, tanto nacional como internacional y que Colombia debe acoger para cumplir con sus compromisos internacionales en materia de seguridad en la informacin. 4.1.2. Relacin documentada de estndares y mejores nacionales e internacionales en seguridad de la Informacin prcticas
La siguiente tabla hace mencin a los principales estndares y mejores prcticas nacionales e internacionales organizadas por tipo de organismo: (ltimo acceso = .a; toda la tabla 30/09/2008)
Nombre Documento Resumen Enlace documento Vigencia y Aplicaci n Fuente
NTC ISO-IEC 5411-1 Tecnologa de La parte 1 presenta una visin general http://www.icontec.org/Catalogo.asp la informacin. Tcnicas de de los conceptos y modelos Seguridad. Gestin de la Seguridad fundamentales usados para describir
2006-03-22
ICONTEC
Pgina 27 de 205
de la Tecnologa de la Informacin y las comunicaciones. Parte 1: Conceptos y modelos para la gestin de la tecnologa de la informacin y las comunicaciones.
la gestin de la seguridad de las TICs. Es una adopcin idntica por traduccin respecto a la norma ISO/IEC 13335-1:2004.
NTC-ISO/IEC 27001 Tecnologa de la Informacin. Tcnicas de Seguridad. Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos.
Especifica los requerimientos para http://www.icontec.org/Catalogo.asp establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestin de seguridad de la informacin documentado dentro del contexto de los riesgos de negocio de las organizaciones. Es una adopcin idntica por traduccin respecto a la norma ISO/IEC 27001.
2006-03-22
ICONTEC
NTC- ISO/IEC 17799 Tecnologa de la Informacin. Tcnicas de Seguridad. Cdigo de Prctica para la gestin de seguridad de la informacin.
Establece guas y principios generales http://www.icontec.org/Catalogo.asp para iniciar, implementar, mantener y mejorar un sistema de gestin de seguridad de la informacin en una organizacin. Es una adopcin idntica por traduccin respecto a la norma ISO/IEC 17799:2005.
2006-09-22
ICONTEC
GTC 176 Sistema de Gestin de Presenta un modelo para establecer, http://www.icontec.org/Catalogo.asp Continuidad del Negocio implementar, operar, hacer seguimiento, revisar, mantener y mejorar un sistema de gestin de la continuidad del negocio (SGCN).
2008-05-28
ICONTEC
NTC 5244 Gestin del Riesgo
Presenta unos requisitos generales http://www.icontec.org/Catalogo.asp para el establecimiento e implementacin del proceso de gestin del riesgo, que involucra la determinacin del contexto y la identificacin, anlisis, evaluacin, tratamiento, comunicacin y monitoreo regular de los riesgos.
2006-08-30
ICONTEC
Manual Directrices de Gestin del Este manual ayuda a entender la http://www.icontec.org/Catalogo.asp Riesgo/Complementa la NTC forma como se debe interpretar la 5254:2006 NTC 5254 gestin del riesgo.
2008
ICONTEC
Pgina 28 de 205
The Standard for Good Practice for Enfoca la seguridad de la informacin https://www.isfsecuritystandard.com/ Information Security desde una perspectiva del negocio y SOGP07/index.htm proporciona a una base prctica para evaluar los acuerdos en seguridad de la informacin de una organizacin.
2007
ISF, Information Security Forum
ISM3, Information Security Extiende los principios de gestin de http://www.ism3.com/ Management Maturity Model v2.00 calidad de la ISO9001 a sistemas de gestin de seguridad de la informacin (ISM). Se enfoca no tanto en controles sino en los procesos comunes de seguridad de informacin.
2007
ISM3 Consortium
NIST SP 800-14 Generally Accepted Proporciona una base para revisar los http://csrc.nist.gov/publications/nistp Principles and Practices for Securing programas de seguridad de TI. ubs/800-14/800-14.pdf Information Technology Systems Permite ganar un entendimiento de los requerimientos bsicos de seguridad para los sistemas de TI. Describe 8 principios y 14 prcticas de seguridad.
Septiembre de 1996
NIST
NIST SP 800-16 Technology Security
Information Provee un marco de referencia http://csrc.nist.gov/publications/nistp integrado para identificar necesidades ubs/800-16/800-16.pdf de entrenamiento para la fuerza de trabajo y asegurar que se recibe Training Requirements: A Role- and entrenamiento apropiado. Performance-Based Model
Abril de 1998
NIST
NIST SP 800 18 Guide Developing Security Plans Federal Information Systems
for Presenta un conjunto de actividades y http://csrc.nist.gov/publications/nistp for conceptos para desarrollar un plan de ubs/800-18-Rev1/sp800-18-Rev1seguridad de la informacin. final.pdf
Febrero de 2006
NIST
NIST SP 800 30 Risk Management Presenta definiciones y una gua http://csrc.nist.gov/publications/nistp Guide for Information Technology prctica para evaluar y mitigar riesgos ubs/800-30/sp800-30.pdf Systems identificados en los sistemas de TI.
Julio de 2002
NIST
NIST SP 800 34 Contingency Proporciona Planning Guide For Information recomendaciones
instrucciones, http://csrc.nist.gov/publications/nistp consideraciones ubs/800-34/sp800-34.pdf
Junio de 2002
NIST
Pgina 29 de 205
Technology Systems
para la planeacin de contingencias en el gobierno de TI.
NIST SP 800 53 Recommended Proporciona gua para seleccionar y http://csrc.nist.gov/publications/nistp Security Controls for Federal especificar controles de seguridad ubs/800-53-Rev2/sp800-53-rev2Information Systems para sistemas de informacin que final.pdf apoyan las agencias ejecutivas del Gobierno Federal. Toma como base el FIPS 200.
Diciembre de 2007
NIST
System Protection Profile Industrial Control Systems
- Incluye requerimientos funcionales de http://www.isd.mel.nist.gov/projects/ seguridad y requerimientos de processcontrol/SPP-ICSv1.0.pdf aseguramiento para sistemas de control industrial (ICS). Est basado en la ISO15408.
2004-02-04
NIST
Business Continuity Guideline. A Practical Approach For Emergency Preparedness, Crisis Management, And Disaster Recovery
Esta gua se compone de una serie de http://www.asisonline.org/guidelines/ procesos y actividades inter- inprogress_published.htm relacionadas para apoyar la creacin, prueba y mantenimiento de un plan a nivel de la toda la organizacin que pueda usarse en el evento de una crisis que amenace la viabilidad y continuidad de la organizacin.
2005
Asis International
General Security Risk Assessment Consiste en una gua de 7 pasos para http://www.asisonline.org/guidelines/ Guideline evaluar los riesgos de seguridad. inprogress_published.htm
2003
Asis International
Chief Security Officer Guideline
Herramienta que permite definir una http://www.asisonline.org/guidelines/ arquitectura de seguridad inprogress_published.htm caracterizada por conciencia apropiada, prevencin, alistamiento y respuesta a cambios en situaciones de amenaza.
2008
Asis International
Information Guideline
Asset
Protection Proporciona unos principios guas para http://www.asisonline.org/guidelines/ desarrollar una poltica de proteccin inprogress_published.htm de activos de informacin en una
2007
Asis International
Pgina 30 de 205
organizacin.
Cobit 4.1 Control Objectives For Marco de Referencia para el Gobierno http://www.itgi.org/ Information And Related y control de TI. Se presenta como un Technology. modelo de procesos que se subdivide en 4 dominios, 34 procesos y 215 objetivos de control. Para cada uno de los procesos de TI se presenta un modelo de madurez cuyo propsito es identificar el desempeo actual, compararse con la industria, determinar dnde quiere estar y qu necesita para mejorar.
2007
ITGI e ISACA
Information Security Governance Guidance for Boards of Directors and Executive Management Second Edition.
Proporciona a la Junta Directiva y a www.isaca.org ejecutivos Senior un enfoque racional y reconocido para proteger los activos vitales de informacin que apoyan los procesos del negocio.
2006
ISACA
Information Security Governance Discute cmo desarrollar una www.isaca.org Guidance for Information Security estrategia de seguridad de la managers informacin dentro del marco de referencia de gobierno de una organizacin y cmo direccionar la estrategia mediante un programa de seguridad de la informacin. Provee una gua para determinar los objetivos de la seguridad de la informacin y cmo medir el progreso hacia el logro de los mismos.
2008
ISACA
Cobit Security Baseline An Esta gua de supervivencia se centra www.isaca.org Information Security Survival Kit en los riesgos especficos de seguridad de la informacin en una forma sencilla de seguir e implementar tanto para el usuario en casa como para el usuario de pequeas, medianas o grandes empresas, e igualmente para ejecutivos y miembros de juntas directivas de grandes organizaciones.
2007
ISACA
ITIL
Conjunto de mejores prcticas para la http://www.best-managementadministracin y garanta de alta practice.com/ calidad en la prestacin de los servicios de TI, independiente de los proveedores de hardware y software.
2007
OGG(British Office of Government Commerce)
Pgina 31 de 205
ASNZ 4360: Management
2004:
Risk Provee una gua general para el http://www.saiglobal.com/shop/Script establecimiento y la implantacin de /details.asp?docn=AS0733759041AT procesos de administracin del riesgo e involucra establecer el contexto, identificacin, anlisis, evaluacin, tratamiento, comunicacin y monitoreo de los riesgos.
2004
Standards Australia
Magerit versin 2 Metodologa de Ofrece un mtodo sistemtico para http://www.csi.map.es/csi/pg5m20.h Anlisis y gestin de Riesgos de los analizar los riesgos de los sistemas de tm sistemas de Informacin informacin.
2006-06-20
Consejo Superior de Administracin Electrnica
Directrices De La OCDE Para La Define 9 principios complementarios http://www.csi.map.es/csi/pdf/ocde_ Seguridad De Sistemas Y Redes De entre s y son de inters general tanto directrices_esp.pdf Informacin. Hacia Una Cultura De en el mbito poltico como tcnico. Seguridad
2004
OCDE(Organiz acin de Cooperacin y desarrollo Econmico)
Criterios de Seguridad, Proporciona un conjunto de medidas http://www.csi.map.es/csi/criterios/p Normalizacin y Conservacin organizativas y tcnicas de seguridad, df/criterios.pdf normalizacin y conservacin para garantizar el cumplimiento de los requisitos legales para la validez y eficacia de los procedimientos administrativos de la Administracin General del Estado, que utilicen los medios
2004-06-24
Ministerio de Administracion es Pblicas
electrnicos, informticos y telemticos en el ejercicio de sus potestades.
NFPA 75 Standard for the Protection Establece los requerimientos mnimos http://www.nfpa.org/aboutthecodes/ of Information Technology para la proteccin de los equipos de AboutTheCodes.asp? Equipment, 2009 Edition tecnologa de informacin y las reas DocNum=75&cookie%5Ftest=1 de equipos de TI contra daos causados por el fuego o sus efectos asociados (humo, corrosin, calor y agua).
Septiembre 5 de 2008
NFPA(National Fire Protection Association)
Pgina 32 de 205
NFPA 76 Standard Protection
for
the
Fire Provee los requerimientos para la http://www.nfpa.org/aboutthecodes/ proteccin contra el fuego de las AboutTheCodes.asp?DocNum=76 instalaciones de telecomunicaciones que prestan servicios al pblico.
A partir de Octubre 10 de 2008
NFPA(National Fire Protection Association)
of Telecommunications
Facilities, 2009 Edition
ANSI/CSA/EIA/TIA-942 Telecommunications
Define un estndar de infraestructura www.tiaonline.org de telecomunicaciones para centros de datos. for Data
2005
Infrastructure Centers
Standard
TIA (Telecommuni cations Industry Association)
Network Security Model
Provee una forma de ensear e http://www.sans.org/reading_room/w implementar medidas bsicas de hitepapers/modeling/32843.php seguridad de red y dispositivos as como identificar las causas de ataques exitosos.
2008-08-03
SANS
Programming wireless security
Introduce algunas de las tcnicas de http://www.sans.org/reading_room/w programacin necesarias para hitepapers/wireless/32813.php construir herramientas inalmbricas seguras.
2008-06-18
SANS
Developing a security awareness Examina las facetas importantes de http://www.sans.org/reading_room/w culture Improving Security individuos y grupos que toman hitepapers/awareness/1526.php Decision Making decisiones y provee una gua descriptiva para mejorar la calidad de los procesos de toma de decisiones guiando hacia la toma de mejores decisiones de seguridad.
2004-07-23
SANS
Unique User Identification(GIAC)
Discute la implementacin de http://www.sans.org/score/hipaa/hip identificacin de usuario nico que es aa1.pdf parte de la regulacin de seguridad HIPAA.
2004
SANS
Pgina de listas de chequeo
Permite descargar listas de chequeo http://www.sans.org/score/macosxch para evaluar la seguridad de algunos sistemas operativos, bases de datos, Pgina 33 de 205
Vara segn el
SANS
dispositivos inalmbricos, firewall, etc. ecklist.php
documento
ISO/IEC 17799:2005 Information technology -- Security techniques -Code of practice for information security management
Establece guas y principios generales http://www.iso.org/iso/iso_catalogue. para iniciar, implementar, mantener htm un sistema de gestin de seguridad en una organizacin.
2005-06-10
ISO
Establece guas y principios generales http://www.iso.org/iso/iso_catalogue. para iniciar, implementar, mantener htm un sistema de gestin de seguridad en una organizacin. Su contenido es idntico a la ISO/IEC 17799:2005.
2005-06-15
ISO
ISO/IEC 27001:2005 Information technology -- Security techniques -Information security management systems -- Requirements
especifica los requisitos para http://www.iso.org/iso/iso_catalogue. implantar, operar, vigilar, mantener, htm evaluar un sistema de seguridad informtica explcitamente
2005-10-14
ISO
ISO/IEC 27005:2008 Information technology - Security techniques Information security risk management
Proporciona una gua para la gestin http://www.iso.org/iso/iso_catalogue. de riesgos de seguridad de la htm informacin. Soporta los conceptos generales definidos en la ISO/IEC 27001 y apoya en la implementacin de la seguridad de la informacin basada en un enfoque de gestin de riesgos.
2008-06-04
ISO
ISO/IEC 12207:2008 Systems and Establece un marco comn para los http://www.iso.org/iso/iso_catalogue. 2008-03- 18 software engineering - Software life procesos del ciclo de desarrollo del htm cycle processes software. Contiene procesos, actividades y tareas a ser aplicadas en la adquisicin de un producto o servicio de software y durante el ciclo de vida de los productos de software.
ISO
ISO/IEC19790:2006 Information Especifica cuatro niveles de seguridad http://www.iso.org/iso/iso_catalogue. technology -- Security techniques -- para mdulos criptogrficos. htm Security requirements for cryptographic modules Entre los objetivos funcionales de
2006-03-09
ISO
Pgina 34 de 205
seguridad estn:
Especificacin de mdulo Puertos e interfaces Roles, servicios y autenticacin Modelo de estado finito Seguridad Fsica Ambiente Operacional Administracin de llaves criptogrficas Auto tests Aseguramiento del diseo Mitigacin de otros ataques
ISO/IEC 19790:2006 es derivado del NIST Federal Information Processing Standard PUB 140-2 May 25, 2001.
ISO/IEC 24759:2008 Information technology -- Security techniques -Test requirements for cryptographic modules
Especifica los mtodos a ser utilizados http://www.iso.org/iso/iso_catalogue. en las pruebas de laboratorio para htm probar si un mdulo criptogrfico es conforme con los requerimientos especificados en la ISO/IEC 19790:2006.
2008-06-26
ISO
ISO/IEC 18043:2006 Information technology -- Security techniques -Selection, deployment and operations of intrusion detection systems
Describe el cmo para los http://www.iso.org/iso/iso_catalogue. administradores y usuarios que htm desean: entender los beneficios y limitaciones de los IDS; desarrollar una estrategia y un plan de implementacin para IDS; administrar efectivamente los IDS; integrar la intrusin y deteccin en las prcticas de seguridad de la organizacin; entender los riesgos y problemas legales generados con el deployment de los IDS.
2006-06-19
ISO
ISO/IEC TR 18044:2004 Information technology -- Security techniques -- Information security incident management
Es una gua de administracin de http://www.iso.org/iso/iso_catalogue. incidentes de seguridad de la htm informacin para administradores de seguridad de la informacin y para administradores de sistemas de informacin.
2004-10-12
ISO
Suministra informacin sobre los beneficios que se obtienen y los aspectos claves asociados a un buen enfoque de gestin de incidentes de
Pgina 35 de 205
seguridad de informacin.
Presenta ejemplos de incidentes de seguridad de informacin y posibles causas.
Presenta una descripcin del proceso de administracin de incidentes de seguridad de informacin.
ISO/TR 13569:2005 Financial Es una gua para el desarrollo de un http://www.iso.org/iso/iso_catalogue. services -- Information security programa de seguridad de htm guidelines informacin para instituciones financieras. Incluye discusin de polticas, organizacin y estructura, componentes legales y normativos.
2005-11-22
ISO
ISO/IEC 18033-2:2006 Information Especifica los sistemas de encriptacin http://www.iso.org/iso/iso_catalogue. technology -- Security techniques -- (cifrado) para propsitos de htm Encryption algorithms -- Part 2: confidencialidad de datos. Asymmetric ciphers
2006-05-08
ISO
Establece guas y principios generales http://www.iso.org/iso/iso_catalogue. para iniciar, implementar, mantener y htm mejorar un sistema de gestin de seguridad de la informacin en una organizacin.
2005-06-15
ISO
ISO/IEC 18028-1:2006 Information technology -- Security techniques -IT network security -- Part 1: Network security management
Presenta una gua detallada de http://www.iso.org/iso/iso_catalogue. aspectos de seguridad en la htm administracin, operacin y uso de redes de TI y sus interconexiones. Amplia las guas de administracin de seguridad de los estndares ISO/IEC 13335 e ISO/IEC 17799 detallando las operaciones especficas y mecanismos necesarios para implementar controles de seguridad de red en ambientes de red de rango amplio.
2006-07-04
ISO
ISO/IEC 27006:2007 Information technology -- Security techniques -Requirements for bodies providing audit and certification of information security management systems
Especifica los requerimientos y http://www.iso.org/iso/iso_catalogue. proporciona gua para las entidades htm de auditoria y certificacin de los SGSI.
2007-02-13
ISO
Pgina 36 de 205
ISO/IEC 27799:2008 Health Presenta una gua de mejores http://www.iso.org/iso/iso_catalogue. informatics -- Information security prcticas para la seguridad de la htm management in health using informacin en el rea de la salud. ISO/IEC 27002 Aplica para la informacin de salud en todos sus aspectos; en todas las formas posibles de presentacin de la informacin (palabras, nmeros, registros de sonidos, dibujos, video, imgenes, etc.)
2008-06-12
ISO
ISO/IEC 18045:2008 Information technology -- Security techniques -Methodology for IT security evaluation
Es un complemento al ISO/IEC 15408 http://www.iso.org/iso/iso_catalogue. Information technology - Security htm techniques - Evaluation criteria for IT security.
2008-08-19
ISO
Define las acciones mnimas que desarrolla un evaluador al conducir una evaluacin de la ISO/IEC 15408, utilizando los criterios y evidencia de la evaluacin planteado en dicho estndar.
ISO 20302:2006 Health informatics -- Health cards -- Numbering system and registration procedure for issuer identifiers
Diseado para confirmar mediante un http://www.iso.org/iso/iso_catalogue. sistema de numeracin y htm procedimiento de registro, las identidades tanto del proveedor de la aplicacin de salud como del dueo de la tarjeta de salud para el intercambio de informacin.
2006-12-01
ISO
ISO 20301:2006 Health informatics Regula la informacin visual escrita en http://www.iso.org/iso/iso_catalogue. -Health cards -General las tarjetas de salud. Se enfoca en htm characteristics tarjetas tipo ID-1 definidas en la ISO/IEC 7810 generadas por los servicios de salud que se prestan en un rea que abarca las fronteras nacionales entre dos o ms pases o reas.
2006-10-31
ISO
ISO 22857:2004 Health informatics -- Guidelines on data protection to facilitate trans-border flows of personal health information
Proporciona una gua en los http://www.iso.org/iso/iso_catalogue. requerimientos de proteccin de los htm datos para facilitar la transferencia de los datos de salud entre fronteras nacionales.
2004-03-17
ISO
Pgina 37 de 205
ISO/IEC 15444-8:2007 Information Especifica el marco de referencia, los http://www.iso.org/iso/iso_catalogue. technology -- JPEG 2000 image conceptos y metodologa para htm coding system: Secure JPEG 2000 asegurar cadenas de datos JPEG 2000.
2007-04-04
ISO
ISO/TR 22221:2006 Health informatics - Good principles and practices for a clinical data warehouse
Define principios y prcticas para la http://www.iso.org/iso/iso_catalogue. creacin, uso, mantenimiento y htm proteccin de una DWH clnica e incluye aspectos ticos; requerimientos de proteccin de datos y recomendaciones de polticas para el gobierno de la seguridad de la informacin.
2006-10-25
ISO
ISO/IEC 19785-2:2006 Information technology -- Common Biometric Exchange Formats Framework -Part 2: Procedures for the operation of the Biometric Registration Authority
Especifica los requerimientos para la http://www.iso.org/iso/iso_catalogue. operacin de la Autoridad de Registro htm Biomtrico dentro del marco de referencia de los formatos de intercambio biomtrico (CBEFF).
2006-05-04
ISO
ISO 19092:2008 Financial services Describe el marco de referencia para http://www.iso.org/iso/iso_catalogue. -- Biometrics -- Security framework el uso de la biometra en la htm autenticacin de los clientes en el sector de los servicios financieros.
2008-01-07
ISO
ISO 17090-1:2008 Health informatics -Public key infrastructure -- Part 1: Overview of digital certificate services
Define los conceptos bsicos sobre el http://www.iso.org/iso/iso_catalogue. uso de certificados digitales en el rea htm de la salud y proporciona un esquema de requerimientos de interoperabilidad para establecer comunicaciones seguras de la informacin de salud mediante certificados digitales.
2008-02-14
ISO
ISO/IEC 11770-1:1996 Information technology -- Security techniques -Key management -- Part 1: Framework
Define un modelo general de http://www.iso.org/iso/iso_catalogue. administracin de claves htm independiente del algoritmo criptogrfico que se use. Identifica el objetivo, los conceptos bsicos y los servicios de la administracin de claves.
1996-12-26
ISO
Pgina 38 de 205
ISO/IEC 13888-1:2004 IT security Presenta un modelo general para http://www.iso.org/iso/iso_catalogue. techniques -- Non-repudiation -- especificar mecanismos de no repudio htm Part 1: General utilizando tcnicas criptogrficas.
2004-06-10
ISO
ISO/IEC 9075-1:2008 Information technology -- Database languages -- SQL -- Part 1: Framework (SQL/Framework)
Define en conjunto con las ISO/IEC http://www.iso.org/iso/iso_catalogue. 9075-2:2008 e ISO/IEC 9075- htm 11:2008 los requerimientos mnimos del lenguaje SQL. Especifica el marco de referencia conceptual usado en otras partes de ISO/IEC 9075.
2008-07-17
ISO
ISO/IEC 9075-2:2008 Information technology -- Database languages -- SQL -- Part 2: Foundation (SQL/Foundation)
Define las estructuras de datos y http://www.iso.org/iso/iso_catalogue. operaciones bsicas en SQL. Provee htm capacidades funcionales para crear, acceder, mantener, controlar y proteger datos en SQL.
2008-07-17
ISO
ISO/IEC 9075-3:2008 Information technology -- Database languages -- SQL -- Part 3: Call-Level Interface (SQL/CLI)
Define las estructuras y funciones que http://www.iso.org/iso/iso_catalogue. deben usarse para ejecutar las htm declaraciones del lenguaje SQL dentro de una aplicacin escrita en un lenguaje estndar de programacin de manera que las funciones utilizadas sean independientes de las declaraciones SQL a ser ejecutadas.
2008-07-17
ISO
ISO/IEC 9075-4:2008 Information technology -- Database languages -- SQL -- Part 4: Persistent Stored Modules (SQL/PSM)
Especifica la sintaxis y semntica de http://www.iso.org/iso/iso_catalogue. las declaraciones para agregar mayor htm capacidad procedimental al lenguaje SQL en las funciones y procedimientos.
2008-07-17
ISO
ISO/IEC 9075-9:2008 Information technology -- Database languages -- SQL -- Part 9: Management of External Data (SQL/MED)
Define extensiones a SQL para http://www.iso.org/iso/iso_catalogue. soportar la administracin de datos htm externos mediante el uso de tipos de datos wrapper y datalink.
2008-07-17
ISO
ISO/IEC 9075-10:2008 Information Define las extensiones al lenguaje http://www.iso.org/iso/iso_catalogue. technology -- Database languages SQL para soportar declaraciones de htm -- SQL -- Part 10: Object Language SQL embebidas en programas escritos en Java.
2008-07-17
ISO
Pgina 39 de 205
Bindings (SQL/OLB)
ISO/IEC 9075-11:2008 Information Especifica un esquema de informacin http://www.iso.org/iso/iso_catalogue. technology -- Database languages y un esquema de definicin. htm -- SQL -- Part 11: Information and Definition Schemas (SQL/Schemata)
2008-07-17
ISO
ISO/IEC9075-13:2008 Information technology -- Database languages -- SQL -- Part 13: SQL Routines and Types Using the Java TM Programming Language (SQL/JRT)
Define la capacidad de invocar http://www.iso.org/iso/iso_catalogue. mtodos estticos escritos en htm lenguaje JAVA como rutinas invocadas de SQL y utiliza clases definidas en JAVA como tipos estructurados definidos por el usuario en SQL.
2008-07-17
ISO
ISO/IEC9075-14:2008 Information Define la forma en que el lenguaje http://www.iso.org/iso/iso_catalogue. technology -- Database languages SQL puede usarse en conjunto con htm -- SQL -- Part 14: XML-Related XML. Specifications (SQL/XML)
ISO
ISO/IEC 18014-1:2008Information technology -- Security techniques -Time-stamping services -- Part 1: Framework
Describe un marco de referencia y http://www.iso.org/iso/iso_catalogue. define la nocin bsica, las htm estructuras de datos, y protocolos que deben ser usados por las tcnicas de time stamping o estampacin electrnica.
2008-08-26
ISO
ISO/IEC 11770-3:2008 Information Define mecanismos de administracin http://www.iso.org/iso/iso_catalogue. technology -- Security techniques -- de claves basados en tcnicas htm Key management -- Part 3: criptogrficas asimtricas. Mechanisms using asymmetric techniques
2008-07-02
ISO
ISO/IEC 15408-1:2005 Information technology -- Security techniques -Evaluation criteria for IT security -Part 1: Introduction and general model
Define dos formas para expresar la http://www.iso.org/iso/iso_catalogue. seguridad funcional de TI y los htm requerimientos de aseguramiento (Protection Profile y Security Target).
2005-09-22
ISO
ISO/IEC 15408-2:2008 Information Define el contenido y presentacin de http://www.iso.org/iso/iso_catalogue. technology -- Security techniques -- los requerimientos funcionales de htm
2008-08-19
ISO
Pgina 40 de 205
Evaluation criteria for IT security -- seguridad que van a ser evaluados en Part 2: Security functional una evaluacin de seguridad components utilizando ISO/IEC 15408. Contiene un catlogo de componentes funcionales de seguridad predefinidos que cubrirn las necesidades ms comunes de seguridad del mercado.
ISO/IEC 15408-3:2008 Information technology -- Security techniques -Evaluation criteria for IT security -Part 3: Security assurance components
Define el contenido y presentacin de http://www.iso.org/iso/iso_catalogue. los requerimientos de aseguramiento htm en la forma de clases, familias y componentes y provee gua en la organizacin de nuevos requerimientos de aseguramiento.
2008-08-19
ISO
ISO/IEC TR 19791:2006 Information technology -- Security techniques -- Security assessment of operational systems
Provee gua y criterio para evaluar la http://www.iso.org/iso/iso_catalogue. seguridad de los sistemas htm operacionales. Proporciona un complemento al alcance de la evaluacin ISO/IEC 15408 considerando varios aspectos crticos no contemplado en dicho estndar.
2006-05-15
ISO
ISO/IEC 21827:2002 Information Describe las caractersticas de los http://www.iso.org/iso/iso_catalogue. technology -- Systems Security procesos de ingeniera de seguridad htm Engineering -- Capability Maturity de una organizacin. Model (SSE-CMM)
2002-10-17
ISO
ISO/IEC 13335-1:2004 Information technology -- Security techniques -Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management
Presenta los conceptos y un modelo http://www.iso.org/iso/iso_catalogue. fundamental para un entendimiento htm de la seguridad de las TIC y se enfoca en los aspectos administrativos que son esenciales para la planeacin, la implementacin y operacin exitosa de la seguridad de las TIC.
2004-11-19
ISO
ISO/IEC TR 15443-2:2005 Information technology -- Security techniques -- A framework for IT security assurance -- Part 2: Assurance methods
Describe una variedad de mtodos http://www.iso.org/iso/iso_catalogue. para garantizar la seguridad de TI y htm los relaciona con el marco de referencia ISO/IEC TR 15443-1. Esta orientado a los profesionales de seguridad de TI para un entendimiento en como obtener aseguramiento en el ciclo de vida de un producto o servicio.
2005-09-19
ISO
Pgina 41 de 205
ISO/IEC 11770-4:2006 Information technology -- Security techniques -Key management -- Part 4: Mechanisms based on weak secrets
Define mecanismos para establecer http://www.iso.org/iso/iso_catalogue. claves basados en secretos dbiles, htm que pueden ser fcilmente memorizados por un humano.
2006-05-04
ISO
ISO/IEC TR 15443-1:2005 Information technology -- Security techniques -- A framework for IT security assurance -- Part 1: Overview and framework
Es una gua para el profesional de http://www.iso.org/iso/iso_catalogue. seguridad en la seleccin del mtodo htm de aseguramiento ms apropiado cuando especifica, selecciona o implementa un servicio o producto o factor de ambiente tal como una organizacin o el personal.
2005-02-08
ISO
ISO/IEC 24762:2008 Information technology -- Security techniques -Guidelines for information and communications technology disaster recovery services
Proporciona guas para la provisin de http://www.iso.org/iso/iso_catalogue. los servicios de recuperacin y htm desastres de las tecnologas de la informacin y las comunicaciones como parte de la gestin de continuidad del negocio aplicable a proveedores de servicio de facilidades y servicios fsicos internos o contratados.
2008-01-31
ISO
4.1.3. Mapa de interrelacin de estndares y mejores prcticas nacionales e internacionales en seguridad de la Informacin Para facilitar la toma de decisiones sobre qu estndares seleccionar, se han generado en la industria, mapas de interrelacin de un estndar con respecto a otros. Por supuesto, el estndar de referencia queda mejor librado con respecto a los otros segn los criterios de comparacin que se seleccionen. No obstante, estos mapas representan una buena ilustracin sobre la estructura y componentes de los estndares comparados. Para la estrategia de Gobierno en lnea, es importante identificar y relacionar los principales estndares de seguridad de la informacin y compararlos con la norma NTCGP 1000:2004 y el Modelo Estndar de Control Interno, MECI. Surge una pregunta: Qu estndares seleccionar para la comparacin? En el numeral 4.1.3.3, se especifican los aspectos que se tuvieron en cuenta para seleccionar los estndares, as como los criterios de comparacin. En el numeral 4.1.3.4, se presenta un mapa de interrelacin de los estndares seleccionados y finalmente, en el numeral 4.1.3.5, se definen algunas conclusiones del proceso de comparacin realizado.
Pgina 42 de 205
4.1.3.1.
Objetivo
La presente relacin documentada pretende dar una orientacin sobre el grado de alineacin entre los estndares y mejores prcticas para la seguridad de la informacin y su Interrelacin con respecto a la norma NTCGP 1000:2004 y el Modelo MECI.
4.1.3.2. Estndares de Seguridad de la Informacin por categora.
A continuacin, se relacionan los principales estndares organizados por categoras:

Normas de gestin de seguridad:
ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security management systems Requirements. La norma equivalente en Colombia es la NTCISO/IEC 27001 Tecnologa de la Informacin. Tcnicas de Seguridad. Sistemas de Gestin de Seguridad de la Informacin (SGSI) Requisitos. ISM3 v2.00 Information Security Management Maturity Model. Fue desarrollada por el ISM3 Consortium. La versin 2.00 est vigente a partir del 2007. La nueva versin (2.10) slo est disponible actualmente en forma impresa.
Mejores prcticas para Seguridad de Informacin:
ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for information security management. La norma equivalente en Colombia es la NTC-ISO/IEC 17799 Tecnologa de la Informacin. Tcnicas de Seguridad. Cdigo de Prctica para la gestin de la Seguridad de la Informacin, la cual corresponde a una traduccin idntica de la ISO/IEC 17799:2005. The Standard of Good Practice for Information Security 2007. Ha sido desarrollada por el Information Security Forum, ISF. La versin disponible actualmente corresponde al ao 2007. NIST SP 800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems. Esta gua fue desarrollada por el National Institute of Standards and Technology, NIST y la fecha de su publicacin corresponde a septiembre de 2006.
Mejores prcticas de Gobierno y Control en Tecnologa de Informacin:
Cobit 4.1 Control Objectives for Information and related Technology (COBIT). IT Control Objectives for Sarbanes Oxley CONCT- Control Objectives for Net Centric Technologies. NIST SP 800 53 Recommended Security Controls for Federal Information Systems
Mejores prcticas para la prestacin de servicios de TI:
Pgina 43 de 205
Service Management - ITIL Version 3. Conjunto de mejores prcticas para la prestacin del servicio de TI. Desarrollado por La Oficina de Gobierno de Comercio del Reino Unido. ISO/IEC 20000-1:2005 Information technology -- Service management -- Part 1: Specification ISO/IEC 20000-2:2005 Information technology -- Service management -- Part 2: Code of practice
Normas de Administracin de Riesgos:
AS/NZ 4360:2004 Risk Management, Standards Australia/Standards New Zealand ISO/IEC 27005:2008 Information technology - Security techniques - Information security risk management NIST SP 800-30 Risk Management Guide for Information Technology Systems
Metodologas de Administracin de Riesgos:
MAGERIT Octave General Security Risk Assessment Guidelines, ASIS International.

Normas para planeacin de continuidad del negocio:
BS 25999-1:2006 Gestin de Continuidad de Negocio. Parte 1: Cdigos de Prctica. BS 25999-2:2007 Especificaciones para la continuidad del negocio. NFPA 1600:2007 Standard on Disaster/Emergency Management and Business Continuity Programs ISO/IEC 24762:2008 Information technology -- Security techniques -- Guidelines for information and communications technology disaster recovery services NIST SP 800 34 Contingency Planning Guide For Information Technology Systems GTC 176 Sistema de Planeacin de Continuidad del Negocio
Criterios de seleccin de Estndares de Seguridad de la Informacin.
4.1.3.3.
Para seleccionar los estndares o mejores prcticas a ser comparados, se tuvo en cuenta su propsito primario, el grado de reconocimiento a nivel mundial y la alineacin con la estrategia de Gobierno en Lnea, adems se tienen presente los principios y ejes de accin de la estrategia de Gobierno en lnea: Principios: o Gobierno centrado en el ciudadano; o Visin unificada del Estado;
Pgina 44 de 205
o o o o
Acceso equitativo y multi-canal; Gobierno en Lnea es ms que tecnologa; Proteccin de la informacin del individuo; Credibilidad y confianza en el Gobierno en Lnea.
Ejes de Accin: o Mejores servicios (respuesta a necesidades, calidad, ahorro, atencin unificada, satisfaccin, simplificacin de trmites, acceso multicanal); o Transparencia y participacin (visibilidad, conocimiento, confianza, participacin, control social, interaccin y retroalimentacin); o Eficiencia del Estado (informacin de calidad, oportuna y estandarizada, racionalizacin y optimizacin de recursos); Al analizar los requerimientos de Gobierno en Lnea y considerando fundamental la necesidad de desarrollar un marco de gestin para el gobierno de la seguridad de la informacin en el Estado Colombiano, se seleccionaron los siguientes estndares cuyo propsito y principios intrnsecos, se alinean con la estrategia de Gobierno en Lnea de manera general: NTC ISO/IEC 27001:2005 ISM3 v 2.00 The Standard of Good Practice for Information Security - ISF-SOGP COBIT 4.1 ITIL v 3 AS/NZ 4360 Risk Management
Criterios de Comparacin.
Para comparar los estndares y mejores prcticas requerimientos generales y requerimientos tcnicos. Como requerimientos generales se identificaron: Propsito Principios Modelo PHVA Niveles de Madurez Establecimiento del Sistema de Gestin Gestin de riesgos Requisitos de documentacin Responsabilidad y compromiso de la direccin Gestin de recursos
Pgina 45 de 205
seleccionados,
se
establecieron
Monitoreo Mejoramiento Como requerimientos tcnicos se identificaron: Poltica de Seguridad Organizacin de la Seguridad de la Informacin Gestin de activos Seguridad de los recursos humanos Seguridad fsica y del entorno Seguridad en la operacin y soporte de TI Seguridad del ciclo de desarrollo de los Sistemas de Informacin Seguridad de las aplicaciones Control de acceso Gestin de incidentes de seguridad de la informacin Gestin de continuidad del negocio Cumplimiento
Descripcin de los Estndares y Mejores Prcticas Seleccionados NTC ISO/IEC 27001 La norma NTC ISO/IEC 27001 fue liberada por el Instituto Colombiano de Normas Tcnicas y Certificacin, ICONTEC en el ao 2006 y es una copia idntica por traduccin de la norma ISO/IEC 27001. Esta norma permite disear una herramienta para la implementacin del sistema de gestin de seguridad de la informacin teniendo en cuenta la poltica, la estructura organizativa, los procedimientos y los recursos. La norma adopta el modelo de procesos Planificar-Hacer-Verificar-Actuar (PHVA) para estructurar los procesos del Sistema de Gestin de Seguridad de la Informacin, SGSI. En el anexo A de la norma se define una tabla detallada de objetivos de control y controles, los cuales quedan agrupados y numerados de la siguiente forma: A.5 Poltica de seguridad A.6 Organizacin de la informacin de seguridad A.7 Administracin de recursos A.8 Seguridad de los recursos humanos A.9 Seguridad fsica y del entorno
Pgina 46 de 205
A.10 Administracin de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisicin de sistemas de informacin, desarrollo y mantenimiento A.13 Administracin de los incidentes de seguridad A.14 Administracin de la continuidad de negocio A.15 Cumplimiento (legales, de estndares, tcnicas y auditoras) ISM3 v 2.00 El modelo de madurez para la administracin de la seguridad de la informacin extiende los principios de gestin de calidad de la norma ISO 9001 para sistemas de gestin de seguridad de la informacin. ISM3 est orientado a procesos y utiliza niveles de madurez de capacidad y de cubrimiento. Define los procesos de seguridad organizados por nivel estratgico, tctico y operativo, e incorpora en su descripcin los siguientes elementos: El nivel de la organizacin responsable por cada conjunto de procesos (estratgico, tctico y operacional) La justificacin del proceso Entradas del proceso, Productos del proceso Dueo del proceso Mtricas
ISM3 alinea los objetivos de negocio con los objetivos de seguridad y requiere que la organizacin defina sus objetivos de seguridad, los cuales se constituyen en base para el diseo, implementacin y monitoreo del sistema de gestin de seguridad. ISM3 ha sido desarrollado por ISM3 Consortium y representa los esfuerzos de profesionales de la seguridad, acadmicos y la industria para proponer alternativas que procuren una mejor gestin de la seguridad de la informacin. The Standard of Good Practice for Information Security El estndar de buenas prcticas para seguridad de la informacin del Information Security Forum (ISF) est basado en la investigacin y experiencia prctica de sus miembros. Enfoca la seguridad de la informacin desde una perspectiva del negocio y proporciona a una base prctica para evaluar los acuerdos en seguridad de la informacin de una organizacin. El estndar divide la seguridad en seis componentes:
Pgina 47 de 205
Administracin de la seguridad Aplicaciones crticas del negocio Instalacin de computadores Redes Desarrollo de sistemas Ambiente de usuario final
La primera versin del estndar fue liberada en 1996 y se actualiza y mejora cada 2 aos con la finalidad de responder a las necesidades de organizaciones lderes internacionales, refinar las mejores prcticas en seguridad de informacin y mantener alineamiento con otros estndares relacionados con seguridad de la informacin tales como la ISO 27002 y Cobit 4.1. Cobit 4.1 Cobit (Objetivos de Control para la Informacin y tecnologa Relacionada) consiste en un conjunto de documentos clasificados como buenas prcticas generalmente aceptadas para el gobierno de la tecnologa de informacin, el control y el aseguramiento. La primera versin fue liberada por Information Systems Audit. And Control Foundation (ISACF) en 1996. En el ao 1998 se liber la segunda versin con objetivos de control adicionales y las herramientas de implementacin. En el ao 2000 el IT Governance Institute (ITGI) liber la tercera versin que inclua las guas administrativas y nuevos objetivos de control. En el 2005 el ITGI public Cobit 4.0 con un enfoque al gobierno de TI. La versin actual Cobit 4.1 fue liberada en el 2007. Cobit 4.1 se compone de 4 dominios, 34 procesos y 215 objetivos de control. En la descripcin de cada proceso adems de los objetivos de control se identifican los criterios de informacin impactados por el proceso, los recursos de TI utilizados, la alineacin del proceso con las reas de gobierno de TI, las entradas, salidas y actividades del proceso, el diagrama RACI, las metas y mtricas de proceso y el modelo de madurez para evaluar el proceso. ITIL v 3 ITIL Service Management versin 3 es una serie de 6 libros considerados como mejores prcticas para la administracin y garanta de alta calidad en la prestacin de servicios de TI. Los libros se titulan: Estrategia del servicio Diseo del servicio Transicin del servicio Operacin del servicio Mejoramiento continuo del servicio Introduccin Oficial al ciclo de vida del servicio
Pgina 48 de 205
La primera versin de ITIL fue creada en los ochentas por la oficina de Gobierno de Comercio del Reino Unido (OGC). La segunda versin en los 90 y la versin 3 fue liberada a mediados del 2007 con un enfoque orientado al proceso y al ciclo de vida del servicio. AS/NZ 4360 Risk Management El estndar australiano AS/NZ 4360 es una gua para el establecimiento e implementacin del proceso de administracin de riesgos involucrando las siguientes etapas: Comunicacin y consulta Establecimiento del contexto Identificacin de los riesgos Anlisis de los riesgos Evaluacin de los riesgos Tratamiento de los riesgos Monitoreo y revisin
La primera versin fue liberada en 1999 y posteriormente se liber una nueva versin en el 2004.
4.1.3.4. Mapa de Interrelacin de Estndares de Seguridad de la Informacin
En el anexo 1 se presenta el mapa de interrelacin de estndares seleccionados y su alineamiento frente a la norma NTCGP 1000:2004 y el Modelo Estndar de Control Interno, MECI.
4.1.3.5. Conclusiones
El uso de la tecnologa, las comunicaciones e Internet en las prcticas comerciales y las nuevas amenazas de seguridad que surgen cada da han generado un continuo inters por parte de las organizaciones, Gobierno, industria y comunidad en general por administrar la seguridad de la informacin, lo cual ha apalancado la continua creacin y actualizacin de estndares y mejores prcticas para la seguridad de la informacin. Las organizaciones lderes estn haciendo un uso efectivo de mejores prcticas para optimizar el uso de los recursos de TI y reducir la ocurrencia de riesgos significativos tales como: Fallas de los proyectos Inversiones perdidas Brechas de seguridad Fallas de los sistemas crticos Fallas de los proveedores de servicios para entender y cumplir con los requerimientos de los clientes
Pgina 49 de 205
Una forma de entender cmo se alinean e integran los estndares y mejores prcticas se ilustra en el siguiente grfico:
COSO es un marco de referencia para el control interno en las organizaciones. Las entidades del estado adoptaron el MECI, modelo de control interno el cual est basado en COSO. Cobit es un marco de referencia para el Gobierno y control de TI basado en un modelo de procesos de TI que puede ser adaptado a cualquier tipo de organizacin. Cobit se enfoca en el qu se necesita hacer no en el cmo, por eso, la audiencia objetivo es la gerencia de negocio senior, la gerencia senior de TI y los auditores. Cobit est alineado con COSO, con la ISO9000 y con la ISO27002. El IT Governance Institute, ITGI, ha desarrollado y mantiene actualizados los mapas de Cobit con diferentes estndares y mejores prcticas para identificar armonizacin y alineamiento, La ISO 9000 es el estndar para gestin de calidad en las organizaciones. En las entidades del estado, se adopt la NTCGP1000 el cual representa la norma tcnica de calidad en la gestin pblica. ITIL se basa en definir procesos de mejores prcticas para el soporte y la gerencia del servicio de TI. Provee un contexto estratgico y de negocio para la toma de decisiones sobre TI y describe el mejoramiento continuo del servicio como una actividad de toda la empresa para mantener la entrega de valor a los clientes. ITIL tiene gran aplicabilidad para empresas que prestan servicios de TI.
Pgina 50 de 205
De la familia ISO27000, el estndar ISO/IEC 27001 especifica los requerimientos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestin de seguridad. Este estndar se encuentra alineado con la ISO 9000 y su adopcin en empresas colombianas se est incrementando cada vez ms por las exigencias de la economa globalizada y necesidades de certificacin de sus productos y servicios. En las empresas del estado, tambin se ha incrementado la necesidad de implementar iniciativas para la seguridad de la informacin basadas en la ISO27001 y utilizando como gua de implementacin los controles para la confidencialidad, integridad y disponibilidad de la informacin definidos en la ISO27002. El ISF-SGOP representa una base prctica para evaluar los acuerdos en seguridad de la informacin de una organizacin. Las prcticas detalladas de este estndar pueden ser adoptadas en los acuerdos de seguridad de la informacin por parte de: los administradores de seguridad de la informacin, los administradores de negocio, los administradores de TI, los auditores de TI, el personal de terceras partes encargado de administrar y soportar la infraestructura de TI. El ISM3 representa una buena base para definir, establecer, implementar y monitorear los procesos de gestin de seguridad de la informacin. El marco de referencia de NIST para seguridad de computadores que est conformado por una serie de documentos denominados NIST SP 800, si bien no se incluy en la comparacin de estndares del Anero 1, representa una valiosa herramienta de mejores prcticas para implementar seguridad de la informacin. La comparacin de algunos estndares y mejores prcticas con la norma NTCGP1000:2004 y el modelo de control interno permite identificar alineamiento entre s. En ese sentido y considerando que existe una creciente adopcin del modelo de seguridad basado en la ISO27001 por parte de entidades del estado, para la Estrategia de Gobierno en Lnea se puede recomendar este estndar como la base para implementar un sistema de gestin de seguridad de la informacin apoyado con otros estndares que proporcionan mayor nivel de detalle en la implementacin de los procesos de seguridad de la informacin y los controles y aseguramiento requeridos.
4.2. DIAGNSTICO 2: COMPROMISOS Y AVANCES DE COLOMBIA EN MATERIA DE SEGURIDAD DE LA INFORMACIN NORMATIVA Y PROTECCIN DE INFORMACIN DEL INDIVIDUO
4.2.1. Introduccin
y fuente de la extranjeras, en
Relacin documental, con descripcin temtica, enlace, vigencia normatividad e iniciativas jurdicas nacionales, internacionales y
Pgina 51 de 205
materia de comercio electrnico, gobierno en lnea, seguridad informtica, proteccin de informacin del individuo y habeas data. La informacin se encuentra organizada en tablas temticas que albergan un orden cronolgico, acorde a la entrada en vigencia o en su defecto, a la formulacin del respectivo instrumento. 4.2.1.1. Relacin documentada de compromisos internacionales de Colombia en materia de seguridad informtica 4.2.1.1.1. Comercio Electrnico
Resumen Enlace documento Vigencia y Aplicacin Fuente
Nombre Documento
Convenio de Pars para la proteccin de la propiedad intelectual (Particularmente el artculo 10bis), aprobada mediante ley 178 de 1994.
Art. 10bis, Competencia Desleal: 1. Los pases de la Unin estn obligados a asegurar a los nacionales de los pases de la Unin una proteccin eficaz contra la competencia desleal
http://www.secretariasenado. gov.co/leyes/L0178_94.HTM
2. Constituye acto de competencia desleal todo acto de competencia contrario a los usos honestos en materia industrial o comercial.
(.a. 24/09/08).
A partir de la fecha de publicacin de la ley aprobatoria, Ley 178 de 1994, esto es diciembre 29 de 1994.
Organizacin Mundial de la Propiedad Intelectual.
De lo cual se concluye que la informacin secreta de una empresa no puede ser develada, so pena de incurrir en un acto de competencia desleal (En la medida que la violacin de secretos es un acto consagrado como competencia desleal en la ley colombiana nmero 256 de 1996 Por la cual se dictan normas sobre competencia desleal).
RESOLUCIN A/RES/51/162 Ley modelo sobre comercio electrnico aprobada por la comisin de las Naciones Unidas para el derecho mercantil internacional (CNUDMI), incluye el anexo Gua para la incorporacin al derecho interno de la ley modelo de la CNUDMI sobre comercio electrnico
Recomendaciones generales en materia de comercio electrnico, tendientes al logro de su tratamiento uniforme a nivel internacional. Aspectos reflejados en la Ley 527 de agosto 18 de 1999: Por medio de la cual se define y reglamente el acceso y uso de los mensajes de datos, del comercio electrnico y de las firmas digitales, y se establecen las entidades de certificacin y se dictan otras disposiciones. Faculta a los Estados miembros para que adopten las medidas jurdicas tendientes a la proteccin a la gestin de los derechos de autor, as como la sancin efectiva sobre las conductas evasivas de las medidas tecnolgicas de proteccin establecidas por los autores.
http://www.uncitral.org/pdf/sp anish/texts/electcom/0589453_S_Ebook.pdf
A partir de diciembre 16 de 1996.
Asamblea General de la Organizacin de las Naciones Unidas.
(.a. 24/09/08).
TRATADO INTERNET DE LA OMPI SOBRE DERECHOS DE AUTOR (TODA) Propiamente los artculos 11, 12 y 14-Aprobado mediante Ley 565 de 2000.
http://www.cecolda.org.co/ind ex.php? option=com_content&task=vie w&id=193&Itemid=46
A partir de Febrero 2 de 2000.
Pgina 52 de 205
Nombre Documento Resumen Enlace documento Vigencia y Aplicacin Fuente
(.a. 24/09/08).
Recomendaciones del Consejo de la Organizacin para la Cooperacin y el Desarrollo Econmico, Relativa a los Lineamientos para la Proteccin al Consumidor en el Contexto del Comercio Electrnico
Estos lineamientos slo aplican al comercio electrnico entre empresarios y consumidores, y no a las transacciones empresa empresa.
http://www.oecd.org/dataoecd /18/27/34023784.pdf
Diciembre 09 de 1999
Organizacin para la Cooperacin y el Desarrollo Econmico
(.a. 29/09/08).
Tratado de la OMPI, Organizacin Mundial de la Propiedad Intelectual, sobre Derechos de Autor (WCT)", promulgado mediante decreto 1474 de 2002.
Proteccin en materia de programas de ordenador (Software), bases de datos, y derechos de autor en general, para el entorno tradicional y electrnico (Reconociendo cabalmente la aplicacin de los aspectos sustanciales al medio tecnolgico), en consonancia con el rgimen de derechos de autor contenido en el convenio de Berna para la proteccin de las obras literarias y artsticas. Pautas referentes a la firma electrnica, analizando su funcionalidad, aspectos tcnicos, y relacin con la Ley modelo sobre comercio electrnico aprobada por la comisin de las Naciones Unidas para el derecho mercantil internacional (CNUDMI). Aspectos reflejados en el Decreto reglamentario 1747 de septiembre 11 de 2000 Por el cual se reglamenta parcialmente la Ley 527 de 1999, en lo relacionado con las entidades de certificacin, los certificados y las firmas digitales. Aspectos prcticos relativos a las normas aplicables a los contratos internacionales, comerciales y civiles, excluyendo los efectuados con fines personales, familiares, o domsticos, cuya formacin ha sido lograda mediante el empleo de comunicaciones electrnicas (Mensajes de datos).
http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=6076#1
Rige a partir de julio 24 de 2002.
(.a. 24/09/08).
RESOLUCIN A/RES/56/80 Ley modelo sobre las firmas electrnicas de la comisin de las Naciones Unidas para el derecho mercantil internacional , incluye el anexo Gua para la incorporacin al derecho interno de la ley modelo de la CNUDMI para las firmas electrnicas (2001) al derecho interno.
http://www.uncitral.org/pdf/sp anish/texts/electcom/mlelecsig-s.pdf
(.a. 24/09/08).
Convencin de las Naciones Unidas sobre la Utilizacin de las Comunicaciones Electrnicas en los Contratos Internacionales.
http://www.uncitral.org/pdf/sp anish/texts/electcom/0657455_Ebook.pdf
A partir de 2005.
(.a. 24/09/08).
Pgina 53 de 205
Nombre Documento
Decisin comunitaria andina 691 sobre Estadsticas sobre tecnologas de la informacin y la comunicacin.
Resumen
Enlace documento
Vigencia y Aplicacin
A partir de agosto 13 de 2008.
Fuente
Artculo 1.- Objeto y finalidad Establecer un marco normativo comn para la produccin de estadsticas sobre el uso de las tecnologas de la informacin y la comunicacin con la finalidad de garantizar la armonizacin en la recopilacin, procesamiento, transmisin y anlisis de los principales indicadores en la Comunidad Andina.
http://www.comunidadandina. org/normativa/dec/d691.htm
Comunidad Andina de Naciones.
(.a. 24/09/08).
4.2.1.1.2.
Legislacin Interna en Materia de Comercio Electrnico

Resumen Enlace documento
http://www.secretariasenado. gov.co/leyes/L0527_99.HTM Norma de aplicacin transversal, toda vez que se aplica a todos los mensajes de datos sin importar su naturaleza, temtica o sector, Por medio de la cual se define y reglamente el acceso y uso de los mensajes de datos, del comercio electrnico y de las firmas digitales, y se establecen las entidades de certificacin y se dictan otras disposiciones y el Decreto reglamentario 1747 de septiembre 11 de 2000 Por el cual se reglamenta parcialmente la Ley 527 de 1999, en lo relacionado con las entidades de certificacin, los certificados y las firmas digitales. (.a. 24/09/08).
Nombre Documento
Ley 527 de 1999.
A partir de su publicacin, en el diario oficial, agosto 21 de 1999.
Fuente
Congreso de la Repblica de Colombia.
Sentencia C-662 de 2000 Accin pblica de Constitucionalidad contra algunos apartados de la ley 527 de 1999, declarando su exequibilidad.
http://web.minjusticia.gov.co/ jurisprudencia/CorteConstituci onal/2000/Constitucionalidad/ C-662-00.htm (.a. 24/09/08).
Junio 08 de 2000.
Corte Constitucional de Colombia.
Decreto 1747 de 2000. Por el cual se reglamenta parcialmente la Ley 527 de 1999, en lo relacionado con las entidades de certificacin, los certificados y las firmas digitales
http://www.mincomercio.gov. co/eContent/documentos/nor matividad/decretos/decreto_1 747_2000.pdf (.a. 24/09/08).
A partir de su promulgacin, septiembre 11 de 2000.
Ley 599 de 2000, y sus posteriores modificaciones, Cdigo Penal Colombiano
Los delitos consagrados en el Cdigo Penal Colombiano, tienen plena aplicacin, bajo el entendido en que se cumplan las condiciones establecidas para
http://www.alcaldiabogota.gov .co/sisjur/consulta_tematica.js p (.a. 24/09/08).
Un ao despus de su promulgacin, julio 24 de 2001.
Pgina 54 de 205
cada acto criminal, sin importar si se comete en medios tradicionales o electrnicos.
Ley 598 de 2000. Por la cual se crean el Sistema de Informacin para la Vigilancia de la Contratacin Estatal, SICE, el Catlogo nico de Bienes y Servicios, CUBS, y el Registro nico de Precios de Referencia, RUPR, de los bienes y servicios de uso comn en la Administracin Pblica y se dictan otras disposiciones.
http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=6252 (.a. 24/09/08).
A partir de su promulgacin, julio 18 de 2000.
Decreto 1524 de 2000. Establece un rgimen de responsabilidades para los proveedores de servicio de internet y prestadores de servicio de hospedaje de contenido en un servidor para un sitio Web en relacin con el objeto de la norma, a saber:
http://www.dafp.gov.co/leyes/ D1524002.HTM (.a. 24/09/08).
A partir de su publicacin, en el diario oficial, julio 30 de 2002.
Presidencia de la Repblica de Colombia.
ARTCULO 1o. OBJETO. El presente decreto tiene por objeto reglamentar el artculo 5o. de la Ley 679 de 2001, con el fin de establecer las medidas tcnicas y administrativas destinadas a prevenir el acceso de menores de edad a cualquier modalidad de informacin pornogrfica contenida en Internet o en las distintas clases de redes informticas a las cuales se tenga acceso mediante redes globales de informacin.
As mismo a propender para que estos medios no sean aprovechados con fines de explotacin sexual infantil u ofrecimiento de servicios comerciales que impliquen abuso sexual con menores de edad.
Decreto 3512 de 2003. Por el cual se reglamenta la organizacin, funcionamiento y operacin del Sistema de informacin para la Vigilancia de la Contratacin Estatal, SICE, creado mediante la Ley 598 de 2000, y se dictan otras disposiciones.
A partir de su promulgacin, diciembre 5 de 2003.
Decreto 2178 de 2006 Por medio del cual se crea el Sistema Electrnico para la Contratacin Directa.
A partir de su promulgacin, junio 30 de 2006.
Pgina 55 de 205
Ley 1065 de 2006.
Seala que la administracin de registros, as como la planeacin, regulacin y control, del nombre de dominio .co estar a cargo del Estado, por medio del Ministerio de Comunicaciones, quien podr delegarlo, mediante convenio, a un particular hasta por 10 aos con posibilidad de prrroga, involucrando un trmino igual, por una sola vez, toda vez que se trata de un recurso del sector de las telecomunicaciones, de inters pblico.
http://www.secretariasenado. gov.co/leyes/L1065006.HTM
(.a. 24/09/08).
Congreso de la Repblica. Ley 1150 de 2007. El artculo tercero de la citada norma, introduce el tema de la contratacin pblica electrnica. http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=25678 Enero 16 de 2008.
(.a. 24/09/08).
Resolucin 999 de 2007.
Crea un Comit de Apoyo para la implementacin de la administracin del dominio.co por el Ministerio de Comunicaciones.
http://www.mincomunicacione s.gov.co/mincom/src/user_doc s/Archivos/normatividad/2007 /Resolucion/R999de2007.pdf
28 de marzo de 2007.
Ministerio de Comunicacione s.
(.a. 24/09/08).
Presidencia de la Repblica. Decreto 1929 de 2007. Por el cual se reglamenta la utilizacin de la factura electrnica y los documentos equivalentes a la factura de venta. http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=25311 A partir de su promulgacin, mayo 29 de 2007.
(.a. 24/09/08).
Se expide el Rgimen Proteccin de los Derechos los Suscriptores y/o Usuarios los Servicios Telecomunicaciones.
de de de de
http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=26684
Comisin de Regulacin de Telecomunicac iones.
(.a. 24/09/08).
Pgina 56 de 205
Presidencia de la Repblica. Decreto 4510 de 2007. Por el cual se modifica parcialmente el Decreto 1929 de 2007, factura electrnica. http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=27589 A partir de su promulgacin, noviembre 23 de 2007.
Dicho decreto coexiste con la Ley 1231 de 2008, en la medida en que tratan temas distintos pero complementarios. El decreto permite que los antiguos contribuyentes asuman su facturacin por el medio que venan empleando, mientras que la ley consagra el pleno reconocimiento de la factura electrnica como un ttulo valor.
(.a. 24/09/08).
Por la cual se modifica parcialmente la resolucin CRT1732 de 2007, en materia de proteccin de derechos de suscriptores y/o usuarios de los servicios de Telecomunicaciones.
http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=27909&iu=0#1
Comisin de Regulacin de Telecomunicac iones.
(.a. 24/09/08).
Decreto 2474 de 2008.
El artculo 8 del Decreto reglamenta el Sistema Electrnico para la Contratacin Pblica SECOP-.
(.a. 24/09/08).
Ley 1221 de 2008. Norma de promocin y regulacin al teletrabajo, tendiente al reconocimiento de sus bondades y aplicacin integral de sus prerrogativas, en consonancia con el derecho sustancial preexistente.
http://www.secretariasenado. gov.co/leyes/L1221008.HTM (.a. 24/09/08).
Es importante indicar que el Gobierno Nacional cuenta con un plazo de 6 meses a partir de la promulgacin de la referida ley, para su reglamentacin.
Resolucin 1652 de 2008 Regula la administracin del ccTLD .co y se establece la poltica de delegacin de nombres de dominio bajo el ccTLD .co
A partir de su promulgacin, Septiembre 03 de 2008.
Ministerio de Comunicacione s de la Repblica de Colombia.
Pgina 57 de 205
Ley 1231 de 2008. Rgimen de la factura electrnica como ttulo valor, unificando los postulados existentes en el contexto tributario y comercial tendientes a su funcionalidad eficaz y adecuado mecanismo de financiacin para la micro, pequea, y mediana empresa. http://www.secretariasenado. gov.co/leyes/L1231008.HTM (.a. 24/09/08). Tres meses posteriores a su promulgacin (Octubre 17 de 2008). Congreso de la Repblica de Colombia.
El Gobierno Nacional debe reglamentar la puesta en circulacin de la factura electrnica como ttulo valor.
4.2.1.1.3.
Compromisos Internacionales de Colombia en Materia de Gobierno en Lnea

Resumen
Artculo 10
Nombre Documento
Enlace documento
Fuente
Convencin de las Naciones Unidas contra la Corrupcin, aprobada mediante Ley 970 de 2005.
Informacin pblica Habida cuenta de la necesidad de combatir la corrupcin, cada Estado Parte, de conformidad con los principios fundamentales de su derecho interno, adoptar las medidas que sean necesarias para aumentar la transparencia en su administracin pblica, incluso en lo relativo a su organizacin, funcionamiento y procesos de adopcin de decisiones, cuando proceda. Esas medidas podrn incluir, entre otras cosas: a) La instauracin de procedimientos o reglamentaciones que permitan al pblico en general obtener, cuando proceda, informacin sobre la organizacin, el funcionamiento y los procesos de adopcin de decisiones de su administracin pblica y, con el debido respeto a la proteccin de la intimidad y de los datos personales, sobre las decisiones y actos jurdicos que incumban al pblico; b) La simplificacin de los procedimientos administrativos, cuando proceda, a fin de facilitar el acceso del pblico a las autoridades encargadas de la adopcin de decisiones, y c) La publicacin de informacin, lo que podr incluir informes peridicos sobre los riesgos de corrupcin en su administracin pblica.
A partir de la publicacin de la Ley aprobatoria 970 de 2005, en el diario oficial, julio 15 de 2005.
(.a. 24/09/08).
Pgina 58 de 205
4.2.1.1.4.
Legislacin interna en Materia de Gobierno en Lnea

Resumen Enlace documento Vigencia y Aplicacin Fuente
Nombre Documento
Decreto 1900 de 1990
Tiene como objeto el ordenamiento general de las telecomunicaciones y de las potestades del Estado en relacin con su planeacin, regulacin y control, as como el rgimen de derechos y deberes de los operadores y de los usuarios.
Rige a partir de su promulgacin, agosto 19 de 1990.
(.a. 24/09/08).
Documento CONPES 3072.
El Ministerio de Comunicaciones y el Departamento Nacional de Planeacin ponen a consideracin del Comit Nacional de Poltica Econmica y Social el programa Agenda de Conectividad con la finalidad de promover las bondades de las tecnologas de la informacin (Y actualmente se adhieren las de comunicacin) en el sector pblico, as la competitividad del sector productivo, postulados concebidos en consonancia con el Plan Nacional de Desarrollo 1998 2002 Cambio para Construir la Paz.
http://www.agenda.gov.co/do cuments/files/CONPES %203072.pdf
Febrero 9 de 2000.
Departamento Nacional de Planeacin y Ministerio de Comunicacione s de Colombia.
(.a. 24/09/08).
Ley 599 de 2000, y sus posteriores modificaciones, Cdigo Penal Colombiano
Es importante garantizar la veracidad y suficiencia de la informacin contenida en las respectivas pginas Web, so pena de llegar a afectar bienes jurdicos tutelados tales como el Orden Econmico-Social.
Un ao despus de su promulgacin, julio 24 de 2000.
(.a. 24/09/08).
En ese orden de ideas, el cdigo penal colombiano consagra el delito de pnico econmico, a saber:
Artculo 302. Pnico econmico. El que divulgue al pblico o reproduzca en un medio o en un sistema de comunicacin pblico informacin falsa o inexacta que pueda afectar la confianza de los clientes, usuarios, inversionistas o accionistas de una institucin vigilada o controlada por la Superintendencia Bancaria o por la Superintendencia de Valores o en un Fondo de Valores, o cualquier otro esquema de inversin colectiva legalmente constituido incurrir, por ese solo hecho, en prisin de dos (2) a ocho (8) aos y multa de Pgina 59 de 205
cincuenta (50) a quinientos (500) salarios mnimos legales mensuales vigentes.
En las mismas penas incurrir el que utilice iguales medios con el fin de provocar o estimular el retiro del pas de capitales nacionales o extranjeros o la desvinculacin colectiva de personal que labore en empresa industrial, agropecuaria o de servicios.
La pena se aumentar hasta en la mitad, si como consecuencia de las conductas anteriores se produjere alguno de los resultados previstos.
Ley 588 de 2000.
Notarias y Consulados pueden convertirse en entidades de certificacin, a la vez que utilizar todos los medios magnticos o electrnicos que requieran para el archivo de la informacin.
Rige a partir de su promulgacin, julio 06 de 2000
(.a. 24/09/08).
Decreto Distrital 055 de 2002
El Sistema de Declaracin y Pago de Impuestos Distritales a travs de medios electrnicos.
Rige a partir de su promulgacin, febrero 15 de 2002
Alcalda Mayor de Bogot D.C.
(.a. 24/09/08).
Ley 794 de 2003
Permite la realizacin de actos procesales por medios electrnicos
Abril 09 de 2003
(.a. 24/09/08).
Acto Legislativo 01 de 2003
El artculo 11 del mencionado Acto Legislativo modific el artculo 258 de la Constitucin Poltica, previendo que se pueda hacer uso de medios electrnicos e informticos para el ejercicio del derecho al sufragio.
Rige a partir de la fecha de su promulgacin, julio 03 de 2003.
Pgina 60 de 205
(.a. 24/09/08).
Crea la Comisin Intersectorial de Polticas y de Gestin de la Informacin para la Administracin Pblica.
Rige a partir de su promulgacin, enero 13 de 2004
(.a. 24/09/08).
Ley 872 de 2003.
Por la cual se crea el sistema de gestin de la calidad en la Rama Ejecutiva del Poder Pblico y en otras entidades prestadoras de servicios.
A partir de su publicacin, en el diario oficial, enero 2 de 2004.
(.a. 24/09/08).
Ley 892 de 2004
Por medio del cual se establecen mecanismos electrnicos de votacin e inscripcin candidatos
Rige a partir de su promulgacin, julio 07 de 2004.
(.a. 24/09/08).
Ley 909 de 2004
Artculo 33. Mecanismos de publicidad. La publicidad de las convocatorias ser efectuada por cada entidad a travs de los medios que garanticen su conocimiento y permitan la libre concurrencia, de acuerdo con lo establecido en el reglamento. La pgina web de cada entidad pblica, del Departamento Administrativo de la Funcin Pblica y de las entidades contratadas para la realizacin de los concursos, complementadas con el correo electrnico y la firma digital, ser el medio preferente de publicacin de todos los actos, decisiones y actuaciones relacionadas con los concursos, de recepcin de inscripciones, recursos, reclamaciones y consultas.
Rige a partir de su promulgacin, septiembre 23 de 2004.
Congreso de la Repblica.
Pgina 61 de 205
La Comisin Nacional del Servicio Civil publicar en su pgina web la informacin referente a las convocatorias, lista de elegibles y Registro Pblico de Carrera.
Decreto Reglamentario 4110 de 2004.
Por el cual se reglamenta la Ley 872 de 2003 y se adopta la Norma Tcnica de Calidad en la Gestin Pblica.
http://www.ramajudicial.gov.c o/csj_portal/assets/DECRETO %204110%20DE%202004.pdf
A partir de la fecha de publicacin, en el diario oficial, diciembre 13 de 2004.
(.a. 24/09/08).
Por el cual se adopta el Modelo Estndar de Control Interno para el Estado Colombiano (MECI)
http://www.anticorrupcion.gov .co/marco/normas_ci_publico/ D.1599de2005.pdf
A partir de la fecha de publicacin, en el diario oficial, mayo 23 de 2005.
Artculo 1. Adptase el Modelo Estndar de Control Interno para el Estado Colombiano MECI 1000:2005, el cual determina las generalidades y la estructura necesaria para establecer, documentar, implementar y mantener un Sistema de Control Interno en las entidades y agentes obligados conforme al artculo 5 de la Ley 87 de 1993.
(.a. 24/09/08).
2 El Modelo Estndar de Control Interno para el Estado Colombiano MECI 1000:2005 es parte integrante del presente decreto.
Ley 962 de 2005
Por medio de la cual se incorpora la utilizacin de medios tecnolgicos en el funcionamiento de la administracin pblica, dentro del esquema de la racionalizacin de trmites, mediante la incorporacin del Sistema nico de Informacin de Trmites SUIT-.
(.a. 24/09/08).
ACUERDO No. PSAA06-3334 DE 2006
Reglamentan la utilizacin de medios electrnicos e informticos en el cumplimiento de las funciones de administracin de justicia
Marzo 02 de 2006
http://www.ram ajudicial.gov.co/ csj_portal/jsp/fr ames/index.jsp? idsitio=6&idsecci on=167
Consejo Superior de la Judicatura
Pgina 62 de 205
(. a. 30/09/08)
El presente decreto tiene por objeto establecer un marco reglamentario que permita la convergencia en los servicios pblicos de telecomunicaciones y en las redes de telecomunicaciones del Estado, asegurando el acceso y uso de las redes y servicios a todos los habitantes del territorio, as como promover la competencia entre los diferentes operadores, a travs de ttulos habilitantes convergentes.
A partir de su promulgacin, Julio 31 de 2007
(.a. 24/09/08).
Sin embargo, el rgimen de servicios de telecomunicaciones exceptuados al interior del mismo menoscaba la teleologa de la convergencia.
Decreto Distrital 619 de 2007
Establece la estrategia de gobierno electrnico de los organismos y entidades de Bogot D.C.
Rige a partir de su promulgacin, diciembre 28 de 2007.
(.a. 24/09/08).
Por el cual se establecen los lineamientos generales de la Estrategia de Gobierno en Lnea de la Repblica de Colombia, se reglamenta parcialmente la Ley 962 de 2005, y se dictan otras disposiciones.
http://www.superservicios.gov .co/basedoc/decreto_nacional. shtml?x=68236
A partir de su promulgacin, abril 18 de 2008.
Presidencia de la Repblica
(.a. 24/09/08).
Pgina 63 de 205
4.2.1.1.5.
Compromisos Internacionales en Materia de Seguridad Informtica

Resumen
Art. 37, num. 2. Compromiso de los Estados miembro en lo atinente al SECRETO DE LAS TELECOMUNICACIONES , adoptando las medidas que permita el sistema de comunicacin empleado para garantizar el secreto de la correspondencia internacional.
Nombre Documento
Constitucin de la Unin Internacional de Telecomunicaciones, suscrita en Ginebra, a 22 de diciembre de 1992. Particularmente el artculo 37, numeral 1), aprobada mediante Ley 252 de 1995.
Enlace documento
Fuente
Unin Internacional de Telecomunicac iones
http://www.superservicios.gov .co/basedoc/leyes.shtml? x=54979
(.a. 24/09/08).
Decisin Comunitaria Andina 638 sobre Lineamientos para la proteccin del usuario de telecomunicaciones de la comunidad andina. (Particularmente el artculo 4, numeral 9).
A partir de julio 19 de 2006. Parmetros de proteccin al consumidor de las telecomunicaciones que debern adoptar los Estados Miembros en sus ordenamientos internos. Particularmente, se debe hacer hincapi en las obligaciones de los operadores y proveedores de servicios de telecomunicaciones en lo relativo a seguridad telemtica. http://www.comunidadandina. org/normativa/dec/d638.htm
Comunidad Andina de Naciones.
(.a. 24/09/08).
AG/ RES. 2004 XXXXIV-O 04.
1. Adoptar el proyecto de Estrategia Interamericana Integral de Seguridad Ciberntica que se adjunta como anexo. 2. Instar a los Estados Miembros a implementar dicha Estrategia. 3. Instar a los Estados Miembros a establecer o identificar grupos nacionales de vigilancia y alerta, tambin conocidos como Equipos de Respuesta a Incidentes de Seguridad en Computadoras (CSIRT). 4. Dar renovado nfasis a la importancia de lograr sistemas seguros de informacin de Internet en todo el Hemisferio. 5. Solicitar al Consejo Permanente que, por medio de la Comisin de Seguridad Hemisfrica, siga abordando esta cuestin y contine facilitando las medidas de coordinacin para implementar dicha Estrategia, en particular los esfuerzos de los expertos gubernamentales, el Comit Interamericano contra el Terrorismo (CICTE), la Comisin Interamericana de Telecomunicaciones (CITEL) y el Grupo de Expertos en Materia de Delito Ciberntico de la Reunin de
http://www.cicte.oas.org/Rev/ en/Documents/OAS_GA/AGRES.%202004%20(XXXIV-O04)_SP.pdf
A partir de su aprobacin en la cuarta sesin plenaria, junio 8 de 2008.
Organizacin de los Estados Americanos (OEA), Comisin Interamerican a de Telecomunicac iones.
(.a. 24/09/08).
Pgina 64 de 205
Nombre Documento Resumen
Ministros de Justicia o de Ministros o Procuradores Generales de las Amricas (REMJA) y otros rganos pertinentes de la OEA. 6. Instar a los Estados Miembros y a los rganos, organismos y entidades de la OEA a que coordinen sus esfuerzos para incrementar la seguridad ciberntica. 7. Solicitar a las Secretaras del CICTE y la CITEL y al Grupo de Expertos Gubernamentales en Materia de Delito Ciberntico de la REMJA que asistan a los Estados Miembros, cuando lo soliciten, en la implementacin de las respectivas partes de la Estrategia y presenten un informe conjunto al Consejo Permanente, por medio de la Comisin de Seguridad Hemisfrica, sobre el cumplimiento de esta resolucin, antes del trigsimo quinto perodo ordinario de sesiones de la Asamblea General. 8. Respaldar la celebracin de la segunda Reunin de Practicantes Gubernamentales en Materia de Seguridad Ciberntica que convocar el CICTE para el seguimiento oportuno de las recomendaciones sobre el Establecimiento de la Red Interamericana de Alerta y Vigilancia, que figuran en el documento CICTE/REGVAC/doc.2/04 y que forman parte de la Estrategia. 9. Estipular que esa Reunin de Practicantes Gubernamentales en Materia de Seguridad Ciberntica se celebre con los recursos asignados en el programa-presupuesto de la Organizacin y otros recursos, y solicitar que la Secretara General y la Secretara del CICTE proporcionen el apoyo administrativo y tcnico necesario para esta reunin. 10. Instar a los Estados Miembros a implementar, segn corresponda, las recomendaciones de la Reunin Inicial del Grupo de Expertos Gubernamentales en Materia de Delito Ciberntico de la REMJA (REMJA-V/doc.5/04) y las recomendaciones relativas a seguridad ciberntica de la Quinta Reunin de la REMJA (REMJAV/doc.7/04 rev. 4) como medio de crear un marco para promulgar leyes que protejan los sistemas de informacin, impidan el uso de computadoras para facilitar actividades ilcitas y sancionen el delito ciberntico. 11. Solicitar al Consejo Permanente que informe a la Asamblea General en su trigsimo quinto perodo ordinario de sesiones sobre la implementacin de esta resolucin.
Enlace documento
Fuente
Pgina 65 de 205
4.2.1.2. Relacin documentada de avances de Colombia en materia de proteccin de informacin del individuo y Habeas Data 4.2.1.2.1. Legislacin interna en Materia de Proteccin de Informacin del Individuo y Habeas Data
Ley 23 de 1981
Cataloga la historia clnica como un documento privado, sometido a reserva, que nicamente puede ser conocido por terceros previa autorizacin del paciente o en los casos previstos por la Ley
http://www.mined ucacion.gov.co/16 21/articles103905_archivo_p df.pdf
Rige a partir de su promulgacin, febrero de 1981
(.a. 24/09/08).
Ley 23 de 1982
Sobre derechos de autor
()
http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=3431
A partir de su promulgacin, enero 28 de 1982.
Artculo 84.- Las cartas y misivas son propiedad de la persona a quien se envan, pareo no para el efecto de su publicacin. Este derecho pertenece al autor de la correspondencia, salvo en el caso de que una carta deba obrar como prueba de un negocio judicial o administrativo y que su publicacin sea autorizada por el funcionario competente.
(.a. 24/09/08).
Cdigo Contencioso Administrativo
Reglamenta el ejercicio del derecho de peticin, Artculo 5, 17 y 19.
http://www.dafp.g ov.co/leyes/C_CO NADM.HTM
Rige a partir de marzo 1 de 1984.
(.a. 24/09/08).
Ley 96 de 1985.
Tienen carcter reservado las informaciones que reposen en los archivos de la Registradura, referentes a la identidad de las personas, cmo son sus datos biogrficos, su filiacin y su frmula dactiloscpica. De la informacin
Rige partir de su promulgacin, noviembre 22 de 1985
Congreso de la Repblica de Colombia
Pgina 66 de 205
reservada slo podr hacerse uso por orden de autoridad competente. Con fines investigativos, los jueces y los funcionarios de polica y de seguridad tendrn acceso a los archivos de la Registradura. Cualquier persona podr inspeccionar en todo tiempo los censos electorales, pero en ningn caso se podr expedir copia de los mismos.
(.a. 28/09/08).
Ley 30 de 1986.
Determina que los temas tratados en el Consejo Nacional de Estupefacientes son reservados. Adicionalmente, que sus actas tendrn el mismo carcter y, por tanto, solo podrn ser conocidas por el Seor Presidente de la Repblica y por los miembros del Consejo.
Rige a partir de su promulgacin, enero 31 de 1986.
Congreso de la Repblica de Colombia
(.a. 28/09/08).
Estatuto Tributario, Decreto 624 de 1989.
El artculo 583 del Estatuto determina que la informacin tributaria respecto de las bases gravables y la determinacin privada de los impuestos que figuren en las declaraciones tributarias, tendr el carcter de informacin reservada; por consiguiente, los funcionarios de la Direccin General de Impuestos Nacionales slo podrn utilizarla para el control, recaudo, determinacin, discusin y administracin de los impuestos y para efectos de informaciones impersonales de estadstica.
http://www.dian.g ov.co/dian/15servi cios.nsf/0108fdc36 39d83ff05256f0b0 06abb3d/7ae1155 d8f61bdeb05256f0 d005e587c? OpenDocument
Rige a partir de su promulgacin, marzo 30 de 1989.
Congreso de la Repblica
(.a. 28/09/08).
El artculo 579 prev lo concerniente a la presentacin de declaraciones tributarias electrnicas.
Ley 43 de 1990.
Por la cual se adiciona la ley 145 de 1960, reglamentaria de la profesin de contador pblico y se dictan otras disposiciones. Ttulo Quinto El Secreto Confidencialidad Profesional o
http://www.mined ucacion.gov.co/16 21/articles104546_archivo_p df.pdf
ARTICULO 63. El Contador Pblico est obligado a guardar la reserva profesional en todo aquello que conozca en razn del ejercicio de su profesin, salvo en los casos en que dicha reserva sea levantada por disposiciones legales.
(.a. 24/09/08).
Pgina 67 de 205
ARTICULO 64. Las evidencias del trabajo de un Contador Pblico, son documentos privados sometidos a reservas que nicamente pueden ser conocidas por terceros, previa autorizacin del cliente y del mismo Contador Pblico, o en los casos previstos por la ley. ARTICULO 65. El Contador Pblico deber tomar las medidas apropiadas para que tanto el personal a su servicio como las personas de las que obtenga consejo y asistencia, respeten fielmente los principios de independencia y de confidencialidad. ARTICULO 66. El Contador Pblico que se desempee como catedrtico podr dar casos reales de determinados asuntos pero sin identificar de quien se trata. ARTICULO 67. El Contador Pblico esta obligado, a mantener la reserva comercial de libros, papeles o informaciones de personas a cuyo servicio hubiere trabajado o de los que hubiere tenido conocimiento por razn del ejercicio del cargo o funciones pblicas, salvo en los casos contemplados por disposiciones legales. PARAGRAFO. Las revelaciones incluidas en los Estados Financieros y en los dictmenes de los Contadores Pblicos sobre los mismos, no constituyen violacin de la reserva comercial, bancaria o profesional.
Ley 52 de 1990.
Considera las deliberaciones y actos del Consejo Nacional de Seguridad como reservados y sus actas secretas.
Rige a partir de su promulgacin, diciembre 28 de 1990.
(.a. 28/09/08).
Constitucin Poltica de Colombia
Establece el derecho fundamental a la intimidad personal, familiar y al buen nombre, radicando en cabeza del Estado la obligacin de respetarlos y hacerlos respetar. Artculo 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a
Rige a partir de la fecha de su promulgacin, 04 de julio de 1991.
Asamblea Nacional Constituyente
Pgina 68 de 205
conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades pblicas y privadas. En la recoleccin, tratamiento y circulacin de datos se respetarn la libertad y dems garantas consagradas en la Constitucin. La correspondencia y dems formas de comunicacin privada son inviolables. Slo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley
(.a. 24/09/08).
().
Igualmente, analiza el derecho fundamental a la informacin, aspecto que debe ser interpretado tendiente al logro de un equilibrio con el artculo 15, a saber:
ARTICULO 20. Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir informacin veraz e imparcial, y la de fundar medios masivos de comunicacin. Estos son responsabilidad el derecho a condiciones de censura. libres y tienen social. Se garantiza la rectificacin en equidad. No habr
Por otra parte, el artculo 23 reconoce como derecho fundamental el de presentar peticiones respetuosas a la administracin. Artculo 74. Todas las personas tienen derecho a acceder a los documentos pblicos salvo los casos que establezca la ley. Por el cual se reestructura el Departamento Administrativo de Seguridad (DAS).
()
ARTICULO 81. INFORMACIONES.El Departamento Administrativo de Seguridad por intermedio de la Direccin General de Inteligencia podr solicitar a los funcionarios superiores y subalternos de la administracin pblica nacional y de las administraciones regionales,
http://juriscol.ban rep.gov.co:8080/C ICPROD/BASIS/inf juric/normas/norm as/DDW?W %3DLLAVE_NORM AS %3D'DECRETO+2 110+1992+DEPAR TAMENTO+ADMIN ISTRATIVO+DE+S EGURIDADDAS'%26M %3D1%26K
A partir de la fecha de su publicacin, en el diario oficial, abril 7 de 1993.
Pgina 69 de 205
departamentales, distritales, metropolitanas y municipales las informaciones que, en razn de sus funciones oficiales hayan recibido, relativas a hechos, circunstancias, actuaciones, personas y organizaciones que puedan menoscabar la seguridad interior o exterior del pas, el rgimen constitucional o la seguridad pblica o puedan ser causa de perturbaciones del orden pblico, social o econmico de la Nacin, y ellos debern atender tales solicitudes.
%3DDECRETO+21 10+1992+DEPART AMENTO+ADMINI STRATIVO+DE+SE GURIDAD-DAS %26R%3DY%26U %3D1
(.a. 24/08/08).
()
ARTICULO 85. SECRETO O RESERVA.- Por la naturaleza de las funciones que cumple el Departamento Administrativo de Seguridad, los documentos, mensajes, grabaciones, fotografas y material clasificado de la Direccin General de Inteligencia, de las Divisiones que de ella dependen, de las Unidades Regionales y Grupos de Inteligencia, tiene carcter secreto o reservado. Igual carcter tienen las informaciones originadas en las dependencias de la Institucin y el material correspondiente, cuando se relacionen con asuntos de competencia de las Unidades de Inteligencia. En consecuencia, no se podrn compulsar copias ni duplicados, ni suministrar datos relacionados con ellos salvo si precede autorizacin expresa del Director del Departamento.
El empleado que indebidamente los d a conocer incurrir en causal de mala conducta que implica destitucin del cargo, sin perjuicio de la sancin penal a que hubiere lugar segn lo dispuesto por el artculo 154 del Cdigo Penal.
Ley 79 de 1993.
Por la cual se regula la realizacin de los Censos de Poblacin y Vivienda en todo el territorio nacional.
http://www.secret ariasenado.gov.co /leyes/L0079_93. HTM
A partir de su promulgacin, octubre 20 de 1993.
ARTCULO 5o. Las personas naturales o jurdicas, de cualquier orden o naturaleza, domiciliadas o residentes en el territorio nacional, estn obligadas a suministrar al Departamento Administrativo Nacional de Estadstica DANE, los datos solicitados en el desarrollo de Censos y Encuestas.
(.a. 24/09/08).
Pgina 70 de 205
Los datos suministrados al Departamento Administrativo Nacional de Estadstica DANE, en el desarrollo de los censos y encuestas, no podrn darse a conocer al pblico ni a las entidades u organismos oficiales, ni a las autoridades pblicas, sino nicamente en resmenes numricos, que no hagan posible deducir de ellos informacin alguna de carcter individual que pudiera utilizarse para fines comerciales, de tributacin fiscal, de investigacin judicial o cualquier otro diferente del propiamente estadstico.
Permitiendo inferir que la informacin suministrada al Departamento Administrativo Nacional de Estadstica (DANE) solo puede ser utilizada para el fin especfico de su obtencin (ADQUIRIENDO INFORMACIN RELEVANTE, QUE OTORGUE VERDADEROS INDICADORES, Y ACORDE A LA FINALIDAD PERSEGUIDA), cual es la realizacin de los respectivos censos y encuestas.
Constitucin de la Unin Internacional de Telecomunicaciones, suscrita en Ginebra, a 22 de diciembre de 1992 (Particularmente el artculo 34, numeral 2), aprobada mediante Ley 252 de 1995.
Art. 34, num. 2. Consagra una excepcin al derecho a la inviolabilidad de las comunicaciones: Los Miembros, se reservan tambin el derecho a interrumpir otras telecomunicaciones privadas que puedan parecer peligrosas para la seguridad del Estado o contrarias a sus leyes, al orden pblico o a las buenas costumbres.
A partir de diciembre 19 de 1995. http://www.supers ervicios.gov.co/ba sedoc/leyes.shtml ?x=54979 Unin Internacional de Telecomunicac iones.
(.a. 24/09/08).
Por el cual se servicio postal. ()
reglamenta
el http://www.adpost al.gov.co/secs/nor matividad/decreto _229.htm
A partir de su publicacin, en el diario oficial, febrero 3 de 1995.
Ley 190 de 1995.
Artculo 10. Inviolabilidad de la correspondencia. La correspondencia del servicio postal y dems formas de comunicacin privada son inviolables. No se podr atentar contra el secreto que pudiera contener y slo puede ser interceptada y registrada, mediante orden judicial, en los casos y con las formalidades que establezcan la Constitucin y la ley, sin perjuicio de las sanciones penales establecidas por la violacin ilcita de la correspondencia. Por la cual se dictan normas tendientes a preservar la moralidad en la administracin pblica y se fijan disposiciones con el fin de erradicar la corrupcin
(.a. 24/09/08).
A partir de su promulgacin, junio 6 de 1995. http://www.dafp.g ov.co/leyes/L0190 _95.HTM#58 Congreso de la Repblica de Colombia.
Pgina 71 de 205
administrativa. () ARTCULO 58. Todo ciudadano tiene derecho a estar informado peridicamente acerca de las actividades que desarrollen las entidades pblicas y las privadas que cumplan funciones pblicas o administren recursos del Estado. Igualmente, en materia de intervencin de los medios de comunicacin ante la gestin de las autoridades y funcionarios pblicos, consagra lo siguiente:
Enlace documento
Fuente
(.a. 24/09/08).
ARTCULO 76. Las investigaciones que sobre los actos de las autoridades pblicas adelanten los periodistas y los medios de comunicacin en general, son manifestacin de la funcin social que cumple la libertad de expresin e informacin y recibirn proteccin y apoyo por parte de todos los servidores pblicos, y debern ser ejercidas con la mayor responsabilidad y con el mayor respeto por los derechos fundamentales al debido proceso, honra y buen nombre. Su incumplimiento dar lugar a las acciones correspondientes.
ARTCULO 77. Los periodistas tendrn acceso garantizado al conocimiento de los documentos, actos administrativos y dems elementos ilustrativos de las motivaciones de la conducta de las autoridades pblicas, sin restricciones diferentes a las expresamente consagradas en la ley.
ARTCULO 78. En las investigaciones penales la reserva de la instruccin no impedir a los funcionarios competentes proporcionar a los medios de comunicacin informacin sobre los siguientes aspectos:
Existencia de un proceso penal, el delito por el cual se investiga a las personas legalmente vinculadas al proceso, la entidad a la cual pertenecen las personas si fuere el caso y su nombre, siempre y cuando se haya dictado medida de aseguramiento, sin perjuicio de lo dispuesto en el artculo 372 del Cdigo de Procedimiento Penal.
Pgina 72 de 205
Si la medida de aseguramiento no se ha hecho efectiva, el funcionario podr no hacer pblica la informacin.
Ley 256 de 1996. Ley por la cual se dictas normas sobre competencia desleal http://www.secret ariasenado.gov.co /leyes/L0256_96. HTM
A partir de su promulgacin, enero 15 de 1996. Congreso de la Repblica de Colombia.
Consagra la violacin de secretos como un acto reprochable. A este respecto, es menester indicar que el secreto, en su acepcin general, goza de las siguientes caractersticas, a saber:
(.a. 24/09/08).
Voluntad de detenta para desconocido a Adopcin de (Jurdicas y necesarias mantenerlo estado. Informacin generacin comunidad en
quien lo mantenerlo terceros. la medidas Tcnicas) para en dicho de difcil por la general.
En complemento de lo precedente, el entorno comercial concibe el secreto empresarial, caracterizado por:
Que la informacin involucre una efectiva ventaja competitiva para su legtimo poseedor. Que sea susceptible de valoracin econmica. No se requiere que el infractor sea un competidor directo del legtimo poseedor. Susceptible de ser transferido a un tercero, con deber de reserva. Lo reprochable no es el conocimiento del secreto, sino su acceso por medios ilegales. Es valido que los competidores intentes cifrar el secreto empresarial por medios lcitos.
En consonancia con lo anterior, la referida norma de competencia desleal postula:
ARTCULO 16. VIOLACIN DE SECRETOS. Se considera desleal la
Pgina 73 de 205
divulgacin o explotacin, sin autorizacin de su titular, de secretos industriales o de cualquiera otra clase de secretos empresariales a los que se haya tenido acceso legtimamente pero con deber de reserva, o ilegtimamente, a consecuencia de algunas de las conductas previstas en el inciso siguiente o en el artculo 18 de esta ley.
Tendr as mismo la consideracin de desleal, la adquisicin de secretos por medio de espionaje o procedimientos anlogos, sin perjuicio de las sanciones que otras normas establezcan.
Las acciones referentes a la violacin de secretos procedern sin que para ello sea preciso que concurran los requisitos a que hace referencia el artculo 2o. de este ley. (ARTCULO 2o. MBITO OBJETIVO DE APLICACIN. Los comportamientos previstos en esta ley tendrn la consideracin de actos de competencia desleal siempre que realicen en el mercado y con fines concurrenciales.
La finalidad concurrencial del acto se presume cuando ste, por las circunstancias en que se realiza, se revela objetivamente idneo para mantener o incrementar la participacin en el mercado de quien lo realiza o de un tercero.
ARTCULO 18. VIOLACIN DE NORMAS. Se considera desleal la efectiva realizacin en el mercado de una ventaja competitiva adquirida frente a los competidores mediante la infraccin de una norma jurdica.
La ventaja ha de ser significativa.
Decreto 300 de 1997, Aprobatorio del Acuerdo No. 0017 de 1996 del Instituto Nacional Penitenciario y Carcelario (INPEC).
El artculo 26 determina la existencia de cierta informacin como reservada. Y seala que ningn miembro del Consejo Directivo ni funcionario del Instituto Nacional Penitenciario y Carcelario, INPEC, podr revelar los planes, programas, proyectos y actos de carcter reservado que se encuentren en estudio o en proceso de adopcin y que constituyan informacin confidencial salvo que el Consejo Directivo o el Director General lo autoricen conforme a las
http://juriscol.ban rep.gov.co:8080/C ICPROD/BASIS/inf juric/normas/norm as/DDW?W %3DLLAVE_NORM AS %3D'DECRETO+3 00+1997+MINIST ERIO+DE+JUSTIC IA+Y+DEL+DEREC HO'%26M %3D1%26K %3DDECRETO+30
Rige a partir de su promulgacin, febrero 13 de 1997.
Pgina 74 de 205
disposiciones existentes al respecto.
0+1997+MINISTE RIO+DE+JUSTICI A+Y+DEL+DEREC HO%26R%3DY %26U%3D1
(.a. 29/09/08)
Ley 489 de 1998 Por la cual se dictan normas sobre la organizacin y funcionamiento de las entidades del orden nacional, se expiden las disposiciones, principios y reglas generales para el ejercicio de las atribuciones previstas en los numerales 15 y 16 del artculo 189 de la Constitucin Poltica y se dictan otras disposiciones. http://www.dafp.g ov.co/leyes/L0489 _98.HTM#119
A partir de su promulgacin, diciembre 29 de 1998. Congreso de la Repblica de Colombia.
(.a. 24/09/08).
ARTICULO 119. PUBLICACION EN EL DIARIO OFICIAL. A partir de la vigencia de la presente ley, todos los siguientes actos debern publicarse en el Diario Oficial:
a) Los actos legislativos y proyectos de reforma constitucional aprobados en primera vuelta;
b) Las leyes y los proyectos de ley objetados por el Gobierno;
c) Los decretos con fuerza de ley, los decretos y resoluciones ejecutivas expedidas por el Gobierno Nacional y los dems actos administrativos de carcter general, expedidos por todos los rganos, dependencias, entidades u organismos del orden nacional de las distintas Ramas del Poder Pblico y de los dems rganos de carcter nacional que integran la estructura del Estado.
PARAGRAFO. nicamente con la publicacin que de los actos administrativos de carcter general se haga en el Diario Oficial, se cumple con el requisito de publicidad para efectos de su vigencia y oponibilidad.
Ley 527 de 1999 (Particularmente los artculos 30, numeral 6, y 32, literales c y g).
Artculo 30. Actividades de las entidades de certificacin. Las entidades de certificacin
http://www.secret ariasenado.gov.co /leyes/L0527_99. HTM
A partir de su publicacin, en el diario oficial, agosto 21 de 1999.
Pgina 75 de 205
Nombre Documento Resumen Enlace documento
(.a. 24/09/08). autorizadas por la Superintendencia de Industria y Comercio para prestar sus servicios en el pas, podrn realizar, entre otras, las siguientes actividades:
Fuente
()
6. Ofrecer los servicios de archivo y conservacin de mensajes de datos.
()
Artculo 32. Deberes de las entidades de certificacin. Las entidades de certificacin tendrn, entre otros, los siguientes deberes:
()
c) Garantizar la proteccin, confidencialidad y debido uso de la informacin suministrada por el suscriptor.
()
g) Suministrarla informacin que le requieran las entidades administrativas competentes o judiciales en relacin con las firmas digitales y certificados emitidos y en general sobre cualquier mensaje de datos que se encuentre bajo su custodia y administracin.
Ley 555 de 2000
Por la cual se regula la prestacin de los Servicios de Comunicacin Personal, PCS y se dictan otras disposiciones.
http://www.secret ariasenado.gov.co /leyes/L0555000. HTM
A partir de su publicacin, en el diario oficial, febrero 7 de 2000.
()
ARTICULO 17. REGIMEN PROTECCION AL USUARIO
DE
(.a. 24/09/08).
()
PARAGRAFO 2o. Los operadores de todos los servicios mviles de telecomunicaciones slo podrn almacenar y registrar datos que,
Pgina 76 de 205
segn las normas o pautas que fije la Comisin de Regulacin de Telecomunicaciones, y de conformidad con el artculo 15 de la Constitucin, se consideren estrictamente relevantes para evaluar el perfil econmico de sus titulares.
Los datos personales que recojan y sean objeto de tratamiento deben ser pertinentes, exactos y actualizados de modo que correspondan verazmente a la situacin real de su titular.
<Aparte subrayado CONDICIONALMENTE exequible> Cualquier dao causado con violacin de esta norma dar lugar a la indemnizacin de perjuicios segn las reglas civiles de la responsabilidad, sin perjuicio de la procedencia de la accin de tutela para proteger el derecho fundamental a la intimidad personal
(Corte ConstitucionalAparte subrayado declarado CONDICIONALMENTE EXEQUIBLE por la Corte Constitucional mediante Sentencia C-887-02 de 22 de octubre de 2002, Magistrada Ponente Dra. Clara Ins Vargas Hernndez, "bajo el entendido que no excluyen la proteccin de otros derechos fundamentales mediante el ejercicio de la accin de tutela).
Ley 594 de 2000
Ley General de Archivos, seala las polticas de retencin de documentos, los conceptos relacionados con la labor de archivo, as como el carcter vinculante del postulado de unidad documental que debe reflejar todo archivo.
A partir de su publicacin, en el diario oficial, julio 14 de 2000.
(.a. 24/09/08).
Ley 588 de 2000
Notarias y Consulados pueden convertirse en entidades de certificacin, a la vez que utilizar todos los medios magnticos o electrnicos que requieran para el archivo de la informacin.
Pgina 77 de 205
(.a. 24/09/08).
Decreto 1747 de 2000 (Particularmente el artculo 25). ARTCULO 25. INFORMACIN. Las entidades de certificacin estarn obligadas a respetar las condiciones de confidencialidad y seguridad, de acuerdo con las normas vigentes respectivas.
http://www.minco mercio.gov.co/eCo ntent/documentos /normatividad/dec retos/decreto_174 7_2000.pdf (.a. 24/09/08).
Salvo la informacin contenida en el certificado, la suministrada por los suscriptores a las entidades de certificacin se considerar privada y confidencial.
Ley 679 de 2001
Estatuto para prevenir y contrarrestar la explotacin, pornografa y turismo sexual en menores de edad, para lo cual se crea la Comisin de expertos en redes globales de informacin y telecomunicaciones. Prev la posibilidad de que existe un sistema de autorregulacin y cdigos de conducta eficaces en el manejo y aprovechamiento de redes. Establece un rgimen de prohibiciones y deberes para proveedores o servidores, administradores y usuarios de redes globales.
Rige a partir de su promulgacin, Agosto 04 de 2001.
(.a. 24/09/08).
Ley 766 de 2002, por medio de la cual se aprueba la Convencin sobre Asistencia en caso de accidente nuclear.
Artculo 6. Confidencialidad Declaraciones Pblicas.
Rige a partir de su promulgacin, agosto 05 de 2002.
1. El Estado solicitante y la parte que preste asistencia debern proteger el carcter confidencial de toda informacin confidencial que llegue a conocimiento de cualquiera de los dos en relacin con la asistencia en caso de accidente nuclear o emergencia radiolgica. Esa informacin se usar exclusivamente con el fin de la asistencia convenida.
(.a. 24/09/08).
2. La parte que preste la asistencia har todo lo posible por coordinar con el Estado solicitante antes de facilitar al pblico informacin sobre la asistencia prestada en relacin con un accidente nuclear o emergencia radio lgica.
Decreto 2004.
Reglamentario
4124
de
Reglamenta parcialmente la Ley 594 de 2000 por medio de la cual se dicta la Ley General de Archivos y se dictan otras disposiciones, as como disposiciones en materia
http://www.alcaldi abogota.gov.co/sis
Rige a partir de su publicacin, diciembre 13 de 2004.
Pgina 78 de 205
de archivos privados. jur/normas/Norma 1.jsp?i=15442#0
Enlace documento
Fuente
(.a. 24/09/08).
Ley 964 de 2005
El artculo sptimo de la ley crea el Sistema Integral de Informacin del Mercado de Valores.
http://web.minjust icia.gov.co/normas /2005/l9642005.ht m
(.a. 24/09/08).
Proyecto de Ley Estatutaria 221 de 2006 Cmara, 027 de 2006 Senado.
Texto definitivo al proyecto de ley estatutaria 221 de 2006 cmara, 027 de 2006 senado, por la cual se dictan las disposiciones generales del Hbeas Data y se regula el manejo de la informacin contenida en bases de datos personales, en especial la financiera, crediticia comercial, de servicios y la proveniente de terceros pases y se dictan otras disposiciones.
http://www.habea sdata.com.co/pdf/ proyectoactual/Te xtodefinitivo0806-07.pdf
An no ha entrado en vigencia.
Congreso de la Repblica.
(.a. 24/09/08).
La norma se encuentra en la H. Corte Constitucional surtiendo el trmite de control previo de Constitucionalidad en razn a su jerarqua de ley Estatutaria.
Ley 1236 de 2008, por medio de la cual se modifican algunos artculos del Cdigo Penal, relativos a delitos de abuso sexual.
Mediante el artculo 13 de la presente ley, se dispuso la penalizacin de la conducta consiste en utilizacin o facilitacin de medios de comunicacin tales como, el correo tradicional, las redes globales de informacin, o cualquier otro medio de comunicacin para obtener contacto sexual con menores o para ofrecer servicios sexuales con estos.
(.a. 24/09/08).
Pgina 79 de 205
4.2.1.2.2. Jurisprudencia Colombiana en Materia de Proteccin de Informacin del Individuo y Habeas Data
Sentencia T- 414 de 1992
En cuanto al derecho fundamental al habeas data o a la autodeterminacin informtica, en diversas oportunidades la jurisprudencia de esta Corporacin se ha referido a la naturaleza fundamental de este derecho, el cual comporta un plexo de facultades tales como la de disponer de la informacin sobre s mismo, la de preservar la propia identidad informtica, es decir, permitir, controlar o rectificar los datos concernientes a la personalidad del titular de los mismos y que, como tales, lo identifican e individualizan ante los dems
http://web.minjust icia.gov.co/jurispr udencia/CorteCons titucional/1992/Tu tela/T-414-92.htm
Junio 16 de 1992
Corte Constitucional
(.a. 24/09/08).
Sentencia T-577 de 1992.
La creacin y utilizacin de bancos de datos - entre ellos los financieros - es constitucional siempre que exista una adecuada proporcionalidad entre el medio empleado y sus efectos reales sobre los derechos fundamentales del titular del dato, en particular sobre los derechos a conocer, actualizar y rectificar la informacin en ellos recogida. Constituye un uso desproporcionado del poder informtico y, en consecuencia, un abuso del respectivo derecho, el registro, conservacin o circulacin cualquiera sea la forma en que se haga - de datos de una persona ms all del trmino legalmente establecido para ejercer las acciones judiciales con miras al cobro de las obligaciones, causando con ello ingentes perjuicios al deudor como resultado de su exclusin indefinida del sistema financiero, el cual debe respetar la efectividad de los derechos fundamentales de la persona. La actualizacin a que se tiene derecho segn la Carta Poltica significa, en casos como el considerado, que una vez producido voluntariamente el pago, la entidad, que dispona del dato pierde su derecho a utilizarlo y, por tanto, carece de razn alguna que siga suministrando la informacin en torno a que el individuo es o fue deudor moroso. Cabe la tutela contra particulares para proteger, entre otros, los derechos consagrados en el artculo 15 de la Constitucin y de manera expresa contempla la viabilidad de la accin cuando la entidad privada sea aqulla contra quien se hubiere hecho la solicitud en ejercicio del
A partir de su promulgacin, octubre 28 de 1992. http://web.minjust icia.gov.co/jurispr udencia/CorteCons titucional/1992/Tu tela/T-577-92.htm Corte Constitucional de Colombia.
(.a. 24/09/08).
A partir de su promulgacin, marzo 18 de 1993. http://web.minjust icia.gov.co/jurispr udencia/CorteCons titucional/1993/Tu tela/T-110-93.htm Corte Constitucional de Colombia.
(.a. 24/09/08).
Pgina 80 de 205
"Habeas data". Analiza la colisin entre el derecho a la informacin y el derecho al buen nombre, dejando por sentado que en ningn momento son antagnicos pues el buen nombre guarda estrecha relacin con los actos de la persona y lo reprochable es que una vez cesada la situacin fctica, sta contine en una base de datos. Igualmente, se analiza el tema de la caducidad de los datos, manifestando que es un aspecto que corresponde al legislador. Sin embargo, dada la ausencia normativa actual, se establece un trmino de 2 aos contados a partir de la terminacin de la situacin, y tratndose de procesos ejecutivos ser de 5 aos ( 2 aos si se sufrag la obligacin con el mandamiento de pago).
Enlace documento
Fuente
Sentencia SU-082 de 1995
A partir de su promulgacin, marzo 1 de 1995. http://www.adalid abogados.com/Se ntenciaNSU08295. pdf
(.a. 24/09/08).
Pgina 81 de 205
Nombre Documento
Sentencia T-552 de 1997
Resumen
El derecho a la intimidad es un derecho disponible. Ciertas personas, segn su criterio, pueden hacer pblicas conductas que otros optaran por mantener reservadas. As mismo, en el desarrollo de la vida corriente, las personas se ven impelidas a sacrificar parte de su intimidad como consecuencia de las relaciones interpersonales que las involucran. En otros casos, son razones de orden social o de inters general o, incluso, de concurrencia con otros derechos como el de la libertad de informacin o expresin, las que imponen sacrificios a la intimidad personal. A pesar de que en determinadas circunstancias el derecho a la intimidad no es absoluto, las personas conservan la facultad de exigir la veracidad de la informacin que hacen pblica y del manejo correcto y honesto de la misma. Este derecho, el de poder exigir el adecuado manejo de la informacin que el individuo decide exhibir a los otros, es una derivacin directa del derecho a la intimidad, que se ha denominado como el derecho a la "autodeterminacin informativa".
Enlace documento
Octubre 30 de 1997
Fuente
Corte Constitucional de Colombia
http://web.minjust icia.gov.co/jurispr udencia/CorteCons titucional/1997/Tu tela/T-552-97.htm
(. a. 29/08708)
Sentencia C-729 de 2000
La regulacin de aspectos inherentes al ejercicio mismo de los derechos y primordialmente la que signifique consagracin de lmites, restricciones, excepciones y prohibiciones, en cuya virtud se afecte el ncleo esencial de los mismos, nicamente procede, en trminos constitucionales, mediante el trmite de ley estatutaria.
Junio 21 de 2000
(.a. 24/09/08).
Sentencia T-729 de 2002
Establece los principios en materia de administracin de las bases de datos, a saber: Principio de Libertad: Entendido como aquel postulado que permite la exclusin, valida, de una base de datos. Principio de Finalidad: La informacin contenida en una base de datos solo puede ser concebida para un fin especfico. Principio de Integridad: La informacin debe ser inalterada en el proceso comunicativo. Principio de Necesidad: La informacin contenida debe ser funcional. Clasificacin de la Informacin: La primera gran tipologa, es aquella
A partir de su promulgacin, septiembre 5 de 2002. http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=9903
(.a. 24/09/08).
Pgina 82 de 205
dirigida a distinguir entre la informacin impersonal y la informacin personal. A su vez, en esta ltima es importante diferenciar igualmente la informacin personal contenida en bases de datos computarizadas o no y la informacin personal contenida en otros medios, como videos o fotografas, etc. La segunda gran tipologa que necesariamente se superpone con la anterior, es la dirigida a clasificar la informacin desde un punto de vista cualitativo en funcin de su publicidad y la posibilidad legal de obtener acceso a la misma. En este sentido la Sala encuentra cuatro grandes tipos: la informacin pblica o de dominio pblico, la informacin semi-privada, la informacin privada y la informacin reservada o secreta. As, la informacin pblica, calificada como tal segn los mandatos de la ley o de la Constitucin, puede ser obtenida y ofrecida sin reserva alguna y sin importar si la misma sea informacin general, privada o personal. Por va de ejemplo, pueden contarse los actos normativos de carcter general, los documentos pblicos en los trminos del artculo 74 de la Constitucin, y las providencias judiciales debidamente ejecutoriadas; igualmente sern pblicos, los datos sobre el estado civil de las personas o sobre la conformacin de la familia. Informacin que puede solicitarse por cualquier persona de manera directa y sin el deber de satisfacer requisito alguno. La informacin semi-privada, ser aquella que por versar sobre informacin personal o impersonal y no estar comprendida por la regla general anterior, presenta para su acceso y conocimiento un grado mnimo de limitacin, de tal forma que la misma slo puede ser obtenida y ofrecida por orden de autoridad administrativa en el cumplimiento de sus funciones o en el marco de los principios de la administracin de datos personales. Es el caso de los datos relativos a las relaciones con las entidades de la seguridad social o de los datos relativos al comportamiento financiero de las personas. La informacin privada, ser aquella que por versar sobre informacin personal o no, y que por encontrarse en un mbito privado, slo puede ser obtenida y ofrecida
Enlace documento
Fuente
Pgina 83 de 205
por orden de autoridad judicial en el cumplimiento de sus funciones. Es el caso de los libros de los comerciantes, de los documentos privados, de las historias clnicas o de la informacin extrada a partir de la inspeccin del domicilio. Finalmente, encontramos la informacin reservada, que por versar igualmente sobre informacin personal y sobretodo por su estrecha relacin con los derechos fundamentales del titular - dignidad, intimidad y libertad- se encuentra reservada a su rbita exclusiva y no puede siquiera ser obtenida ni ofrecida por autoridad judicial en el cumplimiento de sus funciones. Cabra mencionar aqu la informacin gentica, y los llamados "datos sensibles" 32 o relacionados con la ideologa, la inclinacin sexual, los hbitos de la persona, etc.
Sentencia
C-692 de 2003
Derecho a la intimidad, alcance, no es absoluto, disponibilidad, proteccin constitucional, inviolabilidad e interceptacin de comunicacin privada, clasificacin de la informacin
Agosto 12 de 2003
Corte Constitucional de Colombia
Informacin publica, definicin (.a. 24/09/08).
Postula que los contratos laborales deben incluir una clusula en materia de condiciones en que se puede recuperar un archivo de informacin, debido a la obsolescencia del formato y duracin del soporte fsico. Es un aspecto que guarda ntima relacin con el principio de archivo y conservacin presente en el comercio electrnico.
A partir de su promulgacin, octubre 28 de 2005. http://www.adalid abogados.com//Se ntenciat1105%200 5.pdf
(.a. 24/09/08).
Sentencia C-336 de 2007.
La bsqueda selectiva de informacin confidencial en bases de datos puede afectar los derechos fundamentales a la intimidad y al habeas data.
http://www.alcaldi abogota.gov.co/sis jur/consulta_tema tica.jsp
Mayo 09 de 2007
Pgina 84 de 205
No obstante la Corporacin ha reconocido tambin que el derecho a la intimidad no es absoluto. En este sentido, la Corte ha establecido que el derecho fundamental a la intimidad "puede ser objeto de limitaciones" restrictivas de su ejercicio "en guarda de un verdadero inters general que responda a los presupuestos establecidos por el artculo 1 de la Constitucin", sin que por ello se entienda que pueda desconocerse su ncleo esencial.
(.a. 24/09/08).
Sentencia Corte Suprema de Justicia, Sala de Casacin Civil, Expediente 05001-22-03-000-2007 00230-01 de septiembre 4 de 2007.
Establece el carcter de herramienta de trabajo que ostenta el correo electrnico corporativo. Sin embargo, aclara que la informacin personal no deja de serlo por estar all contenida; Razn por la cual empresario y trabajador deben tomar las medidas de proteccin adecuadas.
A partir de su promulgacin, septiembre 4 de 2007. http://www.adalid abogados.com/cor tesuprema.pdf
Corte Suprema de Justicia, sala de Casacin Civil. M.P.: Arturo Solarte Rodrguez
(.a. 24/09/08).
4.2.1.3. Relacin documentada de avances de Colombia en materia normativa en seguridad informtica

Ley Estatutaria de la Administracin de Justicia, 270 de 1996
Mediante el artculo 95 de la mencionada norma, se establece la posibilidad para que la tecnologa se ponga al servicio de la administracin de justicia, mediante su uso adecuado.
A partir de su promulgacin, marzo 15 de 1996.
ARTICULO 95. TECNOLOGIA AL SERVICIO DE LA ADMINISTRACION DE JUSTICIA El Consejo Superior de la Judicatura debe propender por la incorporacin de tecnologa de avanzada al servicio de la administracin de justicia. Esta accin se enfocar principalmente a mejorar la prctica de las pruebas, la formacin, conservacin y reproduccin de los expedientes, la comunicacin entre los despachos y a garantizar el funcionamiento razonable del sistema de informacin. Los juzgados, tribunales y corporaciones judiciales podrn
(.a. 24/09/08).
Pgina 85 de 205
utilizar cualesquier medios tcnicos, electrnicos, informticos y telemticos, para el cumplimiento de sus funciones. Los documentos emitidos por los citados medios, cualquiera que sea su soporte, gozarn de la validez y eficacia de un documento original siempre que quede garantizada su autenticidad, integridad y el cumplimiento de los requisitos exigidos por las leyes procesales. Los procesos que se tramiten con soporte informtico garantizarn la identificacin y el ejercicio de la funcin jurisdiccional por el rgano que la ejerce, as como la confidencialidad, privacidad, y seguridad de los datos de carcter personal que contengan en los trminos que establezca la ley.
Ley 527 de 1999
Mediante esta ley se incorpor al ordenamiento jurdico interno la ley modelo de UNCITRAL, en materia de acceso y uso de mensajes de datos, comercio electrnico, firmas digitales y el establecimiento de entidades de certificacin
A partir de la fecha de su promulgacin, agosto 21 de 1999
(.a. 24/09/08).
Decreto Nacional 1747 de 2000
Reglamentario de la ley 527 de 1999, especialmente en lo relacionado con entidades de certificacin, certificados y firmas digitales
http://www.alcaldi abogota.gov.co/sis jur/normas/Norma 1.jsp?i=4277#1
A partir de su promulgacin, septiembre 14 de 2000
(.a. 24/09/08).
Resolucin 26930 de 2000
Establece estndares para la autorizacin y funcionamiento de las entidades de certificacin y sus auditores
A partir de su promulgacin, octubre 26 de 2000
Superintenden cia de Industria y Comercio
(.a. 24/09/08).
El presente decreto tiene por objeto reglamentar el artculo 5 de la Ley
http://www.alcaldi abogota.gov.co/sis
Presidencia de
Pgina 86 de 205
679 de 2001, con el fin de establecer las medidas tcnicas y administrativas destinadas a prevenir el acceso de menores de edad a cualquier modalidad de informacin pornogrfica contenida en Internet o en las distintas clases de redes informticas a las cuales se tenga acceso mediante redes globales de informacin.
jur/normas/Norma 1.jsp?i=5551
la Repblica
(.a. 24/09/08).
As mismo a propender para que estos medios no sean aprovechados con fines de explotacin sexual infantil u ofrecimiento de servicios comerciales que impliquen abuso sexual con menores de edad.
Acuerdo Distrital 184 de 2005
Por medio del cual se dictan normas sobre el funcionamiento de los establecimientos que prestan el servicio de internet en Bogot, D.C y se establece en cabeza de los mencionados establecimientos la obligacin de dotar los equipos de computo con los dispositivos tecnolgicos requeridos a fin de proteger la integridad de los menores que hacen uso del servicio, especficamente en cuanto al uso de material pornogrfico nocivo.
A partir de la fecha de su promulgacin, diciembre 15 de 2005.
Concejo de Bogot D.C.
(.a. 24/09/08).
Decreto Distrital 317 de 2006.
Plan Maestro de Telecomunicaciones de Bogot D.C.
Polticas, objetivos, estrategias, planes, proyectos, metas, entre otros asuntos, relacionados con las TIC en Bogot D.C.
http://www.alcaldi abogota.gov.co/sis jur/consulta_tema tica.jsp
A partir de la fecha de su promulgacin, agosto 18 de 2006.
(.a. 24/09/08).
4.2.1.4. Relacin documentada de iniciativas y experiencias nacionales e internacionales en proteccin de informacin del individuo y habeas data
Declaracin Universal de Derechos Humanos
Proscribe en el artculo 12 cualquier tipo de injerencia en la vida personal, familiar, honra y reputacin de todo ser humano.
http://daccessdds. un.org/doc/RESOL UTION/GEN/NR0/0 46/82/IMG/NR004
Diciembre 10 de 1948
Organizacin de las Naciones Unidas ONU-
Pgina 87 de 205
Estableciendo la obligacin de proteger tales derechos por medio de ley
682.pdf? OpenElement
(.a. 24/09/08).
Convencin Americana sobre Derechos Humanos, Pacto de San Jos de Costa Rica
Estable en el artculo 11 el derecho a la honra y reconocimiento de la dignidad humana, estableciendo que nadie podr ser objeto de injerencias arbitrarias en su vida privada, o en su correspondencia, ni de ataques ilegales contra su honra o reputacin.
http://www.oas.or g/Juridico/spanish /tratados/b32.html
Noviembre 22 de 1969
Organizacin de Estados Americanos
(.a. 24/09/08).
Pacto Internacional Civiles y Polticos
de
Derechos
Establece en el artculo 18 que nadi podr ser objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputacin.
http://www.unhch r.ch/spanish/html/ menu3/b/a_ccpr_s p.htm
Octubre 26 de 1969
Organizacin de las Naciones Unidas ONU-
(.a. 24/09/08).
Constitucin Portuguesa de 1976
En el artculo 35 de la Carta se reconoce el derecho a todo ciudadano de consultar lo que conste en registros mecanogrficos acerca de ellos, pudiendo exigir la actualizacin y rectificacin de datos.
http://www.adalid abogados.com/por tuguesa.pdf
Abril 25 de 1976
Asamblea Constituyente
(.a. 24/09/08).
Constitucin Espaola de 1978
Mediante el artculo 18 de la Carta se reconoce el derecho al Honor y a la intimidad personal, y el secreto de las comunicaciones, estableciendo en cabeza del legislador la obligacin de limitar el uso de la informtica para garantizar el honor, la intimidad personal y familiar.
http://www.adalid abogados.com/esp anola.pdf
1978.
Asamblea Constituyente
(.a. 24/09/08).
Directrices para la regulacin de los archivos de datos personales informatizados, adoptadas mediante
Establece una serie de postulados aplicables a los archivos, pblicos y privados, manuales y
http://www.adalid abogados.com/con venio108.pdf
Diciembre 14 de 1990.
Asamblea General de la Organizacin
Pgina 88 de 205
Resolucin 45/95 de la Asamblea General de la Organizacin de las Naciones Unidas.
automatizados, a saber:
de las Naciones Unidas (.a. 24/09/08).
Principios relativos a las garantas mnimas que deben prever las legislaciones nacionales (principio de legalidad, lealtad, exactitud, especificacin de la finalidad, acceso de la persona interesada, no discriminacin, seguridad).
Aplicacin de la directrices a archivos de datos personales mantenidos por organizaciones internacionales gubernamentales.
Convenio 108 del Consejo de Europa
Convenio para la proteccin de las personas con respecto al tratamiento automatizado de datos de carcter personal.
http://www.apdcat .net/media/246.pd f
Enero 28 de 1981
Consejo de Europa
(.a. 24/09/08).
DIRECTIVA PARLAMENTO CONSEJO.
95/46/CE EUROPEO
DEL DEL
Relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos
http://eurlex.europa.eu/Lex UriServ/LexUriSer v.do? uri=CELEX:31995L 0046:ES:NOT
Octubre 24 de 1995.
Parlamento Europeo y del Consejo de Europa
()
Artculo 1. Objeto de la Directiva. (.a. 24/09/08). 1. Los Estados miembros garantizarn, con arreglo a las disposiciones de la presente Directiva, la proteccin de las libertades y de los derechos fundamentales de las personas fsicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.
2. Los Estados miembros no podrn restringir ni prohibir la libre circulacin de datos personales entre los Estados miembros por motivos relacionados con la proteccin garantizada en virtud del apartado 1).
Ley de Libertad de Informacin (Freedom of Information Act FOIA-).
Rgimen en materia de prctica de acceso, uso y preservacin de la informacin, a cargo de las
http://mexico.use mbassy.gov/bbf/bf dossier_FOIA_acta
Noviembre 1 de 1996.
Congreso de los Estados Unidos de
Pgina 89 de 205
dependencias gubernamentales.
.pdf
Amrica-
(.a. 24/09/08).
Ley 19628 de 1999, Chile.
Tratamiento de datos personales en registros o bancos de datos por organismos pblicos o particulares
http://www.adalid abogados.com/ley 19.pdf
Agosto de 1999
Congreso Nacional de Chile
(.a. 24/09/08).
Ley Orgnica 15 de 1999, Espaa.
Tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente de su honor e intimidad personal y familiar.
http://www.adalid abogados.com/Ley 15.pdf
Diciembre de 1999
Cortes Generales
(.a. 24/09/08).
Ley 25326 de 2000, Argentina.
Principios generales relativos a la proteccin de datos. Derechos de los titulares de datos. Usuarios y responsables de archivos, registros y bancos de datos. Control. Sanciones. Accin de proteccin de los datos personales.
http://www.adalid abogados.com/ley 25326.pdf
Octubre de 2000
Poder Legislativo
(.a. 24/09/08).
Reglamento 45 de 2001 del Parlamento Europeo y del Consejo de la Unin Europea de Diciembre de 2000
Tratamiento de datos personales por parte de todas las instituciones y organismos comunitarios y libre circulacin de los mismos, en la medida en que dicho tratamiento se lleve a cabo para el ejercicio de actividades que pertenecen al mbito de aplicacin del Derecho comunitario
http://europa.eu/e urlex/pri/es/oj/dat/2 001/l_008/l_0082 0010112es000100 22.pdf
Enero de 2001
Parlamento Europeo y Consejo de la Unin Europea
(.a. 24/09/08).
Ley para regular las sociedades de informacin crediticia
Tiene por objeto regular la constitucin y operacin de las sociedades de informacin crediticia.
http://www.adalid abogados.com/ley sociedades.pdf
Enero de 2002
Congreso de la Unin.
(.a. 24/09/08).
Pgina 90 de 205
DIRECTIVA 2006/24/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO.
Sobre la conservacin de datos generados o tratados en relacin con la prestacin de servicios de comunicaciones electrnicas de acceso pblico o de redes pblicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE.
http://eurlex.europa.eu/Lex UriServ/LexUriSer v.do? uri=OJ:L:2006:10 5:0054:0063:ES:P DF
Marzo 15 de 2006.
Parlamento Europeo y Consejo de la Unin Europea.
(.a. 24/09/08).
ABREVIATURAS
.a. = ltimo Acceso.
4.3. DIAGNSTICO 3: INICIATIVAS Y EXPERIENCIAS NACIONALES E INTERNACIONALES EN CSIRTs

4.3.1. Introduccin
Con el rpido desarrollo de internet, las diferentes entidades del pas son cada vez ms dependientes del uso de redes pblicas, volviendo crtica la productividad y estabilidad de las infraestructuras nacionales que componen esta nueva e-economa emergente y que as mismo, es urgente proteger. Los ataques contra las infraestructuras computacionales estn aumentando de frecuencia, en sofisticacin y en escala. Esta amenaza cada vez mayor requiere un acercamiento y colaboracin con las varias organizaciones pblicas, privadas y la academia, que tomen el papel de liderazgo y coordinacin con el apoyo total del gobierno tanto a nivel central como territorial. Para tratar esta necesidad urgente, se propone el establecimiento de un grupo llamado CERT Colombia que tendra un foco operacional en la atencin de emergencias de seguridad informtica para las transacciones en lnea del pas, con una permanente colaboracin nacional e internacional. Cmo consultar este captulo: Este documento presenta de manera general y prctica como se estructura el CSIRT Colombiano, incluyendo los siguientes aspectos:
Pgina 91 de 205
Se incluye un marco de referencia donde se define lo que es un CSIRT, los beneficios que trae contar con uno y se hace una relacin de algunas iniciativas y experiencias nacionales e internacionales consideradas para el desarrollo de este documento. Se presenta la definicin general del CSIRT, el tipo de entidad que se recomienda constituir, su misin, visin, objeto social, representacin legal, la relacin con otras entidades y el portafolio de potenciales productos y los objetivos y metas estratgicos definidos para su adecuado control y gestin. Se considera un potencial portafolio de productos y servicios que hagan auto sostenible la operacin el CSIT Colombiano. Se definen las polticas, procesos y procedimientos que sostengan la operacin de la entidad, haciendo una articulacin del modelo de seguridad con la NTC-GP 1000, MECI e ISO 9000. Se desarrolla un plan de mercadeo a cinco aos que permita lograr el posicionamiento del CSIRT Colombiano en la industria de la seguridad informtica tanto a nivel nacional como internacional. Se incluye un plan de gestin humana considerando una estructura organizacional propuesta, las competencias requeridas para cada rol, el modelo de contratacin y Capacitacin del talento humano del CSIRT Colombiano. Se define un plan de tecnologa considerando el software, el hardware, las redes y comunicaciones necesarios para soportar la operacin de los procesos definidos. Se establece una estrategia de implementacin considerando los diferentes grupos o universos objetivos y las fases requeridas para cada grupo con sus incentivos, cronogramas, costos. Se define el plan financiero donde se considera una poltica de inversiones y de financiacin, una estrategia de costos, inversiones y funcionamiento y un modelo de ingresos. Se identifican las oportunidades de exportacin de los productos y servicios establecidos, para afianzar el posicionamiento internacional y la auto sostenibilidad del negocio.
4.3.2.
QU ES UN CSIRT
El trmino CSIRT significa Computer Security Incident Response Team (Equipo de Respuesta a Incidentes de Seguridad Informtica), y ha sido acuado respondiendo simultneamente a diferentes abreviaturas usadas para denotar a nivel mundial este tipo de equipos:
Pgina 92 de 205
CSIRT (Computer Security Incident Response Team / Equipo de Respuesta a Incidentes de Seguridad Informtica): Trmino usado en Europa. CERT o CERT/CC (Computer Emergency Response Team / Coordination Center, equipo de respuesta a emergencias informticas / Centro de coordinacin): Trmino registrado en los Estados Unidos de Amrica por el CERT Coordination Center (CERT/CC). IRT (Incident Response Team / Equipo de respuesta a incidentes). CIRT (Computer Incident Response Team / Equipo de respuesta a incidentes informticos). SERT (Security Emergency Response Team / Equipo de respuesta a emergencias de seguridad).
Un CSIRT es un equipo de expertos en seguridad informtica que pretenden responder a los incidentes de seguridad relacionados con la tecnologa de la informacin y a recuperarse despus de sufrir uno de estos incidentes. Para minimizar los riesgos tambin se ofrecen servicios preventivos y educativos relacionados con vulnerabilidades de software, hardware o comunicaciones y se informa a la comunidad sobre los potenciales riesgos que toman ventaja de las deficiencias de la seguridad.
4.3.3.
ANTECEDENTES
Durante la segunda mitad de los aos ochenta se vio la red Arpanet salir de la fase de I&D y convertirse en una realidad prctica bajo el impulso del mundo universitario y desarrollada por el DoD (el Departamento de Defensa estadounidense). La eficacia y la constante mejora de los distintos servicios, entre los cuales se cuenta el correo electrnico, rpidamente hicieron que esta red sea indispensable para numerosos sitios. En noviembre de 1988, un estudiante de la Universidad de Cornell lanz en esta red un programa que se propagaba y se replicaba solo. Este programa, conocido con el nombre de gusano de Internet, aprovechaba distintos fallos de seguridad del sistema Unix (el sistema operativo de la mayora de los ordenadores conectados en la red). Aunque no fue programado con malas intenciones, este primer virus informtico, se propag rpidamente obstruyendo al mismo tiempo las mquinas infectadas por mltiples copias del gusano. En ese entonces, la red constaba de aproximadamente 60.000 ordenadores. Con slo el 3 o 4 % de las mquinas contaminadas, la red estuvo totalmente indisponible durante varios das, hasta que se tomaron medidas cautelares (incluyendo la desconexin de numerosas mquinas de la red). Para eliminar este gusano de Internet, se cre un equipo de anlisis ad hoc con expertos del MIT, de Berkley, Purdue. Se reconstituy y analiz el cdigo del virus, lo cual permiti, por una parte, identificar y corregir los fallos del sistema operativo, y por otra parte, desarrollar y difundir mecanismos de erradicacin. Despus de este incidente, el director de obras de Arpanet, la DARPA (Defense Advanced Research Projects Agency), decidi instalar una estructura permanente, el CERT Coordination Center (CERT/CC) parecido al equipo reunido para resolver el incidente.
Pgina 93 de 205
Este incidente actu como una alarma e impuls la necesidad de cooperacin y coordinacin multinacional para enfrentarse este tipo de casos. En este sentido, la DARPA (Defence Advanced Research Projects Agency / Agencia de Investigacin de Proyectos Avanzados de Defensa) cre el primer CSIRT: El CERT Coordination Center (CERT/CC 1), ubicado en la Universidad Carnegie Mellon, en Pittsburgh (Pensilvania, USA). Poco despus el modelo se adopt en Europa, y en 1992 el proveedor acadmico holands SURFnet puso en marcha el primer CSIRT de Europa, llamado SURFnet-CERT 2. El nmero de CSIRTs continu creciendo, cada uno con su propio propsito, financiacin, divulgacin y rea de influencia. La interaccin entre estos equipos experiment dificultades debido a las diferencias en lengua, zona horaria y estndares o convenciones internacionales. Siguieron otros muchos equipos, y en la actualidad existen ms de 100 equipos reconocidos alrededor del mundo. Con el tiempo, los CERT ampliaron sus capacidades y pasaron de ser una fuerza de reaccin a prestadores de servicios de seguridad completos que incluyen servicios preventivos como alertas, avisos de seguridad, formacin y servicios de gestin de la seguridad. Pronto el trmino CERT se consider insuficiente, y a finales de los aos noventa se acu el trmino CSIRT. En la actualidad, ambos trminos (CERT y CSIRT) se usan como sinnimos. Internet comenz su vertiginoso crecimiento y muchas compaas comenzaron a confiar en Internet sus transacciones diarias. As mismo, los CSIRTs continuaron creciendo alrededor del globo, soportando gobiernos enteros u organizaciones multinacionales. Desde ese entonces, Internet ha seguido creciendo hasta llegar a ser la red que se conoce actualmente, con una multiplicacin rpida de las mquinas conectadas (varios millones) y de las fuentes de agresin.
4.3.4.
BENEFICIOS DE CONTAR CON UN CSIRT
Disponer de un equipo dedicado a la seguridad de las TI ayuda a las organizaciones a mitigar y evitar los incidentes graves y a proteger su patrimonio. Otros posibles beneficios son: Disponer de una coordinacin centralizada para las cuestiones relacionadas con la seguridad de las TI dentro de la organizacin (punto de contacto). Reaccionar a los incidentes relacionados con las TI y tratarlos de un modo centralizado y especializado.
CERT-CC. Tomado de: http://www.cert.org. U.A: 2008/09/26. Publicado por: Software Engineering
Institute - Carnegie Mellon University. Autor: No determinado

2
SURFnet-CERT. Tomado de: http://www.surfnet.nl/en/Pages/default.aspx. U.A: 2008/09/26. Publicado
por: SURFnet network. Autor: No determinado

Pgina 94 de 205
Tener al alcance de la mano los conocimientos tcnicos necesarios para apoyar y asistir a los usuarios que necesitan recuperarse rpidamente de algn incidente de seguridad. Tratar las cuestiones jurdicas y proteger las pruebas en caso de pleito. Realizar un seguimiento de los progresos conseguidos en el mbito de la seguridad. Fomentar la cooperacin en la seguridad de las TI entre los clientes del grupo atendido (sensibilizacin).
4.3.5.
ALGUNAS INICIATIVAS Y EXPERIENCIAS ALREDEDOR DEL MUNDO
En la actualidad existen mltiples organizaciones que usan el nombre CERT - Computer Emergency Response Team (Equipo de Respuesta a Emergencias de Computacin) o CSIRT (trmino genrico de significado equivalente). A continuacin se presentan algunas de estas experiencias como primer paso fundamental para la definicin de una propuesta de creacin del CSIRT Colombiano (.a = 30/09/2008).
Nombre del Documento CSIRT Handbook CSIRT FAQ Incident Management Capability Metrics Incident Management Mission Diagnostic Method State of the Practice of Computer Security Incident Response Teams The Real Secrets of Incident Management The Real Secrets of Incident Management Incident Response SHight Improving CSIRT Communication Through Standardized and Secured Information Exchange Limits to Effectiveness in Computer Security Incident Response Teams eCSIRT.net Deliverable Common Language Specification &
Resumen Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General de CSIRT Teora General de CSIRT Teora General de CSIRT Teora General de CSIRT en temas en temas en temas en temas
Enlace http://www.cert.org/ http://www.cert.org/ http://www.cert.org/ http://www.cert.org/
Fuente CSIRT - Handbook.pdf CSIRT FAQ.doc 07tr008 - Incident Management Capability Metrics Version 0.1.pdf 08tr007 - Incident Management Mission Diagnostic Method, Version 1.0.pdf State of the Practice of Computer Security Incident Response Teams.pdf The Real Secrets of Incident Management.pdf The Real Secrets of Incident Management.MP3 Incident_Response_SHight.pdf Thesis.pdf
http://www.cert.org/ http://www.cert.org/ http://www.cert.org/ http://www.rediris.es/cert/links/csirt.es .html http://www.tesink.org/thesis.pdf
Teora General en temas de CSIRT Teora General en temas de CSIRT
https://www.cert.org/archive/pdf/Limit s-to-CSIRT-Effectiveness.pdf http://www.ecsirt.net/cec/service/docu ments/wp2-common-language.pdf
Limits-to-CSIRTEffectiveness.pdf wp2-common-language.pdf
Pgina 95 de 205
Nombre del Documento Guideline to Application of the Common Language part (i) eCSIRT.net Deliverable1 Guideline to Application of the Common Language part (ii) Seguridad Informtica para Administradores de Redes y Servidores Seguridad Informtica para Administradores de Redes y Servidores Helping prevent information security risks in the transition to integrated operations State of the Practice of Computer Security Incident Response Teams (CSIRTs) Expectations for Computer Security Incident Response Site Security Handbook Guidelines for Evidence Collection and Archiving Why do I need a CSIRT? Description of the different kinds of CSIRT environments Informe del relator del sptimo perodo ordinario de sesiones del Comit Interamericano Contra el Terrorismo Adopcin de una estrategia interamericana integral para combatir las amenazas a la seguridad ciberntica: Un enfoque multidimensional y multidisciplinario para la creacin de una cultura de seguridad ciberntica Puesta en marcha del CSIRT y Gestin de Seguridad de la Informacin de ANTEL FIRST - Forum for Incident Response and Security Teams ENISA - European Network and Information Security Agency APCERT (Asia Pacific Computer Emergency Response Team) CERT Coordination Center de la Universidad Carnegie Mellon Alemania - CERT-Bund Resumen Enlace Fuente
Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT Teora General en temas de CSIRT Antecedentes de los CSIRT
http://www.ecsirt.net/cec/service/docu ments/wp2-and-3-guideline.pdf http://www.arcert.gov.ar/ncursos/mate rial/Seg-adm-6p.pdf http://www.arcert.gov.ar/cursos/seguri dad_adm/Seguridad%20para %20Administradores.pdf http://www.telenor.com/telektronikk/v olumes/pdf/1.2005/Page_029-037.pdf http://www.rediris.es/cert/links/csirt.es .html http://www.ietf.org/rfc/rfc2350.txt http://www.ietf.org/rfc/rfc2196.txt http://www.ietf.org/rfc/rfc3227.txt http://www.terena.org/activities/tfcsirt/meeting9/jaroszewski-assistancecsirt.pdf http://www.enisa.europa.eu/cert_guide /pages/05_01_04.htm http://scm.oas.org/pdfs/2007/CICTE00 188E.pdf
wp2-and-3-guideline.pdf
Seg-adm-6p.pdf Seguridad%20para %20Administradores.pdf Page_029-037.pdf
03tr001 - State of the Practice of Computer Security Incident Response Teams.pdf Expectations for Computer Security Incident Response.doc Site Security Handbook.doc Guidelines for Evidence Collection and Archiving.doc jaroszewski-assistancecsirt.pdf Description of the different kinds of CSIRT environments.docs CICTE00188E.pdf
Antecedentes de los CSIRT
http://dgpt.sct.gob.mx/fileadmin/ccp1/ redes/doc._472-04.doc
doc._472-04.doc
Antecedentes de los CSIRT Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo Experiencias en el
http://jiap.org.uy/jiap/JIAP2007/Present aciones%20Jiap%202007/ANTEL.pdf http://www.first.org/ http://www.enisa.europa.eu/cert_ guide/downloads/CSIRT_setting_u p_guide_ENISA-ES.pdf http://www.apcert.org/ http://www.cert.org/ http://www.bsi.bund.de/certbund/

Pgina 96 de 205
Antel.pdf
Pgina Web Pgina Web Pgina Web Pgina Web Pgina Web
Nombre del Documento Arabia Saudita - CERT-SA (Computer Emergency Response Team - Saudi Arabia) Argentina - ArCERT (Computer Emergency Response Team of the Argentine Public) Australia - AusCERT (Australia Computer Emergency Response Team) Austria - CERT.at (Computer Emergency Response Team Austria) Brasil - CERT.br (Computer Emergency Response Team Brazil) Canad - PSEPC (Public Safety Emergency Preparedness Canada) Chile CSIRT-GOV Chile - CLCERT China - CNCERT/CC (National Computer Network Emergency Response Technical Team) Corea del Sur - KrCERT/CC (CERT Coordination Center Korea) Dinamarca DK.CERT (Danish Computer Emergency Response Team) Emiratos rabes Unidos aeCERT (The United Arab Emirates Computer Emergency Response Team) Espaa - ESCERT (Equipo de Seguridad para la Coordinacin de Emergencias en Redes Telemticas) Espaa IRIS-CERT (Universidades) Espaa - CCN-CERT (Cryptology National Center - Computer Security Incident Response Team) Espaa - INTECO-CERT (Centro de Respuestas a Incidentes en TI para PYMES y Ciudadanos) Estados Unidos - US-CERT (United States - Computer Emergency Readiness Team) Estonia CERT-EE Filipinas - PH-CERT (Philippines Computer Emergency Response Team) Resumen Mundo Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo Enlace http://www.cert.gov.sa/ Fuente Pgina Web
http://www.arcert.gov.ar/
Pgina Web
http://www.auscert.org.au/
Pgina Web
www.cert.at http://www.cert.br http://www.psepcsppcc.gc.ca/prg/em/ccirc/index-en.asp http://www.csirt.gov.cl/ http://www.clcert.cl http://www.cert.org.cn/english_web/
Pgina Web Pgina Web Pgina Web Pgina Web Pgina Web Pgina Web
http://www.krcert.or.kr/ https://www.cert.dk/
Pgina Web Pgina Web
http://www.aecert.ae/
Pgina Web
Experiencias en el Mundo
http://escert.upc.edu/index.php/w eb/es/index.html
Pgina Web
Experiencias en el Mundo Experiencias en el Mundo
http://www.rediris.es/cert/ https://www.ccn-cert.cni.es/
Pgina Web Pgina Web
Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo Experiencias en el Mundo
http://www.inteco.es/rssRead/Seg uridad/INTECOCERT http://www.us-cert.gov
Pgina Web
Pgina Web
http://www.ria.ee/?id=28201 http://www.phcert.org/
Pgina Web Pgina Web
Pgina 97 de 205
Nombre del Documento Francia-CERTA (Centre d'Expertise Gouvernemental de Rponse et de Traitement des Attaques informatiques) Hong Kong - HKCERT (Hong Kong Computer Emergency Response Coordination Centre) Hungra - CERT-Hungria India - CERT-In Japan - JPCERT/CC (JP CERT Coordination Center) Mxico UNAM-CERT Nueva Zelandia CCIP (Centre for Critical Infrastructure Protection) Holanda - GOVCERT.NL Polonia - CERT Polska (Computer Emergency Response Team Polska) Qatar - Q-CERT (Qatar CERT) Reino Unido - GovCertUK Resumen Experiencias en el Mundo Enlace http://www.certa.ssi.gouv.fr/ Fuente Pgina Web
Experiencias en el Mundo Experiencias Mundo Experiencias Mundo Experiencias Mundo Experiencias Mundo Experiencias Mundo en el en el en el en el en el
http://www.hkcert.org/
Pgina Web
http://www.cert-hungary.hu/ http://www.cert-in.org.in/ http://www.jpcert.or.jp/ http://www.cert.org.mx/index.htm l http://www.ccip.govt.nz/ http://www.govcert.nl/ http://www.cert.pl/ http://www.qcert.org www.govcertuk.gov.uk www.cpni.gov.uk http://www.singcert.org.sg/ http://www.cert.lk/ http://www.ansi.tn/en/about_certtcc.htm http://www.cert.gov.ve/
Pgina Web Pgina Web Pgina Web Pgina Web Pgina Web Pgina Web Pgina Web Pgina Web Pgina Web Pgina Web Pgina Web Pgina Web Pgina Web
Experiencias en el Mundo Experiencias en el Mundo Experiencias Mundo Experiencias Mundo Experiencias Mundo Experiencias Mundo Experiencias Mundo Experiencias Mundo en el en el en el en el en el en el
Singapur SingCERT (Singapore CERT) Sri Lanka SLCERT Tnez - CERT-TCC (Computer Emergency Response Team - Tunisian Coordination Center) Venezuela CERT.ve (VenCERT - Centro de Respuestas ante Incidentes Telemticos del Sector Pblico) EXPERIENCIAS o antecedentes EN COLOMBIA Comit Interamericano Contra el Terrorismo de la OEA (CICTE) CSIRT COLOMBIA Developing an Effective Incident Cost Analysis Mechanism Incident Cost Analysis and Modeling Project Incident Cost Analysis and Modeling Project I-CAMP II Defining Incident Management Processes for CSIRTs Benchmarking CSIRT work Processes
Experiencias en el Mundo
Pgina Web
Experiencias en el Mundo Experiencias en el Mundo Experiencias en Colombia Aspectos Financieros de un CSIRT Aspectos Financieros de un CSIRT Aspectos Financieros de un CSIRT Procesos de un CSIRT Procesos de un CSIRT
http://www.udistrital.edu.co/comunida d/grupos/arquisoft/colcsirt/?q=colcsirt http://www.cicte.oas.org/Rev/ES/Event s/Cyber_Events/CSIRT%20training %20course_Colombia.asp http://www.udistrital.edu.co/comunida d/grupos/arquisoft/colcsirt/?q=colcsirt http://www.securityfocus.com/infocus/ 1592 http://www.cic.uiuc.edu/groups/ITSecu rityWorkingGroup/archive/Report/ICAM PReport1.pdf http://www.cic.uiuc.edu/groups/ITSecu rityWorkingGroup/archive/Report/ICAM PReport2.pdf http://www.cert.org/ http://www.hig.no/index.php/content/d ownload/3302/70468/file/Kj
Pgina Web ENISA work_programme_2006.pdf CSIRT COLOMBIA.doc Developing an Effective Incident Cost Analysis Mechanism.doc ICAMPReport1.pdf ICAMPReport2.pdf 04tr015 - Defining Incident Management Processes for CSIRTs.pdf Kjrem - Benchmarking CSIRT work processes.pdf -
Pgina 98 de 205
Nombre del Documento Resumen Enlace %C3%A6rem%20-%20Benchmarking %20CSIRT%20work%20processes.pdf http://www.securityfocus.com/infocus/ 1467 http://www.first.org/conference/2006/p apers/kossakowski-klaus-papers.pdf http://www.ietf.org/rfc/rfc3013.txt http://www.cert.org/ http://www.enisa.europa.eu/cert_guide /pages/05_02.htm http://www.rediris.es/cert/links/csirt.es .html http://www.sei.cmu.edu/publications/d ocuments/03.reports/03hb001/03hb00 1chap07.html http://www.cert.org/ http://www.terena.org/activities/tfcsirt/meeting8/huopio-certfi.pdf http://www.enisa.europa.eu/doc/pdf/d eliverables/enisa_csirt_setting_up_guid e.pdf http://www.cert.org/archive/pdf/Nation alCSIRTs.pdf http://www.cert.org/ http://www.enisa.europa.eu/cert_guide /downloads/CSIRT_setting_up_guide_E NISA-ES.pdf Fuente
How to Design a Useful Incident Response Policy Effectiveness of Proactive CSIRT Services Recommended Internet Service Provider Security Services and Procedures CSIRT Services List ENISA - Possible services that a CSIRT can deliver Organizational Models for Computer Security Incident Response Teams (CSIRTs) Organizational Models for Computer Security Incident Response Teams Staffing Your Computer Security Incident Response Team CERT-FI First 12 months A step-by-step approach on how to set up a CSIRT Steps for Creating National CSIRTs Action List for Developing a CSIRT ENISA - Cmo crear un CSIRT paso a paso
Procesos de un CSIRT Productos y Servicios de un CSIRT Productos y Servicios de un CSIRT Productos y Servicios de un CSIRT Productos y Servicios de un CSIRT Estructura de un CSIRT
How to Design a Useful Incident Response Policy.doc kossakowski-klaus-papers.pdf Recommended Internet Service Provider Security Services and Procedures.doc CSIRT-services-list.pdf ENISA - Possible services that a CSIRT can deliver.doc 03hb001 - Organizational Models for Computer Security Incident Response Teams (CSIRTs) Organizational Models for Computer Security Incident Response Teams.doc Staffing Your Computer Security Incident Response Team.doc huopio-certfi.pdf enisa_csirt_setting_up_guide.p df NationalCSIRTs.pdf Action List for Developing a CSIRT.pdf CSIRT_setting_up_guide_ENISA -ES.pdf
Estructura de un CSIRT Estructura de un CSIRT Modelo de Negocio de un CSIRT Modelo de Negocio de un CSIRT Modelo de Negocio de un CSIRT Modelo de Negocio de un CSIRT Modelo de Negocio de un CSIRT
4.3.5.1. 4.3.5.1.1.
FIRST - Forum for Incident Response and Security Teams 3 Antecedentes
El Foro de Equipos de Seguridad para Respuesta a Incidentes - FIRST es la primera organizacin global reconocida en respuesta a incidentes, tanto de manera reactiva como proactiva. FIRST fue formado en 1990 en respuesta al problema del gusano de internet que atac en 1988. Desde entonces, ha continuado creciendo y desarrollndose en respuesta a las necesidades que cambiaban de los equipos de la respuesta y de la seguridad del incidente. 4.3.5.1.2. Servicios Ofrecidos
FIRST rene una variedad de equipos de respuesta de incidentes de seguridad informtica para entidades gubernamentales, comerciales y acadmicas. FIRST busca fomentar la
Tomado de: http://www.first.org/. U.A: 2008/09/26. Publicado por: FIRST.ORG, Inc. Autor: No
determinado.
Pgina 99 de 205
cooperacin y coordinacin en la prevencin de incidentes, estimular la reaccin rpida a los incidentes y promover el compartir informacin entre los miembros y la comunidad. FIRST proporciona adicionalmente servicios de valor agregado tales como: Acceso a documentos actualizados de mejores prcticas. Foros tcnicos para expertos en seguridad informtica. Clases Conferencia Anual Publicaciones y webservices Grupos de inters especial 4.3.5.1.3. Estructura
FIRST funciona bajo de un marco operacional, que contiene los principios que gobiernan y las reglas de funcionamiento de alto nivel para la organizacin. Sin embargo, FIRST no ejercita ninguna autoridad sobre la organizacin y la operacin de los equipos individuales miembros. Comit de Direccin: El Comit de Direccin es un grupo de individuos responsables de la poltica de funcionamiento general, de procedimientos y de materias relacionadas que afectan a FISRT en su totalidad. Nombre Derrick Scholl (Chair) Ken van Wyk (Vice-Chair) Chris Gibson (Treasurer) Peter Allor Yurie Ito Scott McIntyre Francisco Jesus Monserrat Coll Tom Mullen Steve Adegbite Arnold Yoon Entidad Sun Microsystems, USA KRvW Associates, LLC, USA Citigroup, USA/UK IBM ISS, USA JPCERT/CC, Japan KPN-CERT, NL RedIRIS, Spain British Telecom, UK Microsoft, USA KrCERT/CC, Korea Vigencia 2008-2010 2007-2009 2008-2010 2008-2010 2007-2009 2008-2010 2007-2009 2007-2009 2008-2010 2007-2009
Junta Directiva: La Junta Directiva es un grupo de individuos responsables de la poltica de funcionamiento general, de procedimientos, y de materias relacionadas que afectan la organizacin FIRST en su totalidad.
Pgina 100 de 205
Secretara: La secretara sirve como punto administrativo para FIRST y proporciona un contacto general. Equipos Miembros: Los equipos de la respuesta del incidente que participan en FIRST representan las organizaciones que asisten a la comunidad de la tecnologa de informacin o a entidades gubernamentales que trabajan en la prevencin y manipulacin de incidentes de seguridad informtica. Enlaces: Individuos o representantes de organizaciones con excepcin de los equipos CSIRT que tienen un inters legtimo en y lo valoran a FIRST. Comits: El Comit de Direccin de FIRST establece los comits temporales ad hoc requeridos para alcanzar mejor las metas. 4.3.5.1.4. rea de Influencia
FIRST est una confederacin internacional de los equipos de respuesta a incidente informticos que de manera cooperativa manejan incidentes de la seguridad y promueven programas de la prevencin del incidente, anima y promueve el desarrollo de productos, polticas y servicios de la seguridad, desarrolla y promulga las mejores prcticas de la seguridad y promueve la creacin y expansin de los equipos de incidente alrededor del mundo. Los miembros de FIRST desarrollan y comparten informacin tcnica, herramientas, metodologas, procesos y mejores prcticas y utilizan su conocimiento, habilidades y experiencia combinados para promover un ambiente electrnico global ms seguro. FIRST tiene actualmente ms de 180 miembros, extienda por frica, las Amricas, Asia, Europa y Oceana. Los siguientes son los equipos CSIRT distribuidos alrededor del mundo, donde Colombia an no hace parte:
Pgina 101 de 205
Ilustracin 1: Pases con CSIRTs Miembros de FIRST CSIRT AAB GCIRT ACERT ACOnet-CERT AFCERT ARCcert ASEC AT&T AboveSecCERT Apple ArCERT AusCERT Avaya-GCERT BCERT BELNET CERT BFK BIRT BMO ISIRT BP DSAC BTCERTCC BadgIRT Bell IPCR Nombre Oficial del CSIRT ABN AMRO Global CIRT Army Emergency Response Team ACOnet-CERT Air Force CERT The American Red Cross Computer Emergency Response Team AhnLab Security E-response Center AT&T Above Security Computer Emergency Response Team Apple Computer Computer Emergency Response Team of the Argentine Public Administration Australian Computer Emergency Response Team Avaya Global Computer Emergency Response Team Boeing CERT BELNET CERT BFK edv consulting BrandProtect IRT BMO InfoSec Incident Response Team BP Digital Security Alert Centre British Telecommunications CERT Co-ordination Centre University of Wisconsin-Madison Bell Canada Information Protection Centre (IPC) Response
Pgina 102 de 205
CSIRT Bunker CAIS/RNP CARNet CERT CC-SEC CCIRC CCN-CERT CERT POLSKA CERT TCC CERT-Bund CERT-FI CERT-Hungary CERT-IT CERT-In CERT-Renater CERT-TCC CERT-VW CERT.at CERT.br CERT/CC CERTA CERTBw CFC CGI CIRT CIAC CLCERT CMCERT/CC CNCERT/CC CSIRT ANTEL CSIRT Banco Real CSIRT.DK CSIRTUK Cert-IST Cisco PSIRT Cisco Systems Citi CIRT ComCERT CyberCIRT
Nombre Oficial del CSIRT The Bunker Security Team Brazilian Academic and Research Network CSIRT CARNet CERT Cablecom Security Team Canadian Cyber Incident Response Centre CCN-CERT (Spanish Governmental National Cryptology Center - Computer Security Incident Response Team) Computer Emergency Response Team Polska TDBFG Computer Security Incident Response Team CERT-Bund CERT-FI Hungarian governmental Computer Emergency Response Team CERT Italiano Indian Computer Emergency Response Team CERT-Renater Computer Emergency Response Team Tunisian Coordination Center CERT-VW CERT.at Computer Emergency Response Team Brazil CERT Coordination Center CERT-Administration Computer Emergency Response Team Bundeswehr Cyber Force Center CGI Computer Incident Response Team US Department of Energy's Computer Incident Advisory Capability Chilean Computer Emergency Response Team China Mobile Computer Network Emergency Response Technical Team /Coordination Center National Computer Network Emergency Response Technical Team / Coordination Center of China ANTEL's Computer and Telecommunications Security Incident Response Centre Real Bank Brazil Security Incident Response Team Danish Computer Security Incident Repsonse Team CSIRTUK CERT France Industries, Services & Tertiaire Cisco Systems Product Security Incident Response Team Cisco Systems CSIRT Citi CIRT Commerzbank CERT Cyberklix Computer Incident Response Team
Pgina 103 de 205
CSIRT DANTE DCSIRT DFN-CERT DIRT DK-CERT E-CERT EDS EMC ESACERT ETISALAT-CERT EWA-Canada/CanCERT EYCIRT Ericsson PSIRT FSC-CERT FSLabs Funet CERT GD-AIS GIST GNS-Cert GOVCERT.NL GTCERT Goldman Sachs GovCertUK HIRT HKCERT HP SSRT IBM IIJ-SECT ILAN-CERT ILGOV-CERT ING Global CIRT IP+ CERT IPA-CERT IRIS-CERT IRS CSIRC Infosec-CERT Intel FIRST Team JANET CSIRT JPCERT/CC
Nombre Oficial del CSIRT Delivery of Advanced Network Technology to Europe Limited Diageo CSIRT DFN-CERT DePaul Incident Response Team Danish Computer Emergency Repsonse Team Energis Computer Emergency Response Team EDS EMCs Product Security Response Center ESA Computer and Communications Emergency Response Team ETISALAT Computer Emergency Response EWA-Canada / Canadian Computer Emergency Response Team Ernst & Young Computer Incident Response Team Ericsson Product Security Incident Response Team CERT of Fujitsu-Siemens Computers F-Secure Security Labs Funet CERT General Dynamics AIS Google Information Security Team GNS-Cert GOVCERT.NL Georgia Institute of Technology CERT Goldman, Sachs and Company CESGs Government Computer Emergency Response Team Hitachi Incident Response Team Hong Kong Computer Emergency Response Team Coordination Centre HP Software Security Response Team IBM IIJ Group Security Coordination Team Israeli Academic CERT Israel governmental computer emergency response team ING Global CIRT IP-Plus CERT IPA-CERT IRIS-CERT IRS (Internal Revenue Service) Computer Security Incident Response Team Infosec Computer Emergency Response Team Intel FIRST Team JANET CSIRT JPCERT Coordination Center
Pgina 104 de 205
CSIRT JPMC CIRT JSOC Juniper SIRT KFCERT KKCSIRT KMD IAC KN-CERT KPN-CERT KrCERT/CC LITNET CERT MCERT MCI MCIRT MFCIRT MIT Network Security MLCIRT MODCERT MSCERT MyCERT NAB ITSAR NASIRC NCIRC CC NCSA-IRST NCSIRT NGFIRST NIHIRT NISC NIST NN FIRST Team NORDUnet NTT-CERT NU-CERT NUSCERT Nokia-NIRT NorCERT ORACERT OS-CIRT OSU-IRT OxCERT
Nombre Oficial del CSIRT JPMorgan Chase Computer Incident Response Team Japan Security Operation Center Juniper Networks Security Incident Response team Korea Financial Computer Emergency Response Team Kakaku.com Security Incident Response Team KMD Internet Alarm Center Korea National Computer Emergency Response Team Computer Emergency Response Team of KPN KrCERT/CC LITNET CERT Motorola Cyber Emergency Response Team MCI, Inc. Metavante Computer Incident Response Team McAfee Computer Incident Response Team Massachusetts Institute of Technology Network Security Team Merrill Lynch Computer Security Incident Response Team MOD Computer Emergency Response Team Microsoft Product Support Services Security Team Malaysian Computer Emergency Response Team National Australia Bank - IT Security Assessments and Response NASA Incident Response Center NATO Computer Incident Response Capability - Coordination Center National Center for Supercomputing Applications IRST NRI SecureTechnologies Computer Security Incident Response Team Northrop Grumman Corporation FIRST NIH Incident Response Team National Information Security Center NIST IT Security Nortel FIRST Team NORDUnet NTT Computer Security Incident Response and Readiness Coordination Team Northwestern University NUS Computer Emergency Response Team Nokia Incident Response Team Norwegian Computer Emergency Response Team Oracle Global Security Team Open Systems AG Computer Incident Response Team The Ohio State University Incident Response Team Oxford University IT Security Team
Pgina 105 de 205
CSIRT PRE-CERT PSU Pentest Q-CERT Q-CIRT RBC FG CSIRT RBSG RM CSIRT RU-CERT RUS-CERT Ricoh PSIRT S-CERT SAFCERT SAIC-IRT SAP CERT SBCSIRT SGI SI-CERT SIRCC SITIC SKY-CERT SLCERT SUNet-CERT SURFcert SWAT SWITCH-CERT SWRX CERT Secunia Research Siemens-CERT SingCERT Sprint Stanford Sun SymCERT TERIS TESIRT TS-CERT TS/ICSA FIRST TWCERT/CC
Nombre Oficial del CSIRT PRE-CERT Pennsylvania State University Pentest Security Team Qatar CERT QinetiQ Computer Incident Response Team RBC Financial Group CSIRT Royal Bank of Scotland, Investigation and Threat Management ROYAL MAIL CSIRT CC Computer Security Incident Response Team RU-CERT Stabsstelle DV-Sicherheit der Universitaet Stuttgart Ricoh Product Security Incident Response Team CERT of the German Savings Banks Organization Singapore Armed Forces Computer Emergency Response Team Science Applications International Corporation - Incident Response Team SAP AG CERT Softbank Telecommunications Security Incident Response Team Silicon Graphics, Inc. Slovenian CERT Security Incident Response Control Center Swedish IT Incident Centre Skype Computer Emergency Response Team Sri Lanka Computer Emergency Response Team SUNet-CERT SURFcert A.P.Moller-Maersk Group IT-Security SWAT Swiss Education and Research Network CERT SecureWorks Computer Emergency Response Team Secunia Research Siemens-CERT Singapore CERT Sprint Stanford University Information Security Services Sun Microsystems, Inc. Symantec Computer Emergency Response Team Telefonica del Peru Computer Security Incidents Response Team TELMEX Security Incident Response Team TeliaSoneraCERT CC TruSecure Corporation Taiwan Computer Emergency Response Team/Coordination Center
Pgina 106 de 205
CSIRT Nombre Oficial del CSIRT TWNCERT Taiwan National Computer Emergency Response Team Team Cymru Team Cymru Telekom-CERT Telekom-CERT ThaiCERT Thai Computer Emergency Response Team UB-First UB-First UCERT Unisys CERT UGaCIRT The University of Georgia Computer Incident Response Team UM-CERT University of Michigan CERT UNAM-CERT UNAM-CERT UNINETT CERT UNINETT CERT US-CERT United States Computer Emergency Readiness Center Uchicago Network Security The University of Chicago Network Security Center VISA-CIRT VISA-CIRT VeriSign VeriSign YIRD Yahoo Incident Response Division dCERT debis Computer Emergency Response Team dbCERT Deutsche Bank Computer Emergency Response Team e-Cop e-Cop Pte Ltd e-LC CSIRT e-LaCaixa CSIRT esCERT-UPC CERT for the Technical University of Catalunya secu-CERT SECUNET CERT 4.3.5.2. 4.3.5.2.1. ENISA - European Network and Information Security Agency 4 Antecedentes
El 10 de marzo de 2004 se cre una Agencia Europea de Seguridad de las Redes y de la Informacin (ENISA)5. Su objetivo era garantizar un nivel elevado y efectivo de seguridad de las redes y de la informacin en la Comunidad Europea y desarrollar una cultura de la seguridad de las redes y la informacin en beneficio de los ciudadanos, los consumidores, las empresas y las organizaciones del sector pblico de la Unin Europea, contribuyendo as al funcionamiento armonioso del mercado interior. Desde hace varios aos, diferentes grupos
Tomado de: http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_ENISA-ES.pdf.
U.A: 2008/09/26. Publicado por: ENISA. Autor: No determinado.

5
Reglamento (CE) n 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el
que se crea la Agencia Europea de Seguridad de las Redes y de la Informacin. Una agencia europea es un rgano creado por la UE para realizar una tarea tcnica, cientfica o de gestin muy concreta perteneciente al mbito comunitario de la UE.
Pgina 107 de 205
europeos dedicados a la seguridad, como los CERT/CSIRT, los equipos de deteccin y respuesta a abusos y los WARP, colaboran para que Internet sea ms seguro. La ENISA desea apoyar el esfuerzo realizado por estos grupos aportando informacin acerca de las medidas que garantizan un nivel adecuado de calidad de los servicios. Adems, la Agencia desea potenciar su capacidad de asesorar a los Estados miembros de la UE y los rganos comunitarios en cuestiones relacionadas con la cobertura de grupos especficos de usuarios de las TI con servicios de seguridad adecuados. Por lo tanto, basndose en los resultados del grupo de trabajo ad-hoc de cooperacin y apoyo a los CERT, creado en 2005, este nuevo grupo de trabajo se encargar de asuntos relativos a la prestacin de servicios de seguridad adecuados (servicios de los CERT) a grupos de usuarios especficos. 4.3.5.2.2. Servicios Ofrecidos
Para asegurar el cumplimiento de sus objetivos segn lo precisado en su regulacin, las tareas de la agencia se enfocan en: Asesorar y asistir a los Estados miembro en temas de seguridad de la informacin y a la industria en problemas de seguridad relacionados con sus productos de hardware y de software. Recopilar y analizar datos sobre incidentes de la seguridad en Europa y riesgos emergentes. Promover mtodos de gestin de riesgo de la seguridad de la informacin.
Los principales servicios que promueven son: Servicios Reactivos Alertas y advertencias Tratamiento de incidentes Anlisis de incidentes Apoyo a la respuesta a incidentes Coordinacin de la respuesta a incidentes Respuesta a incidentes in situ Tratamiento de la vulnerabilidad Servicios Proactivos Comunicados Observatorio de tecnologa Evaluaciones o auditoras de la seguridad Configuracin y mantenimiento de la seguridad Desarrollo de herramientas de seguridad Servicios de deteccin de intrusos Difusin de Manejo de Instancias Anlisis de instancias Respuesta a las instancias Coordinacin de la respuesta a las instancias Gestin de la Calidad de la Seguridad Anlisis de riesgos Continuidad del negocio y recuperacin tras un desastre Consultora de seguridad Sensibilizacin Educacin / Formacin Evaluacin o certificacin de productos
Pgina 108 de 205
Servicios Reactivos Anlisis de la vulnerabilidad Respuesta a la vulnerabilidad Coordinacin de la respuesta a la vulnerabilidad 4.3.5.2.3. Estructura
Servicios Proactivos informacin relacionada con la seguridad
Manejo de Instancias
Gestin de la Calidad de la Seguridad
Ilustracin 2: Estructura de ENISA 4.3.5.2.4. rea de Influencia
ENISA cubre la Comunidad Econmica Europea y sus pases miembros son: Austria, Blgica, Bulgaria, Chipre, Repblica Checa, Dinamarca, Estonia, Finlandia, Francia, Alemania, Grecia, Hungra, Irlanda, Italia, Latvia, Lituania, Luxemburgo, Malta, Pases Bajos, Polonia, Portugal,
Pgina 109 de 205
Rumania, Eslovaquia, Liechtenstein. 4.3.5.3. 4.3.5.3.1.
Eslovenia,
Espaa,
Suecia,
Reino
Unido,
Noruega,
Islandia,
APCERT6 - Asia Pacific Computer Emergency Response Team Antecedentes
APCERT ha sido constituida con la misin de mantener una red de contactos de expertos en seguridad informtica en la regin Pacfica de Asia, para mejorar el conocimiento y la capacidad de la regin en lo referente a incidentes de la seguridad de la computadora. 4.3.5.3.2. Servicios Ofrecidos
Impulsar la cooperacin regional e internacional de Asia pacfica en seguridad de la informacin. Tomar medidas comunes para atender incidentes de seguridad de la red. Facilitar compartir informacin e intercambio de tecnologa, relacionada con seguridad de la informacin, virus informticos y cdigo malvolo, entre sus miembros. Promover la investigacin y colaboracin en temas del inters en sus miembros. Asistir a otros CERTs y CSIRTS en la regin para conducir respuestas eficiente y eficaz a emergencia computacionales. Generar recomendaciones de ayudar en cuestiones legales relacionadas con la respuesta a incidentes de seguridad y de emergencias informticas en la regin. 4.3.5.3.3. Estructura
Miembros de pleno derecho Equipo AusCERT BKIS CCERT CERT-En CNCERT/ CC Nombre oficial del equipo Australian Computer Emergency Response Team Bach Khoa Internetwork Security Center CERNET Computer Emergency Response Team Indian Computer Emergency Response Team National Computer network Emergency Response technical Team / Coordination Center of China Economa Australia Vietnam Repblica Popular de China India Repblica Popular de China
Tomado de: http://www.apcert.org/. U.A: 2008/09/26. Publicado por: APCERT. Autor: No determinado.
Pgina 110 de 205
Equipo HKCERT ID-CERT JPCERT /CC KrCERT/CC MyCERT PHCERT SingCERT ThaiCERT TWCERT /CC TWNCERT
Nombre oficial del equipo Hong Kong Computer Emergency Response Team Coordination Centre Indonesia Computer Emergency Response Team Japan Computer Emergency Response Team / Coordination Center Korea Internet Security Center Malaysian Computer Emergency Response Team Philippine Computer Emergency Response Team Singapore Computer Emergency Response Team Thai Computer Emergency Response Team Taiwan Computer Emergency Response Team / Coordination Center Taiwan National Computer Emergency Response Team
Economa Hong Kong, China Indonesia Japn Corea Malasia Filipino Singapur Tailandia Taipei china Taipei china
Miembros Generales
Pgina 111 de 205
de los productos, del entrenamiento, de los informes, y de los talleres para la comunidad global del Internet. El centro de coordinacin del CERT (CERT/CC), es uno de los grupos con mayor reconocimiento en el campo de los CERTs. Aunque fue establecido como equipo de respuesta a incidente, el CERT/CC se ha desarrollado ms all, centrndose en identificar las amenazas potenciales, de notificar a los administradores de sistemas y al personal tcnico acerca de dichas amenazas y de coordinar con los proveedores y los equipos CERT en todo el mundo para tratar las amenazas. 4.3.5.4.2. Servicios Ofrecidos
Las reas en las cuales puede ayudar son: Anlisis de vulnerabilidades, esperando identificar y atenuar los impactos antes de que se conviertan en una amenaza significativa de la seguridad. Una vez que se identifica una vulnerabilidad, se trabaja con los proveedores apropiados de la tecnologa para resolver la accin. Adems de identificar vulnerabilidades, previenen la introduccin de nuevas amenazas, estableciendo prcticas que los proveedores pueden utilizar mejorar la seguridad y la calidad de su software. Promueven el desarrollo de una capacidad global de la respuesta, ayudando a organizaciones y a pases a establecer los Equipos de Respuesta a Incidente de la Seguridad Informtica (CSIRTs) y trabajan con los equipos existentes para coordinar la comunicacin y la respuesta durante acontecimientos importantes de seguridad. Examinan, catalogan y hacen ingeniera inversa sobre cdigos malvolos. Estas actividades ayudan a entender mejor cmo el cdigo trabaja y permiten que se identifiquen las tendencias y los patrones que pueden revelar vulnerabilidades explotables u otras amenazas potenciales. Promueven el intercambio de informacin referente a los servicios de seguridad: o o o o o Avisos de prevencin Actualizaciones de las actividades de seguridad Anlisis y entrenamiento en incidentes Alertas Investigacin en tendencias, amenazas y riesgos
Pgina 112 de 205
Generan intercambios Tcnicos o o o o o o Consultora, entrenamiento y desarrollo de habilidades tcnicas. Intercambios tcnicos de personal o afiliados residentes Herramienta de desarrollo y ayuda Anlisis de vulnerabilidad Anlisis de hardware Red de supervisin y anlisis
Evalan la madurez y capacidad del CSIRT Interactan para el patrocinio de FIRST y presentacin a otras organizaciones y socios estratgicos Hacen anlisis de la infraestructura crtica 4.3.5.4.3. Estructura
El Carnegie Mellon CyLab es una iniciativa universitaria, multidisciplinaria que implica ms de 200 facultades, estudiantes, y personal en Carnegie Mellon que han construido el liderazgo en tecnologa de informacin de Carnegie Mellon. Los trabajos de CyLab se centran en la coordinacin del CERT (CERT/CC), el conducir un centro reconocido internacionalmente de seguridad de Internet. A travs de su conexin al CERT/CC, CyLab tambin trabaja de cerca con US-CERT - una sociedad entre el departamento de la divisin nacional de la seguridad de la Ciberseguridad del gobierno (NCSD) y del sector privado, protegiendo la infraestructura nacional de la informacin en Estados Unidos.
Pgina 113 de 205
4.3.5.4.4.
rea de Influencia
Ilustracin 3: CERT apoyados por el Centro de Coordinacin de la Universidad Carnegie Mellon 4.3.5.5. 4.3.5.5.1. TERENA8 - Trans-European Research and Education Networking Association Antecedentes
La Asociacin Trans Europea de Redes de Investigacin y Educacin TERENA (TransEuropean Research and Education Networking Association) ofrece un foro de colaboracin, innovacin y compartir conocimiento para fomentar el desarrollo de la tecnologa, de la infraestructura y de los servicios del Internet que se utilizan por la comunidad de Investigacin y educacin. Los objetivos de TERENA se orientan a promover y participar en el desarrollo de informacin de alta calidad y de una infraestructura de telecomunicaciones internacionales en beneficio de la investigacin y de la educacin. 4.3.5.5.2. Servicios Ofrecidos
Las principales actividades de TERENA son:
Tomado de: http://www.terena.org/. U.A: 2008/09/26. Publicado por: Terena. Autor: No determinado.
Pgina 114 de 205
Proveer un ambiente de fomento de nuevas iniciativas en la investigacin en la comunidad europea para el establecimiento de una red de conocimiento. Empalmar el soporte europeo para evaluar, probar, integrar y promover nuevas tecnologas del establecimiento de una red de conocimiento. Organizar conferencias, talleres y seminarios para el intercambio de la informacin en Comunidad europea para el establecimiento de una red de investigacin y buscar transferencia del conocimiento a organizaciones menos avanzadas.
Junto con FIRST, TERENA organiza regularmente talleres de entrenamiento para los miembros de los Equipos de Respuesta al incidente de Seguridad Computacional (CSIRTs), con base en materiales desarrollados originalmente por el proyecto TRANSITS que funcion entre 2002 y 2005. TRANSITS era originalmente un proyecto financiado por la Comunidad Econmica Europea para promover el establecimiento de los equipos de la respuesta del incidente de la seguridad de la computadora (CSIRTs) tratando el problema de la escasez del personal experto en CSIRTs. Esta meta ha sido tratada proporcionando cursos de especializacin al personal de CSIRTs en temas organizacionales, operacionales, tcnicos, de mercado y temas legales implicados en el establecimiento de un CSIRT. Desde que el proyecto TRANSITS termin en septiembre de 2005, TERENA y FIRST unieron sus fuerzas para organizar talleres a travs de Europa, con la ayuda de ayuda financiera de varias organizaciones. Los talleres ms recientes han sido co-organizados y patrocinados por ENISA. 4.3.5.5.3. Estructura
La estructura de TERENA incluye: Asamblea General de TERENA Asamblea General Representantes Comit ejecutivo Tcnico de TERENA Comit Tcnico de TERENA Consejo Consultivo Tcnico Secretara
Pgina 115 de 205
4.3.5.5.4.
rea de Influencia FCCN, Portugal FUNET, Finland GARR, Italy GRNET, Greece HEAnet, Ireland HUNGARNET, Hungary IUCC, Israel JANET(UK), United Kingdom LITNET, Lithuania MARNET, FYR of Macedonia CERT-Bund9 MREN, Montenegro PCSS, Poland RedIRIS, Spain RENATER, France RESTENA, Luxembourg RHnet, Iceland RoEduNet, Romania SANET, Slovakia SigmaNet, Latvia SUNET, Sweden SURFnet, The Netherlands SWITCH, Switzerland UIIP NASB, Belarus ULAKBIM, Turkey UNI-C, Denmark UNINETT, Norway Malta, University of Malta
ACOnet, Austria AMRES - University of Belgrade, Serbia ARNES, Slovenia BELNET, Belgium BREN, Bulgaria CARNet, Croatia CESNET, Czech Republic CYNET, Cyprus DFN, Germany EENet, Estonia
4.3.5.6. Alemania Bundesbehrden) 4.3.5.6.1. Antecedentes
(Computer
Emergency
Response
Team
fr
La Oficina Federal para la Seguridad en la Tecnologa de Informacin (Bundesamt fr Sicherheit in der Informationstechnik - BSI) es la central de servicios de seguridad del gobierno y por ende, asume la responsabilidad de la seguridad de la sociedad, convirtindose en la columna bsica de la seguridad interna en Alemania. Mantiene contacto con los usuarios (administraciones pblicas, gobierno y los municipios, as como las empresas y los usuarios privados) y fabricantes de tecnologa de informacin. En Septiembre de 2001 se creo el contexto de la reorganizacin del BSI CERT-BUND (Equipo de Respuesta a Emergencias Computacionales para las autoridades federales). Los ataques de virus computacionales repetidos a las redes y sistemas, creo la necesidad de contar con un lugar central para la solucin de los problemas de la seguridad informtica, enfocados en prevenir los agujeros de seguridad en los sistemas informticos del gobierno, con reaccin siete das la semana.
Tomado de: http://www.bsi.bund.de/certbund/. U.A: 2008/09/26. Publicado por: Bundesamt fr
Sicherheit in der Informationstechnik (BSI). Autor: No determinado.

Pgina 116 de 205
4.3.5.6.2.
Servicios Ofrecidos
Entre las tareas del CERT estn: Generar y publicar recomendaciones preventivas para evitar las acciones que generen daos. Identificar puntos dbiles del hardware y software. Sugerir medidas de recuperacin de los agujeros de seguridad, Advertir situaciones especiales de amenaza relacionadas con la tecnologa de informacin. Recomendar medidas reactivas para delimitar daos. Investigar riesgos de seguridad con el uso de la tecnologa de informacin as como desarrollar las medidas de seguridad. Desarrollar criterios de prueba. Evaluar la seguridad en sistemas informacin. Ayudar de las autoridades gubernamentales en temas relacionados con la seguridad en la tecnologa de informacin. 4.3.5.6.3. Alemania 4.3.5.7. Arabia Saudita - CERT-SA10 (Computer Emergency Response Team - Saudi Arabia) 4.3.5.7.1. Antecedentes rea de Influencia
El Equipo de Respuesta a Emergencia Computacionales (CERT-SA) es un organismo sin nimo de lucro establecido para desempear un papel importante en la creacin de conocimiento, la administracin, la deteccin, la prevencin, la coordinacin y la respuesta a los incidentes de seguridad de la informacin a nivel nacional en Arabia Saudita.
10
Tomado de: determinado.
http://www.cert.gov.sa/.
U.A:
2008/09/26.
Publicado
por:CERT-SA.
Autor:
No
Pgina 117 de 205
Su misin se establece en torno a los siguientes objetivos orientados a Arabia Saudita: Incrementar el nivel de conocimiento acerca de la seguridad de la informacin. Coordinar a nivel nacional los esfuerzos para promover las mejores prcticas de la seguridad y crear confianza entre la comunidad del ciberespacio. Ayudar a manejar ataques e incidentes de la seguridad de la informacin. Ser la referencia en seguridad de la informacin para la comunidad de Ciberespacio. Construir talento y capacidad humana en el campo de la seguridad de la informacin. Proporcionar un ambiente de confianza para las e-transacciones. Fomentar la confianza, cooperacin y colaboracin entre los componentes y la cibercomunidad de Arabia Saudita. 4.3.5.7.2. Servicios Ofrecidos
Gerencia de la calidad de la seguridad o Construccin de conocimiento: Proporciona conocimiento y direccin en temas de seguridad de la informacin para una mejor adecuacin a las prcticas aceptadas en seguridad informtica, va portal, campaa y seminarios. Educacin / Entrenamiento: Provee educacin en seguridad de la informacin con el entrenamiento interno ajustado para requisitos particulares y en colaboracin con instituciones de entrenamiento.
Servicios Proactivos o Aviso: Genera alarmas de seguridad de la informacin que incluye pero no se limitado a la intrusin, advertencias de vulnerabilidad y asesoras en la seguridad a travs del portal. Difunde informacin relacionada con la seguridad.
Servicios reactivos o Alarmas y advertencia: Difunde informacin que describe intrusos, vulnerabilidades de la seguridad, alarmas de intrusin, virus informticos, bromas y establece la lnea de conducta relevante para enfrentar problemas especficos.
Pgina 118 de 205
Ayuda de la respuesta del incidente: Asiste en la recuperacin de incidentes va telfono, email, fax, o documentacin. Puede implicar asistencia tcnica en la interpretacin de los datos y orienta en estrategias de mitigacin y recuperacin . Anlisis del incidente: Examina la informacin disponible y evidencia de soporte relacionados con un incidente, con el fin de identificar el alcance del incidente, el grado del dao causado por el incidente, la naturaleza del incidente y las estrategias de respuesta. rea de Influencia
4.3.5.7.3.
Arabia Saudita 4.3.5.8. 4.3.5.8.1. Argentina - ArCERT11 (Coordinacin de Emergencias en Redes Teleinformticas) Antecedentes
En el ao 1999, la Secretara de la Funcin Pblica de la Jefatura de Gabinete de Ministros de Argentina dispuso la creacin de ArCERT, unidad de respuesta ante incidentes en redes que centraliza y coordina los esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informticos de la Administracin Pblica Nacional, es decir cualquier ataque o intento de penetracin a travs de sus redes de informacin. Adicionalmente difunde informacin con el fin de neutralizar dichos incidentes, en forma preventiva o correctiva, y capacita al personal tcnico afectado a las redes de los organismos del Sector Pblico Nacional. ArCERT comenz a funcionar en mayo de 1999 en el mbito de la Subsecretara de la Gestin Pblica, siendo sus principales funciones: Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administracin Pblica Nacional y facilitar el intercambio de informacin para afrontarlos. Proveer un servicio especializado de asesoramiento en seguridad de redes. Promover la coordinacin entre los organismos de la Administracin Pblica Nacional para prevenir, detectar, manejar y recuperar incidentes de seguridad. Actuar como repositorio de toda la informacin sobre incidentes de seguridad, herramientas y tcnicas de defensa
11
Tomado de: http://www.arcert.gov.ar/. U.A: 2008/09/26. Publicado por:Subsecretara de Tecnologa
de Gestin, Secretara de la Gestin Pblica, Argentina . Autor: No determinado.

Pgina 119 de 205
ArCERT cumple funciones de naturaleza eminentemente tcnica. No pretende investigar el origen de los ataques ni quienes son sus responsables. Corresponde al responsable de cada organismo efectuar las denuncias para iniciar el proceso de investigacin 4.3.5.8.2. Servicios Ofrecidos
Servicios: Todos los servicios que el ArCERT brinda a los Usuarios son gratuitos y no implican erogacin alguna para el Organismo representado. Acceso al Sitio Privado de ArCERT Anlisis y seguimiento de los incidentes de seguridad reportados Difusin de informacin sobre las principales fallas de seguridad en productos Recomendacin de material de lectura Asesoras sobre seguridad informtica Acceder a la utilizacin del Producto SiMoS (Sistema de Monitoreo de Seguridad) Acceso a la Base de Conocimiento de Seguridad del ArCERT Acceso a las Herramientas de Seguridad seleccionadas por el ArCERT
Servicios por Pedidos de Asistencia Especficos Instalacin y configuracin de Firewall de libre disponibilidad Instalacin y configuracin de IDS de libre disponibilidad Anlisis de la topologa de red Anlisis perimetrales y visibilidad de la red Bsqueda de vulnerabilidades en los servidores de red Recomendaciones para robustecer los Sistemas Operativos y las Aplicaciones
Productos
Pgina 120 de 205
SIMOS - Sistema de Monitoreo de Seguridad: Permite detectar las vulnerabilidades conocidas de los servidores, que brinden servicio a travs de Internet, de los organismos de la Administracin Pblica FW-APN - Firewall de libre disponibilidad para la Administracin Pblica Nacional: Solucin basada en software de libre disponibilidad, eficiente, robusta y de bajos requerimientos que cubre las necesidades de Firewall en la mayora de las redes de la Administracin Pblica Nacional. Funciona directamente desde CD-ROM. DNSar - Sistema de Anlisis de Servidores y Dominios DNS: DNSar es un software desarrollado por ArCERT para analizar los servidores y dominios DNS en busca de posibles errores de configuracin y funcionamiento. CAL - Coordinacin y Anlisis de Logs (En desarrollo): CAL es un conjunto de software, de fcil instalacin, que los organismos pueden instalar en una mquina dedicada para la deteccin de alertas de seguridad en su red. Adems, estas alertas son reenviadas a ArCERT para una visin macro de estado de seguridad de la administracin pblica. 4.3.5.8.3. Estructura
ArCERT est sustentado por un grupo de especialistas, que hoy conforman el equipo de seguridad en redes, dedicado a investigar sobre incidentes, hacking, herramientas de proteccin y deteccin, etc., con conocimientos y experiencia entre otras, en las siguientes reas: tecnologas informticas, Firewalls, seguridad en Internet Intranet, deteccin y erradicacin de intrusos, polticas y procedimientos de seguridad, administracin de riesgos, etc. Funciona en la Oficina Nacional de Tecnologas de Informacin de la Subsecretara de Tecnologas de Gestin de la Secretara de Gabinete y Gestin Pblica de la Jefatura de Gabinete de Ministros de Argentina. 4.3.5.8.4. Argentina rea de Influencia
Pgina 121 de 205
4.3.5.9. 4.3.5.9.1.
Australia - AusCERT12 (Australia Computer Emergency Response Team) Antecedentes
AusCERT es el Equipo de Respuesta a Emergencias Computacionales nacional para Australia y proporciona asesora en temas de seguridad de la informacin de la computadora, a la comunidad australiana y a sus miembros, como punto nico de contacto para ocuparse de dichos incidentes de seguridad que afectan o que implican redes australianas. AusCERT supervisa y evala amenazas globales de la red de ordenadores y las vulnerabilidades. AusCERT publica boletines de seguridad, incluyendo estrategias recomendadas de prevencin y mitigacin. AusCERT ofrece servicios de administracin de incidentes que puede ser una manera eficaz de parar un ataque en curso de la computadora o proporcionar la asesora prctica en la respuesta y recuperacin de un ataque. 4.3.5.9.2. Servicios Ofrecidos
Las organizaciones del miembro de AusCERT gozan de un nmero de servicios no disponibles al pblico en general. Estos servicios incluyen: Servicio de la deteccin temprana. Acceso va Web site a contenidos exclusivos. Entrega va email de boletines de seguridad. Acceso a Foros. Servicios de gerencia del incidente: incluyen la coordinacin del incidente y la direccin del incidente. Supervisin, evaluacin y asesora acerca de la vulnerabilidad y amenazas. Los miembros de AusCERT reciben boletines de la seguridad va email. Los no miembros pueden suscribir al servicio de alerta libre nacional. AusCERT investiga el ambiente de la seguridad del Internet para el gobierno y la industria dentro de Australia. Estructura
12
Tomado de: http://www.auscert.org.au/. U.A: 2008/09/26. Publicado por: AusCERT, The University of Queensland, Brisbane QLD 4072, Australia. Autor: No determinado.
Pgina 122 de 205
AusCERT es una organizacin independiente, sin nimo de lucro, con base en la Universidad de Queensland, como parte del rea de Servicios de Tecnologa de la Informacin. AusCERT cubre sus gastos con una variedad de fuentes incluyendo suscripciones de miembros y el entrenamiento y educacin en seguridad informtica. Es miembro activo del Foro FIRST y del Equipo de Respuesta a Emergencia Informtica de Asia Pacfico (APCERT), AusCERT tiene acceso a la informacin sobre amenazas y vulnerabilidades de la red de ordenadores que surgen de manera regional y global. 4.3.5.9.3. rea de Influencia
Australia y Asia en la regin pacfica 4.3.5.10. Austria - CERT.at13 (Computer Emergency Response Team Austria)
4.3.5.10.1. Antecedentes CERT.at es el CERT austraco nacional que comenz como un ensayo en marzo de 2008. Como el CERT nacional, CERT.at es el punto de contacto primario para la seguridad informtica en el contexto nacional. CERT.at coordina otro CERT que funciona en el rea de la infraestructura crtica o de la infraestructura de la comunicacin. En el caso de ataques en lnea significativos contra la infraestructura austraca, CERT.at coordina la respuesta de los operadores y de los equipos locales de la seguridad. 4.3.5.10.2. Servicios Ofrecidos Respuesta al incidente: CERT.at asiste al equipo de seguridad en el manejo de los aspectos tcnicos y de organizacin de incidentes. Particularmente, proporciona ayuda o asesora con respecto a los aspectos siguientes de la administracin del incidente: o o Determina si un incidente es autntico y define la prioridad requerida. Coordinacin del incidente: Investiga el incidente y toma las medidas apropiadas. Facilita el contacto con otros participantes que puedan ayudar a resolver el incidente. Resolucin del incidente. Recomienda las acciones apropiadas.
Actividades Proactivas:
13
Tomado de: www.cert.at. U.A: 2008/09/26. Publicado por: Computer Emergency Response Team Austria. Autor: No determinado.
Pgina 123 de 205
o o o o
Recopila informacin de contacto de los equipos locales de seguridad. Publica avisos referentes a amenazas serias de la seguridad. Informa acerca de tendencias en tecnologa y distribuyen conocimiento relevante. Ofrece foros para construir la comunidad e intercambiar informacin.
4.3.5.10.3. rea de Influencia Austria 4.3.5.11. Brasil - CERT.br14 (Computer Emergency Response Team Brazil)
4.3.5.11.1. Antecedentes El CERT.br es el equipo de respuesta a los incidentes de seguridad para el Internet brasileo, responsable de recibir, analizar y responder a dichos incidentes. Ms all del proceso de respuesta a los incidentes en s mismo, el CERT.br tambin acta sobre los problemas de la seguridad, la correlacin entre los acontecimientos en el Internet brasileo y de ayuda al establecimiento de nuevos CSIRTs en el Brasil. 4.3.5.11.2. Servicios Ofrecidos Los servicios dados para el CERT.br incluyen: Ser un nico punto para las notificaciones de los incidentes de seguridad, para proveer la coordinacin y la ayuda necesaria en el proceso de respuesta a los incidentes, contactando las piezas implicadas cuando sea necesario. Establecer un trabaje colaborativo con otras entidades, como el gobierno, los proveedores de acceso y servicios y de Internet; Dar apoyo al proceso de recuperacin y al anlisis de sistemas. Entrenar en la respuesta a los incidentes de seguridad, especialmente a los miembros de CSIRTs y de las instituciones que estn creando sus propios grupos.
14
Tomado de: http://www.cert.br. U.A: 2008/09/26. Publicado por: Comit Gestor da Internet no Brasil
(CGI.br). Autor: No determinado.

Pgina 124 de 205
4.3.5.11.3. rea de Influencia Brasil 4.3.5.12. Canad - PSEPC15 (Public Safety Emergency Preparedness Canada)
4.3.5.12.1. Antecedentes El Centro Canadiense de Respuesta a Ciberincidentes (CCIRC) es responsable de supervisar amenazas y de coordinar la respuesta nacional a cualquier incidente de la seguridad del ciberespacio. Su foco es la proteccin de la infraestructura crtica nacional contra incidentes. El centro es una parte del Centro de Operaciones del Gobierno y un componente importante en la preparacin de la seguridad nacional para atender emergencias en los peligros que acechan al gobierno. Las iniciativas actuales incluyen: Coordinacin de la respuesta del incidente a travs de jurisdicciones. Fomentar el compartir la informacin entre las organizaciones y las jurisdicciones Generar las advertencias en torno a la seguridad. Divulgacin de incidentes Desarrolla estndares operacionales de seguridad de la tecnologa de informacin y documentacin tcnica en temas tales como supervisin del sistema y software malvolo. Servicios de inteligencia canadienses de la seguridad: Investiga y analiza amenazas del ciberespacio a la seguridad nacional. Tambin proporciona asesora en la seguridad e inteligencia, incluyendo amenazas y la informacin de riesgos. Establecimiento de la seguridad de comunicaciones: Proporciona asesora y direccin en la proteccin del gobierno acerca de la informacin electrnica de Canad y de las infraestructuras de la informacin. Tambin ofrece ayuda tcnica y operacional a las agencias federales en la aplicacin de la Ley de Seguridad.
15
Tomado de: http://www.psepc-sppcc.gc.ca/prg/em/ccirc/index-en.asp. U.A: 2008/09/26. Publicado por:
Gobierno de Canad. Autor: No determinado.

Pgina 125 de 205
4.3.5.12.2. Servicios Ofrecidos CCIRC le proporciona los servicios a los profesionales y los encargados de la infraestructura crtica y de otras industrias relacionadas. Estos servicios se hacen sin cargo alguno: Coordinacin 7*24 y ayuda a la respuesta del incidente. Supervisin 7*24 y anlisis del ambiente de la amenaza del ciberespacio. Asesora tcnica 7*24 relacionada con seguridad de la tecnologa de informacin Construccin de la capacidad nacional (estndares, mejores prcticas, conocimiento, educacin) 4.3.5.12.3. rea de Influencia Canad 4.3.5.13. Chile CSIRT-GOV16
4.3.5.13.1. Antecedentes Tiene como propsito contribuir a asegurar el ciberespacio del Gobierno de Chile, en conformidad con lo sealado en el artculo 17 de la Agenda Digital. Su misin es constituirse como referente en materias de seguridad informtica para todos los servicios que forman parte de la administracin del Estado. CSIRT Chile es dirigido por la jefatura de la Divisin Informtica del Ministerio del Interior. 4.3.5.13.2. Servicios Ofrecidos El equipo de trabajo CSIRT Chile ofrece a los sistemas y redes gubernamentales los siguientes servicios: Monitoreo de actividades y deteccin de anomalas. Apoyo forense en respuesta a incidentes computacionales. Asesora en la generacin e implementacin de polticas y sistemas de seguridad.
16
Tomado de: http://www.csirt.gov.cl/. U.A: 2008/09/26. Publicado por: Ministerio del Interior, Palacio de
la Moneda, Santiago de Chile. Autor: No determinado.

Pgina 126 de 205
Boletines de alertas adecuadamente traducidos y adaptados a las necesidades nacionales. Asesora en la implementacin del decreto supremo 83/2004 del Ministerio Secretara General de la Presidencia. 4.3.5.13.3. Estructura
El CSIRT Chile es una unidad dependiente de la Divisin de Informtica del Ministerio del Interior. 4.3.5.13.4. rea de Influencia Chile 4.3.5.14. Chile - CLCERT17 (Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional) 4.3.5.14.1. Antecedentes El Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional CLCERT, tiene como misin monitorear y analizar los problemas de seguridad de los sistemas computacionales en Chile, y reducir la cantidad de incidentes de seguridad perpetrados desde y hacia stos. Desde comienzos de 2004, el CLCERT se auto-financia a travs de su rea de capacitacin, asesoras en la generacin de polticas pblicas concernientes a seguridad de sistemas informticos y proyectos de colaboracin con el sector productivo. Para ello, CLCERT se constituye como un punto nacional de encuentro, contacto y coordinacin entre instituciones y personas relacionadas del medio local. 4.3.5.14.2. Servicios Ofrecidos El CLCERT tiene como principales objetivos: Entregar en forma oportuna y sistemtica informacin sobre vulnerabilidades de seguridad y amenazas Divulgar y poner a disposicin de la comunidad informacin que permita prevenir y resolver estos incidentes de seguridad
17
Tomado de: http://www.clcert.cl. U.A: 2008/09/26. Publicado por: FCFM Ingeniera, Universidad de
Chile. Autor: No determinado.

Pgina 127 de 205
Educar a la comunidad en general sobre temas de seguridad, promoviendo las polticas que permiten su implementacin. CLCERT promueve el uso de Internet, los sistemas computacionales abiertos, y las tecnologas de la informacin, haciendo sus usos ms seguros y que por lo tanto gocen de la confianza de la comunidad que los utiliza. 4.3.5.14.3. Estructura
El origen del CLCERT (fines de 2001) est estrechamente ligado al del Laboratorio de Criptografa Aplicada y Seguridad (CASLab). Surge como una forma en que el CASLab se vincula con el medio local. El CLCERT y el CASLab conforman una misma unidad y comparten financiamiento, pero los mbitos de accin son distintos. El CASLab prioriza las actividades de investigacin, formacin de capital humano altamente especializado y tiene por mbitos de accin el medio acadmico principalmente internacional. El CLCERT prioriza actividades de formacin profesional, extensin, transferencia tecnolgica y tiene por principal mbito de accin el medio local. 4.3.5.14.4. rea de Influencia Chile 4.3.5.15. China - CNCERT/CC18 Technical Team) 4.3.5.15.1. Antecedentes El Equipo Tcnico Nacional de Respuesta a Emergencias de Redes Computacionales / Centro de Coordinacin de China CNCERT/CC (National Computer Network Emergency Response Technical Team / Coordination Center of China) es una organizacin funcional que opera en la Oficina de Coordinacin de Respuesta a Emergencia de Internet del Ministerio de la Industria de Informacin de China y que es responsable de la coordinacin de actividades entre todos los equipos de Respuesta a Emergencias Computacionales de China relacionadas con incidentes en las redes pblicas nacionales. CNCERT/CC fue fundado en octubre de 2000 y se hizo miembro de FIRST en agosto de 2002. CNCERT/CC form parte activa en el establecimiento de APCERT como miembro del comit de direccin de APCERT. As CNCERT/CC est parado para una nueva plataforma para una cooperacin internacional mejor y un interfaz prestigioso de la respuesta del incidente de la seguridad de la red de China. (National Computer Network Emergency Response
18
Tomado de: http://www.cert.org.cn/english_web/. U.A: 2008/09/26. Publicado por: CNCERT/CC. Autor: No determinado.
Pgina 128 de 205
4.3.5.15.2. Servicios Ofrecidos Proporciona servicios de seguridad de la red de ordenadores y brinda orientacin para el manejo de los incidentes de seguridad para las redes pblicas nacionales, los sistemas nacionales importantes y las principales organizaciones, incluyendo la deteccin, prediccin, respuesta y prevencin. Recopila, verifica, acumula y publica la informacin relacionada con la seguridad del Internet. Es tambin responsable del intercambio de la informacin y la coordinacin de acciones con organizaciones de la seguridad internacional. Recopila informacin oportuna sobre acontecimientos de seguridad. Supervisin de Incidentes: Detecte los problemas y acontecimientos severos de la seguridad a tiempo, y entrega prevenciones y apoyo a las organizaciones relacionadas. Direccin del Incidente. Anlisis de datos de los incidentes de seguridad. Recopila y mantiene la informacin bsica pertinente, incluyendo vulnerabilidades, correcciones, herramientas y las ltimas tecnologas de seguridad. Investigacin sobre las tecnologas de seguridad. Entrenamiento en seguridad: Proporciona los cursos en respuesta de la emergencia, las tecnologas requeridas, la orientacin y la construccin del CERT. Ofrece servicios de consultora tcnica en el manejo de incidentes de seguridad. Promueve el intercambio internacional, organizando CERTs locales para orientar la cooperacin y el intercambio internacionales.
Pgina 129 de 205
4.3.5.15.3. Estructura
Ilustracin 4: Estructura CNCERT/CC El CNCERT/CC hace parte del Sistema de la Red Pblica Nacional de Respuesta a Emergencias de Seguridad China:
Pgina 130 de 205
Ilustracin 5: Sistema de la Red Pblica Nacional de Respuesta a Emergencias de Seguridad China 4.3.5.15.4. rea de Influencia China
Pgina 131 de 205
4.3.5.16.
Corea del Sur - KrCERT/CC19 (CERT Coordination Center Korea)
4.3.5.16.1. Antecedentes Para hacer frente a los ataques informticos, prevenir los casos de infraccin de seguridad informtica y reducir al mnimo los posibles daos en Corea, el Centro de Seguridad del Internet de Corea ha dedicado su energa a definir las medidas y metodologa eficaces para dar respuesta tcnica a los ataques, para la proteccin de la red de comunicaciones, de la infraestructura de la red y para el refuerzo del sistema de la prediccin y de alarmas. Desde julio de 1996 se establece el equipo coreano de respuestas a la emergencia computacional llamado CERTCC-KR. En junio de 1997 se establece la Organizacin de Respuesta al Incidente en el Asia Pacfico En febrero de 1998 se establece como el primer miembro coreano en el FIRST (foro de Equipos de la Respuesta y de la Seguridad del Incidente). En diciembre de 2003 se establece el KISC (Korea Internet Security Center), con su centro de operaciones KrCERT/CC's. 4.3.5.16.2. Servicios Ofrecidos Administracin del Centro de Respuesta y Asistencia a Incidentes Anlisis de incidentes y tecnologa de soporte Establecimiento del sistema de coordinacin para respuesta a incidentes de internet. 4.3.5.16.3. Estructura Equipo de Anlisis de Incidentes: o o o o Investigacin sobre nuevas vulnerabilidades de la red y tendencias de nuevos virus. Verificacin y anlisis en vulnerabilidades de la red Anlisis en virus. Recopilacin de muestras de virus.
19
Tomado de: http://www.krcert.or.kr/. U.A: 2008/09/26. Publicado por: Korea Internet Security Center. Autor: No determinado.
Pgina 132 de 205
Establecimiento y gerencia de la base de datos de vulnerabilidades.
Equipo de Monitoreo de la Red: o Supervisin del trafico de ISPs y los Web site ms importantes nacionales o internacionales. Respuesta temprana a los incidentes, pronstico y mensajes de alerta al pblico. Atencin de respuestas y direccionamiento de incidentes que ocurren de manera local o internacional. Publicacin de reportes mensuales con estadstica y anlisis del virus
o o
Equipo de Respuesta a Hacking: o o o Investigacin sobre tcnicas y tendencias de hacking. Anlisis de casos de hacking en redes piloto. Establecimiento y gerencia de investigaciones de incidentes y del sistema del anlisis. Desarrollo y distribucin de tecnologas para enfrentar ocurrencias de hacking. Respuesta de la emergencia contra incidentes y ayuda tecnolgica
o o
Equipo de Coordinacin de Respuestas: o o o o o o Muestras incrementales para recopilar y compartir informacin. Cooperacin con FIRST para el CERT. Operacin de la oficina administrativa para APCERT y CONCERT. Recepcin de correos electrnicos de incidentes y manipulacin de ellos. Activacin del CERT nacional y establecimiento del sistema cooperativo. Participacin en la estandarizacin con respecto a incidentes del Internet.
Pgina 133 de 205
4.3.5.16.4. rea de Influencia Corea del Sur 4.3.5.17. Dinamarca DK.CERT20 (Danish Computer Emergency Response Team)
4.3.5.17.1. Antecedentes DK CERT es el equipo dans de Respuestas a Emergencias Computacionales y es de los pioneros alrededor del mundo, cuando a inicios de los aos noventa FIRST tom la iniciativa de establecer la cooperacin internacional basada en el concepto original de CERT en los E.E.U.U. Como parte del trabajo cooperativo internacional DK CERT supervisa la seguridad en Dinamarca. El objetivo de DK CERT es recopilar informacin y conocimientos tcnicos va la cooperacin en FIRST permitiendo a DK CERT publicar alarmas y otra informacin relacionada con riesgos potenciales de la seguridad. As mismo recibe informacin sobre incidentes de seguridad y coordina esfuerzos en el campo. DK CERT es un miembro del Foro de los Equipos de Respuesta y Seguridad del Incidente (FIRST). 4.3.5.17.2. Servicios Ofrecidos Consulta con respecto a incidentes de la seguridad DK CERT analiza notificaciones de las personas que se han expuesto a los incidentes de seguridad, propone soluciones a los problemas y advierte a otros que pudieron ser blancos potenciales para incidentes similares. DK CERT coordina la informacin entre las partes implicadas y otras organizaciones, tales como equipos extranjeros de respuesta y la polica. DK CERT tiene un papel consultivo y no tiene ninguna autoridad para ordenar realizar tareas. DK CERT puede actuar como intermediario de la informacin entre diversas partes que desean mantener el anonimato
20
Tomado de: https://www.cert.dk/. U.A: 2008/09/26. Publicado por: DK.CERT - Danish Computer
Emergency Response Team. Autor: No determinado.

Pgina 134 de 205
DK CERT proporciona asesora con respecto a riesgos potenciales de seguridad y ofrece la ayuda por ejemplo, para identificar el mtodo de ataque. Adems da instruccin en cmo los sistemas pueden ser restaurados y como se pueden remediar los daos posibles. 4.3.5.17.3. Estructura
DK CERT fue establecido en 1991 por el Centro para la Educacin y la Investigacin Danes UNI-C, bajo el Ministerio Dans de la Educacin, por uno de los primeros casos del hacker en Dinamarca. DK CERT coordina aproximadamente 10.000 incidentes de seguridad por ao. 4.3.5.17.4. rea de Influencia Dinamarca 4.3.5.18. Emiratos rabes Unidos aeCERT 21 (The United Arab Emirates Computer Emergency Response Team) 4.3.5.18.1. Antecedentes El Equipo de Respuesta a Emergencias Computacionales (aeCERT) es el centro de coordinacin de la seguridad del ciberespacio en los Emiratos rabes Unidos. Ha sido establecido por la Autoridad Reguladora de Telecomunicaciones (TRA) como iniciativa para facilitar la deteccin, la prevencin y la respuesta de los incidentes de la seguridad del ciberespacio en Internet. Su misin es sostener una infraestructura vigilante de las ciber amenazas de la seguridad y construir una cultura de la seguridad del ciberespacio en los Emiratos rabes Unidos. 4.3.5.18.2. Servicios Ofrecidos Ayudar en la creacin de nuevas leyes para la seguridad del ciberespacio. Recopilar conocimiento de la seguridad de la informacin de los Emiratos rabes Unidos. Construir experiencia nacional en seguridad de la informacin, administracin del incidente y la computacin forense. Proporcionar a punto central confiable de contacto para el manejo de incidentes de la seguridad del ciberespacio en los Emiratos rabes Unidos.
21
Tomado de: http://www.aecert.ae/. U.A: 2008/09/26. Publicado por: aeCERT. Autor: No determinado.
Pgina 135 de 205
Establecer un centro nacional para divulgar la informacin sobre las amenazas, vulnerabilidades e incidentes de la seguridad del ciberespacio. Fomentar el establecimiento de nuevos CSIRTs. Coordinar las operaciones entre CSIRTs domstico, internacionales y organizaciones relacionadas. 4.3.5.18.3. Estructura
Ha sido establecido por la Autoridad Reguladora de Telecomunicaciones (TRA) de los Emiratos rabes Unidos como un cuerpo consultivo que debe recomendar buenas prcticas, polticas, procedimientos y tecnologas, sin embargo sin ejercer ninguna autoridad sobre su adopcin ni responsabilidad sobre la administracin de los riesgos de la ciberseguridad. 4.3.5.18.4. rea de Influencia Emiratos rabes Unidos 4.3.5.19. Espaa - ESCERT22 (Equipo de Seguridad para la Coordinacin de Emergencias en Redes Telemticas) 4.3.5.19.1. Antecedentes A principios de la dcada de los noventa surge en Europa una iniciativa dispuesta a crear Equipos de Respuestas a Incidentes de Seguridad en Ordenadores. Gracias al apoyo del programa tcnico TERENA se empiezan a crear CSIRT europeos, es entonces cuando aparece, concretamente a finales de 1994, esCERT-UPC (Equipo de Seguridad para la Coordinacin de Emergencias en Redes Telemticas - Universidad Politcnica de Catalua) como primer centro espaol dedicado a asesorar, prevenir y resolver incidencias de seguridad en entornos telemticos. esCERT - UPC ayuda y asesora en temas de seguridad informtica y gestin de incidentes en redes telemticas. Los principales objetivos son: Informar sobre vulnerabilidades de seguridad y amenazas.
22
Tomado de: http://escert.upc.edu/index.php/web/es/index.html. U.A: 2008/09/26. Publicado por:
Equipo de Seguridad para la Coordinacin de Emergencias en Redes Telemticas. Autor: No determinado.

Pgina 136 de 205
Divulgar y poner a disposicin de la comunidad informacin que permita prevenir y resolver incidentes de seguridad. Realizar investigaciones relacionadas con la seguridad informtica. Educar a la comunidad en general sobre temas de seguridad.
De esta forma esCERT pretende mejorar la seguridad de los sistemas informticos y a su vez aumentar el nivel de confianza de las empresas y de los usuarios en las redes telemticas. 4.3.5.19.2. Servicios Ofrecidos Para llevar a cabo sus objetivos esCERT-UPC ofrece a la comunidad una serie de servicios que van desde la respuesta a incidentes a la definicin de una poltica de seguridad para las empresas, pasando por la formacin. Respuesta a Incidentes Altair (Servicio de Avisos de Vulnerabilidades) Formacin 4.3.5.19.3. Estructura esCERT es miembro de TF-CSIRT (Task Force-Collaboration of Incident Response Teams) y junto con otros equipos de seguridad como los de las compaas Telia o British Telecom. Forma parte de EPCI (European Private CERT Initiative) una agrupacin de CERTs europeos privados. Dentro de EPCI se encuentran compaas como BT, Alcacel o Siemens. esCERT en el mbito mundial participa en el FIRST, principal foro de coordinacin de los diferentes CERTs de todo el mundo. 4.3.5.19.4. rea de Influencia Espaa
Pgina 137 de 205
4.3.5.20.
Espaa IRIS-CERT23 (Servicio de seguridad de RedIRIS)
4.3.5.20.1. Antecedentes El servicio de seguridad de RedIRIS (IRIS-CERT) tiene como finalidad la deteccin de problemas que afecten a la seguridad de las redes de centros de RedIRIS, as como la actuacin coordinada con dichos centros para poner solucin a estos problemas. Tambin se realiza una labor preventiva, avisando con tiempo de problemas potenciales, ofreciendo asesoramiento a los centros, organizando actividades de acuerdo con los mismos, y ofreciendo servicios complementarios. IRIS-CERT es miembro del FIRST desde el 11 de Febrero de 1997. Adems ha sido contribuidor al piloto EuroCERT desde el 25 de Marzo de 1997 hasta la finalizacin del mismo en Septiembre de 1999. Actualmente participa activamente en el Task Force auspiciado por TERENA, TF-CSIRT, para promover la cooperacin entre CSIRTs en Europa. Los usuarios del servicio de seguridad son de tres tipos: Instituciones afiliadas a RedIRIS: Incluye universidades y otros centros de investigacin. Estos usuarios tienen derecho a todos los servicios (por definicin) y pueden participar en la coordinacin de los mismos. Otros servicios de seguridad nacionales e internacionales: IRIS-CERT acta como punto de contacto y de coordinacin de incidentes para otros servicios de seguridad. El mbito de coordinacin es toda Espaa. El mbito de representacin es todo el mundo. IRIS-CERT es miembro de FIRST, fue contribuyente del proyecto EuroCERT y actualmente participa en el Task Force de TERENA TF-CSIRT, para promover la cooperacin entre CSIRTs en Europa. IRIS-CERT tambin puede actuar de enlace con las fuerzas de seguridad del Estado (Polica y Guardia Civil), aunque no tomar accin judicial en nombre de terceros, y limitar su participacin en tales procesos a la asesora tcnica. Proveedores y usuarios de Internet en Espaa: El servicio ofrecido a stos, fuera de las instituciones de RedIRIS, se limita a lo siguiente: o o Uso de los recursos pblicos de IRIS-CERT (Servidor web, FTP, listas de correo). Atencin de incidentes de seguridad. El servicio de atencin de incidentes se ofrece a todos por igual, segn los criterios y prioridades establecidos aqu.
23
Tomado de: http://www.rediris.es/cert/. U.A: 2008/09/26. Publicado por: IRIS - CERT. Autor: No
determinado.
Pgina 138 de 205
4.3.5.20.2. Servicios Ofrecidos IRIS-CERT ofrece una serie de servicios principalmente orientados a las instituciones afiliadas a RedIRIS. Algunos de estos servicios se ofrecen, as mismo, a la comunidad de Internet. Comunidad RedIRIS o o Asesoramiento instituciones afiliadas Auditora en lnea
Comunidad de Internet o o Gestin de incidentes. Listas de Seguridad de RedIRIS
Otros Servicios de Seguridad (Servicios no especficos de IRIS-CERT) o o o Infraestructura de Clave Pblica para la comunidad RedIRIS (RedIRIS-PKI) Servidor de claves pblicas PGP Red de Sensores AntiVirus de la Comunidad Acadmica (RESACA)
EL servicio no tiene costo para quien tenga derecho a usar el servicio. No se presta servicio a nadie ms. El Plan Nacional de I+D financia una red para los investigadores, y un servicio de seguridad que garantice la integridad de la misma. La coordinacin de incidentes ajenos a RedIRIS es una tarea adicional, necesaria para llevar a cabo ese servicio. 4.3.5.20.3. Estructura IRIS-CERT funciona bajo el auspicio y con la autoridad delegada del director de RedIRIS. El IRIS-CERT espera trabajar cooperativo con los administradores y los usuarios de sistema en las instituciones conectadas RedIRIS, evitando relaciones autoritarias. 4.3.5.20.4. rea de Influencia Espaa
Pgina 139 de 205
4.3.5.21. Espaa - CCN-CERT24 (Cryptology National Center - Computer Security Incident Response Team) 4.3.5.21.1. Antecedentes Este servicio se creo a principios de 2007 como CERT gubernamental espaol y est presente en los principales foros internacionales en los que se comparte objetivos, ideas e informacin sobre la seguridad de forma global. Su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de informacin de las tres administraciones pblicas existentes en Espaa (general, autonmica y local). Su misin es convertirse en el centro de alerta nacional que coopere y ayude a todas las administraciones pblicas a responder de forma rpida y eficiente a los incidentes de seguridad que pudieran surgir y afrontar de forma activa las nuevas amenazas a las que hoy en da estn expuestas. 4.3.5.21.2. Servicios Ofrecidos Para contribuir a esta mejora del nivel de seguridad, el CCN-CERT ofrece sus servicios a todos los responsables de Tecnologas de la Informacin de las diferentes administraciones pblicas a travs de cuatro grandes lneas de actuacin: Soporte y coordinacin para la resolucin de incidentes que sufra la Administracin General, Autonmica o Local. El CCN-CERT, a travs de su servicio de apoyo tcnico y de coordinacin, acta rpidamente ante cualquier ataque recibido en los sistemas de informacin de las administraciones pblicas. Investigacin y divulgacin de las mejores prcticas sobre seguridad de la informacin entre todos los miembros de las administraciones pblicas. En este sentido, las citadas Series CCN-STIC elaboradas por el CCN ofrecen normas, instrucciones, guas y recomendaciones para garantizar la seguridad de los Sistemas TIC en la Administracin. Formacin a travs de los cursos STIC, destinados a formar al personal de la Administracin especialista en el campo de la seguridad de las TIC e impartidos a lo largo de todo el ao. Su principal objetivo, aparte de actualizar el conocimiento del propio equipo que forma el CCN-CERT, es el de permitir la sensibilizacin y mejora de las capacidades del personal para la deteccin y gestin de incidentes.
24
Tomado de: https://www.ccn-cert.cni.es/. U.A: 2008/09/26. Publicado por: Centro Criptolgico Nacional. Ministerio de Defensa de Espaa. Autor: No determinado.
Pgina 140 de 205
Informacin sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de informacin, recopiladas de diversas fuentes de reconocido prestigio (incluidas las propias)
El CCN-CERT ofrece informacin, formacin y herramientas para que las distintas administraciones puedan desarrollar sus propios CERTs, permitiendo a este equipo actuar de catalizador y coordinador de CERTs gubernamentales. 4.3.5.21.3. Estructura El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Informacin del Centro Criptolgico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). 4.3.5.21.4. rea de Influencia Espaa 4.3.5.22. Espaa - INTECO-CERT25 (Centro de Respuestas a Incidentes en TI para PYMES y Ciudadanos) 4.3.5.22.1. Antecedentes El Centro de Respuesta a Incidentes en Tecnologas de la Informacin para PYMEs y Ciudadanos sirve de apoyo al desarrollo del tejido industrial nacional y ofrece los servicios clsicos de un Centro de Respuesta a Incidentes, dando soluciones reactivas a incidentes informticos, servicios de prevencin frente a posibles amenazas y servicios de informacin, concienciacin y formacin en materia de seguridad a la PYME y ciudadanos espaoles. Para todo el proceso de definicin y creacin de INTECO-CERT se han seguido las directrices propuestas por ENISA (European Network and Information Security Agency, Agencia Europea de Seguridad de las Redes y de la Informacin). El centro de respuesta surge como iniciativa pblica con los siguientes objetivos: Proporcionar informacin clara y concisa acerca de la tecnologa, su utilizacin y la seguridad que mejore su comprensin. Concienciar a las PYMEs y ciudadanos de la importancia de contemplar y abordar adecuadamente todos los aspectos relacionados con la seguridad informtica y de las redes de comunicacin.
25
Tomado de: http://www.inteco.es/rssRead/Seguridad/INTECOCERT . U.A: 2008/09/26. Publicado por:
Instituto Nacional de Tecnologas de la comunicacin S.A.. Autor: No determinado.

Pgina 141 de 205
Proporcionar guas de buenas prcticas, recomendaciones y precauciones a tener en cuenta para mejorar la seguridad. Proporcionar mecanismos y servicios de divulgacin, formacin, prevencin y reaccin ante incidencias en materia de seguridad de la informacin. Actuar como enlace entre las necesidades de PYMEs y ciudadanos y las soluciones que ofertan las empresas del sector de la seguridad de las tecnologas de la informacin. 4.3.5.22.2. Servicios Ofrecidos
Para llevar a cabo la misin de concienciacin, formacin, prevencin y reaccin en materia de seguridad en tecnologas de la informacin, INTECO-CERT ofrece un catlogo de servicios a los usuarios: Servicios de informacin sobre Actualidad de la Seguridad: o o o Suscripcin a boletines, alertas y avisos de seguridad. Actualidad, noticias y eventos de relevancia. Avisos sobre nuevos virus, vulnerabilidades y fraude. Estadsticas.
Servicios de Formacin en seguridad y en la legislacn vigente para Pyme y ciudadanos, proporcionando guas, manuales, cursos online y otros recursos a los usuarios. Servicios de Proteccin y prevencin: catlogo de tiles gratuitos y actualizaciones de software. Servicios de Respuesta y Soporte: o o o o o Gestin y soporte a incidentes de seguridad. Gestin de malware y anlisis en laboratorio del INTECO-CERT. Lucha contra el fraude. Asesora Legal en materia de seguridad en las tecnologas de la informacin. Foros de Seguridad.
Cooperacin y coordinacin con otras entidades de referencia en el sector, tanto a nivel nacional como internacional.
Pgina 142 de 205
INTECO-CERT como servicio pblico e intermediario INTECO-CERT tiene vocacin de servicio pblico sin nimo de lucro. El Centro surge con la vocacin de servir de apoyo preventivo y reactivo en materia de seguridad en tecnologas de la informacin y la comunicacin a una tipologa de usuarios, la Pequea y Mediana Empresa (PYME) y ciudadanos, que no disponen de la formacin, sensibilizacin y recursos suficientes en dicho campo. INTECO-CERT no vende soluciones tecnolgicas o de consultora. Si en su labor de apoyo a PYME y ciudadanos, entiende que debe aconsejar alguno de ellos, facilita un directorio de entidades que prestan esos servicios, para que el usuario elija segn su criterio. El Centro de Respuesta quiere, en este contexto, erigirse como un puente entre las necesidades de la demanda (PYMEs y ciudadanos) y las soluciones de la oferta (entidades del sector de la seguridad de las tecnologas de la informacin). 4.3.5.22.3. rea de Influencia Espaa 4.3.5.23. Estados Unidos - US-CERT26 (United States - Computer Emergency Readiness Team) 4.3.5.23.1. Antecedentes Establecido en 2003 para proteger la infraestructura del Internet de la nacin, US-CERT coordina la defensa contra y respuestas a los ataques del ciberespacio a travs de la nacin. US-CERT es cargado con la proteccin de la infraestructura del Internet coordinando la defensa y la respuesta a los ataques del ciberespacio. 4.3.5.23.2. Servicios Ofrecidos US-CERT es responsable de Analizar y reducir amenazas y vulnerabilidades del ciberespacio. Divulgar informacin y advertencias de amenaza del ciberespacio. Coordinar la respuesta a incidente.
26
Tomado de: http://www.us-cert.gov. U.A: 2008/09/26. Publicado por: Department of Homeland Security - USA. Autor: No determinado.
Pgina 143 de 205
US-CERT obra recprocamente con las agencias federales, industria, la comunidad de investigacin, el estado y los gobiernos locales, y otros para divulgar la informacin de la seguridad del ciberespacio entre el pblico. 4.3.5.23.3. Estructura
El equipo de la Preparacin para Emergencias Computacionales de Estados Unidos (US-CERT) es una sociedad entre Departamento de la seguridad de la patria y los sectores pblicos y privados 4.3.5.23.4. rea de Influencia Estados Unidos 4.3.5.24. Estonia CERT-EE
27
(Computer Emergency Response Team of Estonia)
4.3.5.24.1. Antecedentes El Equipo de la Respuesta a Emergencias Computacionales de Estonia (CERT Estonia), se establece en 2006. Su tarea es asistir a usuarios estonios del Internet en la puesta en prctica de medidas preventivas para reducir los daos posibles de incidentes de la seguridad y ayudarles a responder a las amenazas de la seguridad. El CERT Estonia se ocupa de los incidentes de la seguridad que ocurren en redes estonias. Los incidentes de la seguridad se atienden acorde con una prioridad definida segn su severidad y alcance potenciales considerando el nmero de usuarios afectados, el tipo de un incidente, la blanco del ataque, as como el origen del ataquey los recursos requeridos para manejar el incidente. Los incidentes prioritarios incluyen, por ejemplo: ataques que pueden comprometer la vida de la gente, ataques en la infraestructura del Internet (servidores de nombres, nodos de red importantes y ataques automticos en grande en los servidores de la red), etc. 4.3.5.24.2. Servicios Ofrecidos El CERT Estonia ofrece los servicios siguientes:
27
Orientacin en el incidente Recepcin de informes de incidente Asignacin de prioridades a los incidentes segn su nivel de la severidad
Tomado de: http://www.ria.ee/?id=28201. U.A: 2008/09/26. Publicado por: Department for Handling
Information Security Incidents - Estonia. Autor: No determinado.

Pgina 144 de 205
Anlisis del incidente Respuesta a los incidentes. 4.3.5.24.3. rea de Influencia
Estonia 4.3.5.25. Filipinas - PH-CERT28 (Philippines Computer Emergency Response Team)
4.3.5.25.1. Antecedentes El Equipo de Respuesta a Emergencias Computacionales de Filipinas (PH-CERT) es una organizacin sin nimo de lucro que pretende brindar un punto confiable de contacto para emergencias computacionales, de internet y otras emergencias relacionadas de la tecnologa de informacin. 4.3.5.25.2. Servicios Ofrecidos Proporcione ayuda legal y consultiva. Opera como punto central para divulgar vulnerabilidades de la seguridad computacional y proporcionar ayuda coordinada en respuesta a tales informes. Genera informes tcnicos de anlisis referentes a cdigo malvolo. Proporciona informacin sobre la futura tecnologa que puede plantear amenazas de la seguridad. Proporciona entrenamiento para promover el conocimiento de la seguridad. Genera alarmas sobre medidas a tomar contra amenazas existentes o prximas de la seguridad. Proporciona pautas en el uso y la combinacin eficaces de las herramientas de la seguridad para deteccin y prevencin del incidente.
28
Tomado de: http://www.phcert.org/. U.A: 2008/09/26. Publicado por: Philippines Computer Emergency Response Team. Autor: No determinado.
Pgina 145 de 205
4.3.5.25.3. rea de Influencia Filipinas 4.3.5.26. Francia-CERTA29 (Centre d'Expertise Traitement des Attaques informatiques) 4.3.5.26.1. Antecedentes El Primer Ministro anunci la creacin del CERTA, tras la decisin del Comit Interministerial para la Sociedad de la Informacin (CISI), en enero de 1999 e inaugurado en febrero de 2000, con el fin de reforzar la proteccin de las redes del Estado contra los ataques. A fin de reforzar y coordinar la lucha contra las intrusiones en los sistemas informticos de las administraciones del Estado, el Gobierno decide la creacin de una estructura de alerta y de asistencia en la Internet encargada de la misin de vigilar y responder a los ataques informticos. Los dos principales objetivos del CERTA son: Garantizar la deteccin de las vulnerabilidades y la resolucin de incidentes relativos a la seguridad de los sistemas de informacin Asistir en la instalacin de medios que permitan prevenir futuros incidentes. Gouvernemental de Rponse et de
Para alcanzar estos dos objetivos, deben llevarse a cabo en paralelo las tres misiones siguientes: Llevar a cabo una vigilancia tecnolgica; Organizar la instalacin de una red de confianza; Administrar la resolucin de un incidente (si es necesario en relacin con la red mundial de los CERT).
El CERTA es miembro del FIRST desde el 12 de setiembre de 2000 y participa en la actividad TF-CSIRT (Computer Security Incident Response Team) que es la coordinacin de los CERT europeos.
29
Tomado de: http://www.certa.ssi.gouv.fr/. U.A: 2008/09/26. Publicado por: Premier Ministre /
Secrtariat Gnral de la Dfense Nationale / Direction centrale de la scurit des systmes d'information. Autor: No determinado.
Pgina 146 de 205
En la actualidad existen varios CERT en Francia. Esta es la lista de los equipos miembros del FIRST o de la TF-CSIRT: El CERTA es el CERT dedicado al sector de la administracin francesa; El Cert-IST es el CERT dedicado al sector de la Industria, de los Servicios y del Terciario (IST). Fue creado a finales del ao 1998 por cuatro socios: ALCATEL, el CNES, ELF y France Tlcom; El CERT-RENATER es el CERT dedicado a la comunidad de los miembros del GIP RENATER (Red Nacional de telecomunicaciones para la tecnologa, la Enseanza y la Investigacin). 4.3.5.26.2. Servicios Ofrecidos Las tareas prioritarias del CERT son las siguientes: Centralizacin de las solicitudes de asistencia tras los incidentes de seguridad (ataques) en las redes y sistemas de informaciones: recepcin de las solicitudes, anlisis de los sntomas y eventual correlacin de los incidentes; Tratamiento de las alertas y reaccin a los ataques informticos: anlisis tcnico, intercambio de informaciones con otros CERT, contribucin a estudios tcnicos especficos; Establecimiento y mantenimiento de una base de datos de las vulnerabilidades; Prevencin por difusin de informaciones sobre las precauciones que tomar para minimizar los riesgos de incidente o, por lo menos, sus consecuencias; Coordinacin eventual con las dems entidades (fuera del campo de accin): centros de competencia en redes, operadores y proveedores de acceso a Internet, CERT nacionales e internacionales. 4.3.5.26.3. Estructura Dicha estructura depende de la Secretara General de la Defensa Nacional y trabajar en red con los servicios encargados de la seguridad de la informacin en todas las administraciones del Estado. Participar en la red mundial de los CERT (Computer Emergency Response Team). El CERTA depende de la Direccin Central de la Seguridad de Sistemas de Informacin (DCSSI) en la Secretara General de la Defensa Nacional (SGDN), y se encarga de asistir a los organismos de la administracin en la instalacin de medios de proteccin y en la resolucin de los incidentes o las agresiones informticas de las cuales son vctimas. Constituye el complemento indispensable para las acciones preventivas ya aseguradas por la DCSSI y que son anteriores en el procedimiento de seguridad de los sistemas de informacin.
Pgina 147 de 205
4.3.5.26.4. rea de Influencia Francia 4.3.5.27. Hong Kong - HKCERT30 (Hong Kong Computer Emergency Response Coordination Centre) 4.3.5.27.1. Antecedentes En respuesta a las necesidades de hacer frente a amenazas de la seguridad, el gobierno ha financiado al consejo de la productividad de Hong Kong para poner a funcionar el Centro de Coordinacin del Equipo de Respuesta a Emergencias Computacionales de Hong Kong (HKCERT). El objetivo de HKCERT es proporcionar un contacto centralizado en la divulgacin de incidentes y seguridad computacionales y de la red y brindar la respuesta para las empresas locales y los usuarios del Internet en el caso de los incidentes de la seguridad. Coordinar las acciones de respuesta y recuperacin para los incidentes divulgados, ayuda a supervisar y a divulgar la informacin sobre seguridad y proporciona asesora en medidas preventivas contra amenazas de la seguridad. El HKCERT tambin organiza seminarios del conocimiento y cursos de en asuntos relacionados seguridad de la informacin. 4.3.5.27.2. Servicios Ofrecidos Respuesta a Incidentes: HKCERT proporciona respuesta durante 24 horas al da, 7 das a la semana. Acepta incidentes por telfono, fax y e-mail. HKCERT asiste y coordina las acciones de recuperacin para los incidentes. Alarma de la Seguridad: HKCERT supervisa de cerca la informacin sobre temas relacionadas con la seguridad tales como ltimos virus, debilidades de la seguridad y divulga la informacin al pblico. Publicacin: HKCERT publica pautas, listas de comprobacin, alarmas y artculos relacionados con la seguridad. Estos documentos incluyen la informacin sobre vulnerabilidades de la seguridad, estrategias de defensa y deteccin temprana de ataques probables. HKCERT tambin publica un boletn de noticias mensual que proporciona la informacin ms reciente en seguridad computacional y de la red. Entrenamiento y educacin: Para elevare el conocimiento de la seguridad de la informacin y para mejorar la comprensin pblica, HKCERT organiza seminarios libres y brinda a los informes a las asociaciones comerciales regularmente. HKCERT tambin organiza los cursos que proporcionan conocimiento profundizado en asuntos del especfico de la seguridad de la informacin.
30
Tomado de: http://www.hkcert.org/. U.A: 2008/09/26. Publicado por: HKCERT. Autor: No determinado.
Pgina 148 de 205
Investigacin y desarrollo: HKCERT conduce estudios en asuntos seleccionados seguridad de la informacin y la situacin en Hong Kong referente ataques de la computadora, prdida, contramedidas, etc. 4.3.5.27.3. rea de Influencia
Hong Kong 4.3.5.28. Hungra - CERT31 (CERT-Hungary)
4.3.5.28.1. Antecedentes CERT-Hungra es el centro hngaro de la seguridad de la red y de la informacin del gobierno. Su tarea es proporcionar la ayuda de la seguridad de la red y de la informacin al pblico hngaro entero, a los negocios y a los sectores privados. El centro tiene un papel vital en la proteccin crtica de la infraestructura de la informacin de Hungra. CERT-Hungra tambin acta como base de conocimiento para profesionales y pblico hngaro. CERT-Hungra fue fundada en 2004 en la fundacin de Theodore Puskas con la ayuda del Ministerio de la Informtica y de las Comunicaciones. Los servicios pblicos de la organizacin se ofrecen al gobierno, a los municipios, y a los negocios hngaros, con la atencin especial a la proteccin de los sistemas informticos del gobierno hngaro. CERT-Hungra es lista abordar problemas de la seguridad 24 horas al da 365 das al ao. Proporciona alarmas sobre amenazas nuevamente que emergen. Es responsable de manejar compromisos de la seguridad en los sistemas informticos del gobierno hngaro. Proporciona la direccin para reducir boquetes de la seguridad, y aumenta conocimiento social sobre la informacin y seguridad de la computadora a travs de varios foros. 4.3.5.28.2. Servicios Ofrecidos CERT-Hungra ofrece los servicios siguientes: Alarmas y advertencias: Este servicio implica que CERT-Hungra divulgue la informacin que describe los ataques de intrusos, vulnerabilidades de la seguridad, alarmas de intrusin, virus informticos, bromas, proporcionando una lnea de conducta recomendada a corto plazo para ocuparse del problema. La alarma, la advertencia o la asesora se envan como reaccin a un problema existente para notificar los componentes de la actividad y para proporcionar la orientacin para proteger los sistemas o recuperar cualquier sistema que fuera afectado.
31
Tomado de: http://www.cert-hungary.hu/. U.A: 2008/09/26. Publicado por: CERT Hungary. Autor: No
determinado.
Pgina 149 de 205
Avisos: Los avisos incluyen, pero no se limitan a las alarmas de la intrusin, las advertencias de la vulnerabilidad y las recomendaciones de seguridad. Los avisos permiten proteger sistemas y redes contra problemas encontrados antes de que puedan explotar. Difusin de la informacin relacionada con la Seguridad: Este servicio provee una recopilacin de informacin til para mejorar la seguridad. Tal informacin puede incluir: o o o o o o o o o Informacin de contactos para CERT-Hungra y pautas de divulgacin. Archivos de alarmas, de advertencias y de otros avisos Documentacin sobre mejores prcticas actuales Orientacin general de la seguridad computacional Polticas, procedimientos y listas de comprobacin Informacin del desarrollo y distribucin de correcciones Ajustes de proveedores Estadstica y tendencias actuales en la divulgacin del incidente Otra informacin que puede mejorar seguridad total
Direccin del incidente: CERT-Hungra se ocupa solamente de incidentes de la seguridad informtica. Estos incidentes de la seguridad pueden ser acceso desautorizado a los datos sobre un sistema informtico, negacin de los ataques del servicio, virus contra un sistema informtico, las vulnerabilidades, o cualquier otra actividad o programa que amenacen la seguridad de un sistema informtico. Durante su incidente los expertos de CERT-Hungra reciben, dan la prioridad, y responden a los incidentes y a los informes y analizan incidentes y acontecimientos. Las actividades particulares de la respuesta pueden incluir: o Accin a tomar para proteger los sistemas y las redes afectadas o amenazadas por el intrusos Proveer soluciones y estrategias de mitigacin de o de alarmas relevantes Filtracin de trfico de la red
o o
Direccin de la vulnerabilidad: Las vulnerabilidades estn basadas en errores de la configuracin que crean los agujeros de seguridad en los sistemas informticos y redes. La
Pgina 150 de 205
direccin de la vulnerabilidad implica recibir informacin sobre vulnerabilidades del hardware y del software. CERT-Hungra analiza la naturaleza, mecanismos y efectos de las vulnerabilidades y desarrollan las estrategias de la respuesta para detectar y reparar las vulnerabilidades. Manejo de artefactos: Un artefacto es cualquier archivo u objeto encontrado en un sistema que impacta en sistemas y redes, que atacan o que se est utilizando para destruir medidas de seguridad. CERT-Hungra analiza la naturaleza, mecanismos, versin y el uso de los artefactos y desarrolla (o sugiere) las estrategias de respuesta para detectar, quitar y defender contra estos artefactos. Educacin y entrenamiento: Con seminarios, los talleres, los cursos y clases particulares, CERT-Hungra educa sobre soluciones de seguridad computacional. Los temas pueden ser: o o o o o Incidente y pautas Mtodos apropiados de respuesta Herramientas de respuesta del incidente Mtodos para la prevencin del incidente Otra informacin necesaria para proteger, detectar, divulgar y responder a los incidentes de la seguridad computacional.
4.3.5.28.3. rea de Influencia Hungra 4.3.5.29. India - CERT-In32 (Indian Computer Emergency Response Team)
4.3.5.29.1. Antecedentes El propsito del CERT-In es convertirse en la agencia de confianza de la comunidad india para responder a los incidentes de la seguridad de computacional. CERT-In asiste a los miembros de la comunidad india para ejecutar medidas proactivas para reducir los riesgos de los incidentes de la seguridad informtica.
32
Tomado de: http://www.cert-in.org.in/. U.A: 2008/09/26. Publicado por: Department of Information
Technology. Ministry of Communications & Information Technology, Government of India. Autor: No determinado.
Pgina 151 de 205
4.3.5.29.2. Servicios Ofrecidos Servicios Reactivos o o Proporciona un solo punto del contacto para divulgar problemas locales. Asiste al gobierno y a la comunidad general en la prevencin y la manipulacin de incidentes de la seguridad computacional. Comparte la informacin y las lecciones aprendidas con el CERT/CC, otros CERTs y las organizaciones. Respuesta del incidente Proporciona el servicio de una seguridad 24 x 7. Procedimientos de recuperacin Anlisis de artefactos Trazo del incidente
o o o o o
Servicios Proactivos o o o o o o o Publica las pautas de la seguridad, las recomendaciones y consejos oportunos. Anlisis y respuesta de la vulnerabilidad Anlisis del riesgo Evaluacin de producto relacionados con la seguridad Colaboracin con los proveedores Perfilar atacantes. Entrenamiento, investigacin y desarrollo de la conducta.
Funciones o Divulgacin
Pgina 152 de 205
o o o o o
Punto central para divulgar incidentes Base de datos de incidentes Anlisis Anlisis de tendencias y patrones de la actividad del intruso Desarrollo de las estrategias preventivas
Respuesta o La respuesta del incidente es un proceso dedicado a restaurar sistemas afectados a la operacin Envo de recomendaciones para la recuperacin y la contencin del dao causada por los incidentes. Ayuda a los administradores de sistemas a tomar la accin de seguimiento para prevenir la repeticin de incidentes similares
4.3.5.29.3. Estructura CERT-In funciona bajo auspicios y con la autoridad delegada del Departamento de Tecnologa de Informacin, del Ministerio de Comunicaciones y Tecnologa de Informacin, del gobierno de la India. CERT-In trabaja cooperativamente con los oficiales de informacin y los administradores de sistema de varias redes sectoriales y de gobierno. 4.3.5.29.4. rea de Influencia India 4.3.5.30. Japan - JPCERT/CC33 (JP CERT Coordination Center)
4.3.5.30.1. Antecedentes JPCERT/CC es el primer CSIRT establecido en Japn. Se coordina con los proveedores de servicios de red, vendedores de productos de seguridad, agencias estatales, as como las
33
Tomado de: determinado.
http://www.jpcert.or.jp/.
U.A:
2008/09/26.
Publicado
por:
JPCERT/CC.
Autor:
No
Pgina 153 de 205
asociaciones gremiales de la industria. En la regin Pacfica de Asia, JPCERT/CC ayud a formar APCERT (Equipo de Respuesta a Emergencias Computacionales de Asia Pacfico) y ejerce la funcin de secretara para APCERT. Es miembro del Foro de Equipos de Respuesta y Seguridad del Incidente (FIRST). Los objetos de JPCERT/CC son: Proporcionar respuestas a incidente de seguridad computacionales. Coordinar la accin con CSIRTs locales e internacional y organizaciones relacionadas. Ayudar al establecimiento de nuevos CSIRTs y promover la colaboracin entre CSIRTs Divulgar informacin tcnica sobre incidentes de seguridad computacional y las vulnerabilidades y ajustes a la seguridad, generar alarmas y advertencias. Generar investigacin y anlisis de incidentes de la seguridad computacional. Conducir investigaciones sobre tecnologas relacionadas con la seguridad. Aumentar el entendimiento de la seguridad de la informacin y del conocimiento tcnico, con educacin y entrenamiento. 4.3.5.30.2. Servicios Ofrecidos Incidente Respuesta y anlisis: JPCERT/CC proporciona ayuda tcnica para divulgar problemas de la seguridad de la siguiente manera: o Con base en informacin proporcionada por los sitios afectados, JPCERT/CC determina los daos. Identifica las vulnerabilidades. Proporciona informacin tcnica relevante.
o o
Adicionalmente genera un informe semanal y trimestral sobre respuestas y anlisis de incidentes y otra informacin relevante a la seguridad computacional. Alertas de Seguridad: JPCERT/CC recopila la informacin relacionada con seguridad computacional y genera alarmas y mensaje para prevenir ataques contra redes locales de las organizaciones, as como para evitar que el impacto de tales ataques llegue a ser extenso. Un informe semanal, contiene amenazas potenciales y mensajes de cmo evitarlos o reducir al mnimo el dao causado por incidentes o las vulnerabilidades.
Pgina 154 de 205
Coordinacin con otros CSIRTs: Siendo el primer CSIRT formado en Japn, mantiene relaciones cercanas establecidas con mucho CSIRTs no slo en la Asia y la regin pacfica, sino tambin en otras regiones. La coordinacin y la colaboracin con esos CSIRTs es crucial para el uso seguro de la tecnologa del Internet en todo el mundo. Coordinacin de Proveedores: Con el fin de evitar, reduce al mnimo o recupera del dao con eficacia y eficiencia, la coordinacin con los proveedores que pudieron afectar la seguridad del Internet es importante. JPCERT/CC comparte la informacin con los proveedores locales y distribuyen la informacin de la vulnerabilidad de manera oportuna. Educacin y entrenamiento: JPCERT/CC proporciona la educacin y el entrenamiento relacionados con la seguridad de la red, incidentes de seguridad, vulnerabilidad y las tendencias y ayudas de seguridad a partir de seminarios y talleres. Adems, vario informes tcnicos y otros documentos estn disponibles en el web site. Investigacin y anlisis: Los incidentes de la computadora se estn convirtiendo en un problema cada vez ms difcil de identificar. JPCERT/CC ejerce investigacin y anlisis para encontrar mejores maneras de prevenir ataques o de limitar su dao. 4.3.5.30.3. rea de Influencia
Japn 4.3.5.31. Mxico UNAM-CERT34 (Equipo de Respuesta a Incidentes de Seguridad en Cmputo) 4.3.5.31.1. Antecedentes El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cmputo) es un equipo de profesionales en seguridad en cmputo localizado en el Departamento de Seguridad en Cmputo (DSC) de la Direccin General de Servicios de Cmputo Acadmico (DGSCA), de la UNAM. El UNAM-CERT se encarga de proveer el servicio de respuesta a incidentes de seguridad en cmputo a sitios que han sido vctimas de algn "ataque", as como de publicar informacin respecto a vulnerabilidades de seguridad, alertas de la misma ndole y realizar investigaciones de la amplia rea del cmputo y as ayudar a mejorar la seguridad de los sitios. El DSC (Departamento de Seguridad en Cmputo) de la DGSCA, UNAM, es un punto de encuentro al cual puede acudir la comunidad de cmputo para obtener informacin, asesoras
34
Tomado de: http://www.cert.org.mx/index.html. U.A: 2008/09/26. Publicado por: UNAM-CERT. Autor:
Jefe del Departamento de Seguridad en Cmputo: Juan Carlos Guel. Lder del Proyecto: Alejandro Nez Sandoval.
Pgina 155 de 205
y servicios de seguridad, as como para intercambiar experiencias y puntos de vista, logrando con ello, establecer polticas de seguridad adecuadas, disminuir la cantidad y gravedad de los problemas de seguridad y difundir la cultura de la seguridad en cmputo. 4.3.5.31.2. Servicios Ofrecidos El DSC pone a la disposicin de los Institutos, Facultades y organizaciones externas su portafolio de servicios de Seguridad en Tecnologas de la Informacin: Anlisis de Riesgos. Test de Penetracin. Anlisis Forense. Auditorias de Seguridad. Administracin de Infraestructura de Seguridad en TI. Tecnologas de Seguridad. Desarrollo de Soluciones. Asesoras. 4.3.5.31.3. Estructura El UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cmputo) es un equipo de profesionales en seguridad en cmputo localizado en el Departamento de Seguridad en Cmputo (DSC) de la Direccin General de Servicios de Cmputo Acadmico (DGSCA), de la UNAM. 4.3.5.31.4. rea de Influencia Mxico
Pgina 156 de 205
4.3.5.32.
Nueva Zelandia CCIP35 (Centre for Critical Infrastructure Protection)
4.3.5.32.1. Antecedentes El Centro para la Proteccin de la infraestructura Crtica (CCIP) es la agencia de estatal dedicada al trabajo con las organizaciones, la industria y el gobierno relacionados con la infraestructura crtica de Nueva Zelandia, para mejorar la proteccin y la seguridad computacional de amenazas. 4.3.5.32.2. Servicios Ofrecidos Proporcionar un servicio de asesora 7*24 hacia dueos y operadores de la Infraestructura Crtica Nacional y del gobierno de Nueva Zelandia. Investigar y analizar los incidentes del ciberespacio que ocurren contra la Infraestructura Crtica Nacional. Trabajar con las agencias de proteccin de la Infraestructura Crtica Nacional tanto de manera local como internacionalmente para mejorar el conocimiento de la seguridad del ciberespacio en Nueva Zelandia. 4.3.5.32.3. Estructura El Centro para la Proteccin de la Infraestructura Crtica (CCIP) es una unidad de negocio dentro de la oficina de Seguridad de Comunicaciones del Gobierno (GCSB). La persona responsable del CCIP y de GCSB es el Primer Ministro de Nueva Zelandia. 4.3.5.32.4. rea de Influencia Nueva Zelandia
35
Tomado de: http://www.ccip.govt.nz/. U.A: 2008/09/26. Publicado por: Centre for Critical Infrastructure Protection. Autor: No determinado.
Pgina 157 de 205
4.3.5.33.
Holanda GOVCERT.NL36
4.3.5.33.1. Antecedentes GOVCERT.NL es el Equipo de Respuesta a Emergencias Computacionales para el gobierno holands. Desde 2002 apoya al gobierno en la prevencin y atencin de incidentes relacionados con la seguridad. 4.3.5.33.2. Servicios Ofrecidos Coordinacin: Acta como punto central de la emergencia de incidentes relacionados con la seguridad, tales como virus informticos y deteccin de vulnerabilidades. Informacin: Proporciona la informacin correspondiente a temas de seguridad a las partes apropiados. Asiste a oficiales del gobierno en la prevencin de incidentes de seguridad. Intercambio internacional del conocimiento: mantiene la cooperacin e intercambio de informacin a nivel internacional. Banco de datos: GOVCERT. NL es un centro de informacin. Proporciona acceso al conocimiento y a la experiencia de su personal y organizaciones que participan. Adems, promueve el intercambio de informacin entre estas organizaciones. El banco de datos facilita el intercambio por medio de listas de distribucin, de archivos de documentos relevantes y de mejores prcticas. Paneles: Organizamos reuniones peridicas para dar la oportunidad de intercambiar conocimiento e ideas en temas de actualidad. Ayuda en caso de incidentes: Ofrece ayuda haciendo frente a todas las clases de incidentes, extendindose al correo Spam, a los ataques de la red de la escala grande, con un soporte 7*24. 4.3.5.33.3. rea de Influencia Holanda
36
Tomado de: http://www.govcert.nl/. U.A: 2008/09/26. Publicado por: GOV-CERT.NL. Autor: No determinado.
Pgina 158 de 205
4.3.5.34.
Polonia - CERT Polska37 (Computer Emergency Response Team Polska)
4.3.5.34.1. Antecedentes El CERT Polska es el nombre oficial del equipo desde el enero de 2001. Era conocido antes como CERT Nask. Desde el febrero de 1997 el CERT Polska ha sido un miembro del Foro Mundial de Equipos de Respuesta y Seguridad del Incidente - FIRST. El CERT Nask fue establecido en marzo de 1996 segn la disposicin del director de Nask (Red Acadmica y de Investigacin en Polonia). Sus objetivos son constituir un nico punto confiable de atencin a incidentes y prevencin en Polonia para los clientes de la comunidad Nask y otras redes en Polonia, responder por los incidentes de seguridad, proveer informacin referente a la seguridad y advertencias de los ataques en cooperacin con otros equipos de respuesta a incidentes por todo el mundo 4.3.5.34.2. Servicios Ofrecidos El CERT Polska registra las peticiones, alertas y proporcionar datos e informes estadsticos de incidentes. Proporciona ayuda a los sitios que tienen problemas de seguridad. El CERT Polska brinda informacin actual sobre problemas de seguridad y su solucin (va web y lista de suscripcin). 4.3.5.34.3. Estructura El equipo lo conforma la Red Acadmica y de Investigacin en Polonia, con la ayuda de expertos de universidades polacas. 4.3.5.34.4. rea de Influencia Polonia
37
Tomado de: http://www.cert.pl/. U.A: 2008/09/26. Publicado por: CERT Polska. Autor: No determinado.
Pgina 159 de 205
4.3.5.35.
Qatar - Q-CERT38 (Qatar CERT)
4.3.5.35.1. Antecedentes Como Equipo Nacional de Respuesta a Incidente de Seguridad Computacional de Qatar, QCERT coordinar el sistema de actividades de la ciber - seguridad necesarias para mejorar la proteccin de infraestructuras crticas en la nacin y en la regin. Para alcanzar esta meta, Q-CERT trabajar con las agencias y la industria estatal para formar una estrategia de la gerencia de riesgo para la seguridad del ciberespacio que incluye los siguientes frentes: Planeamiento, medicin y evaluacin Disuasin Proteccin Supervisin, deteccin y anlisis Respuesta Reconstitucin y recuperacin Investigacin y desarrollo
Q-CERT cubre todas las organizaciones autorizadas para utilizar el dominio del cdigo de pas.qa, as como la poblacin en general de Qatar que utiliza el Internet. Incluye al gobierno de Qatar, a los negocios e instituciones educativas que utilizan el Internet para sus operaciones. Los socios estratgicos incluyen la industria petrolera del aceite, la industria de servicios financieros, la industria de las telecomunicaciones, y los ministerios del estado de Qatar. Q-CERT trabajar con los institutos educativos en Qatar para aumentar conocimiento de la seguridad de la informacin y para mejorar prcticas de seguridad de la informacin. 4.3.5.35.2. Servicios Ofrecidos Talleres, seminarios, y cursos diseados para aumentar el conocimiento acerca de la seguridad del ciberespacio.
38
Tomado de: http://www.qcert.org. U.A: 2008/09/26. Publicado por: Supreme Council of Information & Comunication Technology. Autor: No determinado.
Pgina 160 de 205
Provee un Web site para brindar informacin sobre las amenazas que emergen, nuevas vulnerabilidades y otros temas de seguridad. Explorar la informacin de la seguridad de sistemas de fuente abierta para prevenir amenazas emergentes. Genera nuevas alarmas y estrategias de mitigacin. Analiza vulnerabilidades y cdigo malvolo para desarrollar estrategias de la mitigacin. Analizar incidentes de la seguridad e identifica contramedidas. Coordina a travs de las organizaciones internacionales el manejo de atencin a incidentes e investigaciones. Ayuda en la determinacin del alcance y de la magnitud de incidentes de seguridad e identifica estrategias de la recuperacin 4.3.5.35.3. Estructura
Q-CERT es un organismo nacional patrocinado del Consejo Supremo para la Tecnologa de Informacin y de Comunicaciones (ictQATAR) del estado de Qatar en asocio con el programa CERT que es parte de Instituto de Ingeniera de Software de la Universidad Carnegie - Mellon en Pittsburgh, Estados Unidos. 4.3.5.35.4. rea de Influencia Gobierno y sector privado en Qatar y en la regin cercana del golfo. 4.3.5.36. Reino Unido - GovCertUK39 (CESGs Incident Response Team)
4.3.5.36.1. Antecedentes GovCertUK nace en febrero de 2007, como la autoridad tcnica nacional para el aseguramiento de la informacin y proporciona la funcin de CERT al gobierno britnico. Asiste a organizaciones del sector pblico en la respuesta a los incidentes de seguridad computacional y proporciona asesora para reducir la exposicin a la amenaza.
39
Tomado de: www.govcertuk.gov.uk. U.A: 2008/09/26. Publicado por: CESG GovCertUK Incident Response Team. Autor: No determinado.
Pgina 161 de 205
Este papel incluye disponer de una capacidad de respuesta a emergencias de las organizaciones del sector pblico que pueden requerir la ayuda tcnica y la asesora durante perodos de ataque electrnico o de otros incidentes de la seguridad de la red. El equipo GovCertUK presta ayuda tcnica y asesora al Centro para la Proteccin de la Infraestructura Nacional (Centre for the Protection of National Infrastructure CPNI40), que proporcionar un papel similar de ayuda a la infraestructura nacional crtica, a las organizaciones del sector pblico y privado, protegiendo la seguridad nacional ayudando as a reducir la vulnerabilidad de la infraestructura nacional al terrorismo y a otras amenazas. 4.3.5.36.2. Servicios Ofrecidos Publicaciones orientadas a la proteccin general de la seguridad. Informes de seguridad de la informacin destacando los riesgos frente a la infraestructura nacional. Notas tcnicas de la Seguridad de la Informacin. Vulnerabilidades de la Seguridad de la Informacin. Investigacin en vulnerabilidades computacionales para determinar las amenazas, identificar problemas y se trabaja de la mano con proveedores de tecnologa para suministrar patches de software. Promueven las mejores prcticas entre los operadores de la infraestructura nacional, compartiendo la informacin. Descripcin de tecnologas emergentes. Intercambios de informacin sobre los riesgos. 4.3.5.36.3. rea de Influencia Reino Unido e Irlanda del Norte
40
Tomado de: www.cpni.gov.uk. U.A: 2008/09/26. Publicado por: Centre for the Protection of National Infrastructure CPNI. Autor: No determinado.
Pgina 162 de 205
4.3.5.37.
Singapur SingCERT41 (Singapore CERT)
4.3.5.37.1. Antecedentes El Equipo de Respuesta a Emergencias Computacionales de Singapur (SingCERT) fue instalado para facilitar la deteccin, la resolucin y la prevencin de incidentes relacionados con la seguridad en Internet. Sus objetivos son: Ser un punto de contacto confiable. Facilitar la resolucin de las amenazas de la seguridad. Aumente la capacidad nacional en seguridad. 4.3.5.37.2. Servicios Ofrecidos Genera alarmas, recomendaciones y patches de seguridad. Promueve el conocimiento de la seguridad a travs de cursos, seminarios y talleres de seguridad. Colabora con los proveedores y otros CERTs para encontrar soluciones a los incidentes de la seguridad 4.3.5.37.3. Estructura SingCERT fue establecido inicialmente en octubre de 1997 como programa de la autoridad del desarrollo de Infocomm de Singapur, en colaboracin con el Centro para la Investigacin del Internet de la Universidad Nacional de Singapur. 4.3.5.37.4. rea de Influencia Singapur
41
Tomado de: http://www.singcert.org.sg/. U.A: 2008/09/26. Publicado por: Singapur SingCERT. Autor: No determinado.
Pgina 163 de 205
4.3.5.38.
Sri Lanka SLCERT42 (Sri Lanka Computer Emergency Response Team)
4.3.5.38.1. Antecedentes El Equipo de Respuesta a Emergencia Computacionales de Sri Lanka (SLCERT) es el centro para la seguridad del ciberespacio, designado por mandato para proteger la infraestructura de la informacin de la nacin y para coordinar medidas protectoras y respuestas a las amenazas y a las vulnerabilidades de la seguridad informtica. Un CERT nacional acta como punto focal para la seguridad de Ciberespacio para una nacin. Es la nica fuente confiable para asesorar sobre las amenazas y las vulnerabilidades ms recientes que afectan los sistemas informticos y las redes y para asistir al gobierno en responder y recuperarse de Ataques computacionales. 4.3.5.38.2. Servicios Ofrecidos SLCERT ofrece tres categoras de servicio: Servicios de Respuesta: Son los servicios que son activados por los acontecimientos que son capaces de causar efectos nocivos sobre los sistemas de informacin. Los ejemplos son ataques de Spam, virus y acontecimientos inusuales de intrusos. o Direccin en incidentes: Este servicio implica responder a una peticin o a una notificacin asociada a la deteccin de un acontecimiento inusual, que puede afectar el funcionamiento, la disponibilidad o la estabilidad de los servicios o sistemas informticos. SLCERT realizar pasos para identificar el incidente y para clasificar la severidad del incidente, asesorando en cmo contener el incidente y suprimir la causa. Una vez los sistemas se recuperan completamente, SLCERT genera un informe de incidente detallando su naturaleza, medidas tomadas para recuperarse de incidente y medidas preventivas recomendadas para el futuro.
Servicios del Conocimiento: Se disean para educar en la importancia de la seguridad de la informacin y de los asuntos relacionados y las mejores prcticas. o Alarmas: Este servicio se utiliza para divulgar la informacin en relacin con virus informticos, bromas y vulnerabilidades de la seguridad, y en lo posible, para proporcionar recomendaciones a corto plazo para ocuparse de las consecuencias de tales ataques.
42
Tomado de: http://www.cert.lk/. U.A: 2008/09/26. Publicado por: Sri Lanka SLCERT. Autor: No determinado.
Pgina 164 de 205
Seminarios y conferencias: Estos servicios tienen la intencin de aumentar el conocimiento sobre la seguridad de la informacin, seguridad estndares y mejores prcticas. Se busca ayudar a reducir perceptiblemente la probabilidad de ser atacado. Talleres: Estos servicios son dirigido para aumentar el conocimiento acerca de la seguridad de la informacin. Se orientan a los profesionales ms tcnicos, que realizan tareas diarias relacionadas con la seguridad de la informacin. Base de Conocimiento: La base de conocimiento es un servicio pasivo ofrecido por SLCERT a los interesados con documentos, artculos, noticias, etc., publicado en el Web site de SLCERT y los medios. Se busca proporcionar una gama de recursos del conocimiento que permitan a cualquier persona encontrar informacin til para ayudar a aumentar su comprensin de la seguridad de la informacin.
Servicios de la Consulta: Estos servicios se orientan a proveer medios de toma de decisiones con respecto a la seguridad de la informacin, y para tomar las medidas necesarias para consolidar las defensas. o Soporte Tcnico: Este servicio de revisin y anlisis est dirigido a la infraestructura y procedimientos de la seguridad adoptados dentro de las organizaciones, de acuerdo con la experiencia en seguridad de la informacin del SLCERT y de ciertos parmetros predefinidos. El resultado final es un identificacin detallada de las debilidades de la infraestructura, las mejoras que deben llevarse a cabo y cmo tales las mejoras deben ser puestas en ejecucin. Soporte Consultivo para Poltica Nacional: ste es un servicio realizado por SLCERT como obligacin con la nacin. Como autoridad primaria en seguridad de la informacin en Sri Lanka, SLCERT es responsable de generar y de hacer cumplir estndares de seguridad de la informacin a nivel nacional.
4.3.5.38.3. rea de Influencia Sri Lanka 4.3.5.39. Tnez - CERT-TCC43 Coordination Center) 4.3.5.39.1. Antecedentes A partir de 2002 se establece el ncleo de un CSIRT en Tnez, que condujo en 2004 al lanzamiento oficial del CERT-TCC (Computer Emergency Response Team - Centro Tunecino de (Computer Emergency Response Team Tunisian
43
Tomado de: http://www.ansi.tn/en/about_cert-tcc.htm. U.A: 2008/09/26. Publicado por: National
Agency for Computer Security - Tunez. Autor: No determinado.

Pgina 165 de 205
Coordinacin), un CSIRT pblico gestionado por la Agencia Nacional para la Seguridad Computacional. El CERT-TCC tiene los siguientes objetivos: Aumentar el conocimiento y entendimiento acerca de la seguridad de la informacin y de la seguridad de la computadora a travs de medidas proactivas. Proporcionar un soporte confiable7*24, con un solo punto de contacto para las emergencias, para ayudar a manejar incidentes de la seguridad y para asegurar la proteccin del Ciberespacio nacional y la continuidad de servicios crticos nacionales a pesar de ataques. Proporcionar el entrenamiento y la certificacin de alto nivel para los aprendices y los profesionales. Informar sobre las mejores prcticas y sobre aspectos de organizacin de la seguridad, con un foco especial en la gerencia de la intervencin y de riesgo. Informar sobre vulnerabilidades y respuestas correspondientes y sirve como un punto confiable de contacto para recopilar e identificar vulnerabilidades en sistemas informticos. Informar sobre mecanismos y herramientas de la seguridad y asegurar que la tecnologa apropiada y las mejores prcticas de gerencia sean utilizadas. Poner en ejecucin los mecanismos que permitan alertar y dar respuesta a organizaciones y a instituciones, para desarrollar sus propias capacidades de la gerencia del incidente Facilitar la comunicacin entre el profesional y los expertos que trabajan en estructuras de seguridad y estimular la cooperacin entre y a travs de los negocios pblicos y privados de las agencias estatal y de las organizaciones acadmicas. Colaborar con la comunidad internacional y nacional en incidentes de deteccin y de resolucin de la seguridad computacional. Promover o emprende el desarrollo de los materiales educativos, de conocimiento y de entrenamiento apropiados para mejorar las habilidades y el conocimiento tcnico de los usuarios y los profesionales de la seguridad. 4.3.5.39.2. Servicios Ofrecidos Actividades del conocimiento
Pgina 166 de 205
Publicaciones: Como material del conocimiento, se desarrollan y distribuyen folletos y guas que explican a los usuarios de una manera simple y clara las amenazas y cmo proteger sus sistemas. Tambin distribuyen libremente los CDs con las herramientas de seguridad y de control parental, libres para el uso domstico, pero tambin los patches. Presentaciones: Co-organizan e intervienen en conferencias nacionales y talleres relacionados con la seguridad, con demostraciones en vivo de ataques, para sensibilizar a la gente con la realidad de los riesgos y la importancia de las mejores prcticas. Juventud y padres: Referente a conocimiento de la juventud y de los padres, preparan material del conocimiento. Un manual Pasaporte de la seguridad para la familia incluyendo concursos, historietas y juego pedaggico, que explican a los nios de una manera divertida, los riesgos (pedofilia, virus, etc) y las reglas bsicas de proteccin. Prensa: Participa en emisiones semanales en medios nacionales, creando un posicionamiento.
Informacin y actividades de alertas: Una de las principales tareas es detectar y analizar amenazas y transmitir esa informacin a los administradores de sistema y a la comunidad de usuarios. CERT-TCC divulga regularmente informacin y alarmas sobre vulnerabilidades crticas y actividades malvolas a travs de sus listas de distribucin y con su web site. Analiza las vulnerabilidades potenciales, recogiendo la informacin, trabajando con otros CSIRTs y proveedores de software para conseguir las soluciones a estos problemas. Entrenamiento y educacin: CERT-TCC est actuando para la construccin de un grupo de trabajo de los multiplicadores y e la creacin de diplomados especializados en seguridad, junto con el estmulo de los profesionales para obtener certificacin internacional. Para solucionar eficientemente el problema de la carencia del entrenamiento especializado en seguridad, el CERT-TCC organiza entrenamientos para los multiplicadores que estarn en cargo de reproducir esos cursos en una escala mayor. Los primeros asuntos identificados son los siguientes : o Tcnicas de seguridad del permetro de la red: Arquitecturas seguras, cortafuegos, identificaciones, servidores de marcado manual seguros. Organizacin y tcnicas internas: Desarrollo de poltica de la seguridad, desarrollo del plan de seguridad, herramientas de seguridad de la red (Cortafuegos, entradas distribuidos contra-virus, PKI.). Tecnologas de supervivencia de la informacin: Planes de recuperacin de desastres. Base tcnica para la prevencin de la intrusin: Identifica y previene intrusiones y defectos de seguridad.
Pgina 167 de 205
o o o o o
Fundamentos en la orientacin del manejo del incidente. Metodologas de la autovaloracin de la seguridad. ISO 17799 e ISO 27000. Curso de CBK, para la preparacin a la certificacin de CISSP. Cursos especializados para el personal judicial y de investigacin.
Tambin desarrollan un programa de entrenamiento para la certificacin de personas del sector privado, que permite la obtencin de la certificacin nacional de interventor de la seguridad, adems, al entrenamiento para los administradores de los sistemas de e-gobierno, y como motivacin para la certificacin de CISSP, los entrenamientos que cubren todos los captulos del CBK. CERT-TCC trabaja con profesionales e instituciones acadmicas para desarrollar planes de estudios en seguridad de la informacin y se tiene el proyecto para lanzar un centro de entrenamiento regional en seguridad en sociedad con el sector privado. Prepara adicionalmente los entrenamientos especiales para los jueces, y periodistas. Educacin: En colaboracin con dos instituciones acadmicas, se lanz la primera maestra en seguridad en 2004 y ahora tres universidades pblicas y cuatro privadas, proponen programas de maestra similares. Para motivar a estudiantes a atender a esos cursos, se les ofrece la posibilidad de postular a la certificacin nacional del interventor de la seguridad. De otro lado, consideran que todos los estudiantes deben ser preparados para obtener conocimiento apropiado sobre riesgos y la existencia de las mejores prcticas y de herramientas de seguridad para la proteccin. Con ese propsito, comenzaron sesiones del conocimiento de verano para los nuevos profesores de las escuelas secundarias y estn motivando a todas las entidades de educacin para la introduccin de los cursos bsicos del conocimiento dentro de programas acadmicos, desde las escuelas secundarias hasta la universidad. CERT-TCC comenz el desarrollo del material y de los programas del conocimiento para las escuelas secundarias. Direccin y ayuda del incidente: Segn la ley relacionado con la seguridad computacional, las corporaciones privadas y pblicas deben informar al CERT-TCC sobre cualquier incidente, que pueda tener impacto en otros sistemas de informacin nacionales, con la garanta de confidencialidad ala que estn obligados los empleados del CERT-TCC y los interventores de la seguridad, bajo sanciones penales. Las organizaciones tanto privadas como pblicas deben confiar en el CERT-TCC por lo cual se obligan a guardar confidencial sobre sus identidades y la informacin sensible proporcionada. Tambin deben ser neutrales, que permita trabajar con las entidades y las entidades sin predisposicin. Se establecieron telfonos 7*24 que permiten a los profesionales y a los ciudadanos divulgar y llamar para solicitar ayuda en caso de incidentes de la seguridad
Pgina 168 de 205
computacional y tambin para solicitar la informacin y/o la ayuda en cualquier tema relacionado a la seguridad. En las actividades de direccin de la vulnerabilidad y del incidente se asigna una prioridad ms alta a los ataques y a las vulnerabilidades que afectan directamente el ciberespacio nacional. En este sentido se comenz a desarrollar un sistema llamado Saher que permite determinar y predecir amenazas grandes y potenciales a las infraestructuras de telecomunicacin sensibles y al Ciberespacio local, basado en cdigo abierto que permite supervisar la seguridad del Ciberespacio nacional en tiempo real para la deteccin temprana de ataques masivos. El primer prototipo fue desplegado en noviembre de 2005. Para asegurar una respuesta rpida y correcta en caso de ataques grandes contra el Ciberespacio, se ha desarrollado un plan global de la reaccin basado en el establecimiento de clulas de crisis coordinadas a nivel de varios agentes del Ciberespacio nacional ( ISPs, IDCs, proveedores de acceso, redes corporativas grandes) con CERT-TCC actuando como coordinador entre ellos. Colaboracin con asociaciones: Co-organizan regularmente talleres del conocimiento y entrenamiento buscando sinergia entre los profesionales y los agentes nacionales. Animan la creacin de dos asociaciones especializadas en el campo de la seguridad informtica: Una asociacin acadmica lanzada en 2005 (Asociacin Tunecina para la Seguridad Numrica) y durante 2006 (Asociacin Tunecina de Expertos en Seguridad Computacional). Con el propsito de motivar la agregacin tcnica de esas asociaciones, las estn motivando para la creacin de equipos de trabajo tcnicos. Colaboracin internacional: CERT-TCC se ha establecido como miembro de pleno derecho de FIRST en mayo de 2007 y busca colaborar con otros CSIRTs para lograr un apoyo mayor y colaboracin en investigaciones. Tambin intentan ser activos a nivel regional en frica y en organizaciones internacionales. 4.3.5.39.3. Estructura Cuenta con dos equipos: Equipo Amen: A cargo del anlisis del incidente y coordinacin y respuesta en sitio y en caso de emergencia nacional. Equipo Saherel: A cargo de la deteccin del incidente y del artefacto, que desarrolla y maneja un sistema de supervisin para el ciberespacio nacional, basado en soluciones de cdigo abierto. Est tambin a cargo de dar asistencia tcnica y ayuda para el despliegue de las soluciones de cdigo abierto. 4.3.5.39.4. rea de Influencia Tnez
Pgina 169 de 205
4.3.5.40. Venezuela CERT.ve44 (VenCERT Equipo de Respuesta para Emergencias Informticas) 4.3.5.40.1. Antecedentes El Ministerio de Ciencia y Tecnologa, cumpliendo su competencia en materia de Tecnologas de Informacin y Comunicacin, pone en marcha el proyecto parea conformar un Equipo de Respuesta para Emergencias Informticas a travs de la Superintendencia de Servicios de Certificacin Electrnica - SUSCERTE. Este equipo en conjunto con la academia, centralizar y coordinar los esfuerzos para el manejo de incidentes que afecten oi puedan afectar los recursos informticos de la Administracin Pblica, as como difundir informacin de cmo neutralizar incidentes, tomar precauciones para las amenazas de virus que puedan comprometer la disponibilidad y confiabilidad de las redes. Adems centralizar los reportes sobre incidentes de seguridad ocurridos en la Administracin Pblica y facilitar el intercambio de informacin para afrontarlos, provee documentacin y asesora sobre la seguridad informtica. Sus objetivos son combinar esfuerzos con la comunidad internet nacional e internacional para facilitar y proporcionar respuesta a los problemas de seguridad informtica que afecten o puedan afectar a los sistemas centrales, as como elevar la conciencia colectiva sobre temas de seguridad informtica y llevar a cabo tareas de investigacin que tengan como finalidad mejorar la seguridad de los sistemas existentes. Coordinar las acciones de monitoreo, deteccin temprana y respuesta ante incidentes de seguridad de informtica entre los rganos del Poder Pblico, as como el tratamiento formal de estos incidentes y su escalamiento ante las instancias correspondientes. La Superintendencia debe promocionar y divulgar el uso de Polticas de Seguridad, la firma electrnica y certificado electrnico apoyndose en los centros educativos, plantendose programas acadmicos que apoyen a dichos centros en las carreras jurdicas para dar a conocer la Ley sobre mensaje de Datos y Firma Electrnica, los reglamentos y las resoluciones de la superintendencia. As se pretende lograr que la Administracin Pblica venezolana identifique sus requisitos de seguridad y aplique medidas para alcanzarlos, mediante el uso de tres fuentes principales: Valoracin de los riesgos de cada uno de los Entes Gubernamentales. Con ello se identifican las amenazas a los activos, se evala la vulnerabilidad y la probabilidad de su ocurrencia y se estima su posible impacto. Determinacin de requisitos legales, estatutarios y regulatorios que deberan satisfacer los entes de la Administracin Pblica, sus usuarios, contratistas y proveedores de servicios.
44
Tomado de: http://www.cert.gov.ve/. U.A: 2008/09/26. Publicado por: Venezuela CERT.ve. Autor: No determinado.
Pgina 170 de 205
Establecimiento de los principios, objetivos y requisitos que forman parte del tratamiento de la informacin que el Gobierno Nacional ha desarrollado para apoyar sus operaciones.
Para ello el VenCERT (Centro de Respuestas ante incidentes telemticos del Sector Pblico) implementar un conjunto de polticas, prcticas, y procedimientos y los controles que garanticen el cumplimiento de los objetivos especficos de seguridad. Asimismo, orientar y asesorar en la definicin de estructuras organizativas, funciones de software y necesidades de formacin. El VenCERT deber igualmente constituirse en eje central de un sistema de investigacin cientfica aplicada a la seguridad telemtica, convirtindose en demandante principal de sus productos y proveedor permanente de nuevos temas de investigacin. 4.3.5.40.2. Servicios Ofrecidos Proveer un servicio especializado de asesoramiento en seguridad de redes Promover la coordinacin entre los organismos de la Administracin Pblica para prevenir, detectar, manejar y recuperar incidentes de seguridad. Centralizar los reportes sobre incidentes de seguridad ocurridos en la Administracin Pblica y facilitar el intercambio de informacin para afrontarlos. Crear listas de correo con el fin de mantener informados a los directores de informtica sobre las noticias ms recientes en materia de seguridad. 4.3.5.40.3. Estructura El VenCERT hace parte de la Superintendencia de Servicios de Certificacin Electrnica de Venezuela SUSCERTE. 4.3.5.40.4. rea de Influencia Administracin Pblica de Venezuela
Pgina 171 de 205
4.3.6.
EXPERIENCIAS O ANTECEDENTES EN COLOMBIA
4.3.6.1. CIRTISI Colombia45 (Centro de Informacin y Respuesta Tcnica a Incidentes de Seguridad Informtica de Colombia) 4.3.6.1.1. Antecedentes
En colaboracin de varas entidades gubernamentales se desarroll una primera propuesta para la constitucin de un Centro de Informacin y Respuesta Tcnica a Incidentes de Seguridad Informtica de Colombia CIRTISI. Segn esta propuesta, CIRTISI Colombia buscara propender por la prevencin, deteccin y reaccin frente a incidentes de seguridad informtica que amenacen y/o desestabilicen la normal operacin de entidades gubernamentales e incluso la seguridad nacional, mediante apoyo tecnolgico, entrenamiento y generacin de una cultura global de manejo de la informacin. Sus objetivos generales seran: Brindar apoyo a las entidades gubernamentales para la prevencin y rpida deteccin, identificacin, manejo y recuperacin frente a amenazas a la seguridad informtica. Interactuar con los entes de polica judicial generando un espacio de consulta frente a las amenazas de seguridad e investigaciones informticas. Proporcionar informacin especializada y conocimiento a las autoridades de polica judicial durante los procesos investigativos relacionados con la seguridad informtica. Construir un laboratorio de deteccin e identificacin, control y erradicacin de amenazas informticas para los diferentes organismos gubernamentales. Consolidar el capitulo HTCIA (High Technology Crime Investigation Association) Colombia y adelantar las actividades necesarias para su permanencia y crecimiento
Sus objetivos especficos seran: Proporcionar alertas tempranas frente a amenazas informticas que puedan desestabilizar la tecnologa y la seguridad nacional.
Documento: CIRTISI COLOMBIA, Tomado de
45
http://www.agenda.gov.co/documents/files/CIRTISI%20COLOMBIA%20aprobado%2024%20de%20mayo %20de%202007%202.pdf. U.A: 2008/09/26. Publicado por: el Programa Gobierno en Lnea. Autor: No determinado.
Pgina 172 de 205
Fomentar la investigacin y desarrollo de estrategias de seguridad informtica. Brindar una adecuada respuesta a incidentes de seguridad informtica, con un enfoque metodolgico que propenda por la eficiencia de las investigaciones realizadas. Establecer canales de comunicacin nacionales expeditos de manera que sea posible ofrecer una atencin a incidentes en forma efectiva. Generar redes de apoyo temticas en materia de seguridad de la informacin. Promover la coordinacin nacional con otras entidades pertinentes del orden regional Fortalecer la cooperacin con organismos intergubernamentales en el mbito subregional, regional e internacional. Impulsar la cooperacin internacional con organismos de similar naturaleza y propsito. Participar en el Forum of Incident Response and Security Teams (FIRST) Consolidar, mantener y liderar el capitulo HTCIA Colombia Fomentar una conciencia global de seguridad informtica Proveer un servicio especializado de asesoramiento en seguridad de redes. 4.3.6.1.2. Servicios Ofrecidos
Investigacin tcnica de amenazas informticas existentes e identificacin de tendencias. Generacin de alertas tempranas frente a las amenazas existentes, conocidas y potenciales. Entrenamiento local, nacional o internacional en materia de seguridad informtica y procedimientos de computacin forense para los organismos de polica judicial colombiana. Respuesta efectiva a incidentes de seguridad informtica que se presenten en cualquier rgano gubernamental, brindando apoyo tcnico para la recoleccin, anlisis, preservacin y presentacin de evidencia digital en incidentes que den lugar a investigaciones informticas.
Pgina 173 de 205
Promover la cultura de la seguridad informtica y la estandarizacin de protocolos de seguridad. Establecer contactos con equipos de similar naturaleza o propsito y con organizaciones que agrupen estos equipos, tanto a nivel nacional como internacional.
El CIRTISI - Colombia propone desarrollar sus actividades dentro de los siguientes ejes estratgicos: Desarrollo de Polticas: Promover la formulacin de polticas que contribuyan con la prevencin, deteccin, identificacin, manejo y recuperacin frente a amenazas a la seguridad informtica as como con la adopcin de legislacin para adecuar y actualizar la tipificacin de las conductas conocidas por el CIRTISI. Actividad Operacional: Obtener diagnsticos reales sobre las diferentes amenazas informticas que se generan a partir de una cobertura de servicios y sectores definida y, de la permanente capacitacin y optimizacin tecnolgica. Impacto Social: Generacin de una cultura global de manejo de la informacin y fomento de la conciencia frente a la seguridad informtica mediante la permanente socializacin de las amenazas conocidas y nuevas y su impacto sobre la seguridad informtica en Colombia. 4.3.6.1.3. Estructura
La conformacin del CIRTISI involucrara cinco reas o divisiones con liderazgo propio de manera que se puedan cubrir diversos aspectos de la seguridad informtica nacional.
Pgina 174 de 205
Ilustracin 6: Estructura CIRTISI Colombia Divisin de Infraestructura y Asesora: Esta divisin ser la encargada de todo el planeamiento logstico y estratgico necesario para la conformacin y puesta en operacin del CIRTISI - Colombia, apoyando directamente a la direccin general y junta directiva que se designe. Divisin de Alertas Tempranas y Coordinacin: Esta divisin se concentrar en el monitoreo de amenazas y coordinacin con CERTs nacionales e internacionales, generando las alertas tempranas frente a amenazas potenciales. En conjunto con la investigacin y desarrollo son el corazn del CIRTISI en la medida que se convierte en el punto de deteccin de amenazas globales. Adicionalmente, esta divisin est encargada de mantener una base estadstica de amenazas a la seguridad de la informacin. Divisin de Investigacin y Desarrollo: La divisin de Investigacin y Desarrollo estar encargada del laboratorio de amenazas, proporcionadas por la divisin de alertas tempranas, con el fin de identificar riesgos efectivos. Esta divisin afinar la base estadstica de amenazas convirtindolas en riesgos y generando las alertas acerca de aquellos riesgos que podran impactar de mayor manera la seguridad nacional. Estos estudios contribuirn con la elaboracin de diagnsticos sobre la situacin real del pas en materia de seguridad informtica. Adicionalmente, esta Divisin se encargar todo lo relacionado con capacitacin y entrenamiento tanto al interior del CIRTISI como hacia los diferentes entes del Gobierno. Asimismo, administrar y distribuir entre las entidades nacionales competentes las ofertas de cooperacin, asistencia y capacitacin en nuevas tecnologas y manejo de incidentes de seguridad informtica. Divisin de Respuesta a Incidentes: La Divisin de Respuesta a Incidentes ser el grupo de reaccin frente a cualquier incidente de seguridad de la informacin que se presente en el sector Gobierno. Esta divisin estar a cargo de los mecanismos de comunicacin nicos nacionales que atenderan y manejaran los requerimientos de incidentes. Adicionalmente,
Pgina 175 de 205
los funcionarios de esta divisin podrn interactuar con las entidades con funciones de polica judicial en el desarrollo de investigaciones informticas ofreciendo apoyo tcnico y especializado. Asimismo, el CIRTISI pondra a disposicin de dichas entidades las estadsticas sobre investigaciones informticas a nivel nacional. Inicialmente, contar con la infraestructura necesaria para brindar asistencia de lunes a viernes de 9:00 a 18:00 horas, y en el mediano plazo, a medida que aumente la capacidad y la demanda, entrara a operar en el modelo 24 horas al da, 7 das a la semana (7/24). Divisin de Divulgacin y Concienciacin: Esta Divisin ser la nica encargada de proporcionar la informacin oficial que se derive de las actividades del CIRTISI hacia los medios de comunicacin y la comunidad en general. Adicionalmente y, como parte de la misin social del CIRTISI, promover la generacin de conciencia en el adecuado manejo de la seguridad de la informacin.
Las entidades involucradas en su constitucin seran: Ministerio del Interior y de Justicia Ministerio de Defensa Nacional Ministerio de Relaciones Exteriores Ministerio de Comunicaciones Ministerio de Comercio, Industria y Turismo Departamento Administrativo de Seguridad (DAS) Polica Nacional (DIPOL, DIJIN) Comisin de Regulacin de Telecomunicaciones (CRT) Direccin Nacional de Planeacin (DNP) Fiscala General de la Nacin Cuerpo Tcnico de Investigacin (CTI) Procuradura General de la Nacin
Pgina 176 de 205
4.3.6.1.4.
rea de Influencia
El CIRTISI Colombia tendra un alcance nacional que abarca el sector Gobierno y brindara apoyo a las entidades gubernamentales para la prevencin y rpida deteccin, identificacin, manejo y recuperacin frente a amenazas a la seguridad informtica. Tambin brindara apoyo tcnico y proporcionara informacin especializada a los cuerpos de polica judicial y de control en aspectos relacionados con la seguridad informtica. En estos casos, manteniendo reserva en la informacin reportada a los organismos y teniendo en cuenta las responsabilidades y controles que el manejo de este tipo de informacin requiere. El CIRTISI establecera canales de interlocucin con usuarios del sector privado y la academia con el propsito de ampliar la informacin en materia de tendencias e investigacin. En este sentido, har seguimiento a los principales dispositivos, aplicaciones y herramientas (hardware, software), a fin de conocer las vulnerabilidades de los sistemas operativos, alertar y obrar en consecuencia. Adicionalmente, mantendr una base de datos de incidentes de seguridad, la cual servir para consulta, seguimiento, y permitir llevar un registro histrico de los mismos. El CIRTISI brindara capacitacin especializada a las reas tcnicas de las diferentes entidades nacionales. Teniendo en cuenta que la cooperacin e intercambio de informacin entre equipos de esta naturaleza est basada en la confianza, el CIRTISI - Colombia estara llamado a constituirse en el punto focal confiable para organismos similares en el mbito internacional. El CIRTISI entrara en contacto con otros Equipos de Seguridad existentes en el mundo, y con las organizaciones que los agrupan, y establecera canales comunicacin permanente para facilitar el intercambio de informacin tcnica, experiencias, metodologas, procesos, buenas prcticas y otros servicios que ofrecen dichas organizaciones.
Pgina 177 de 205
4.3.6.2. 4.3.6.2.1.
CSIRT Colombia46 (COL CSIRT) Antecedentes
El COL-CSIRT es un grupo de investigacin de la Universidad Distrital Francisco Jos de Caldas que pretende un marco de operacin nacional y cuyo constituyente estar dado por entidades de educacin superior y entidades oficiales del estado. Su objetivo es ofrecer un servicio de soporte a las entidades estatales y de educacin superior, para la prevencin, deteccin y correccin de los incidentes de seguridad informticos, con los siguientes objetivos especficos. Desarrollar una Base de Datos que contenga la informacin concerniente a los diferentes incidentes de seguridad informticos existentes y las preguntas ms frecuentemente contestadas (FAQ's). Prestar el soporte sobre Sistemas Operativos Windows y Linux (Unix). Utilizar la clasificacin taxonmica de los incidentes y ataques con cdigo malicioso propuesta en el proyecto de maestra en Teleinformtica titulado "ANLISIS DE INCIDENTES RECIENTES DE SEGURIDAD EN INTERNET 1995 a 2003" para ofrecer una respuesta oportuna, eficaz y eficiente a los distintos reportes y alertas que se reciban diariamente en el centro de respuesta. Establecer detalladamente los servicios que prestar el centro de respuesta con respecto a los incidentes de seguridad informticos. Integrar la base de datos del Centro de Respuesta a incidentes y ataques con cdigo malicioso, al portal WEB del COL-CSIRT que est siendo desarrollado por el grupo de investigacin ARQUISOFT de la Universidad Distrital Francisco Jos de Caldas.
46
Tomado de: http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=colcsirt . U.A: 2008/09/26. Publicado por:Universidad Distrital Francisco Jos de Caldas. Autores: Coordinadora: MsC. Zulima Ortiz Bayona. Docentes asistentes: Ing. Claudia Liliana Bucheli, Mara del Pilar Bohorquez. Estudiantes coordinadores: Erika Tatiana Luque Melo, Jeffrey Steve Borbn Sanabria, Anthony Molina. Estudiantes investigadores: Lina Rocio Infante, Diego Alfonso Barrios Contreras, Ivon Carolina Rodrguez Parra, Laura Patricia Ortiz Ortiz, Diego Ivn Arango, Jorge Eduardo Ibez Seplveda, Edwin Giovanny Gutierrez Ramrez, Jairo Andrs Gmez Monrroy, Rene Alejandro Rangel Segura, Alvaro Hernando Talero Nio, Daniel Arturo Acosta, Camilo Andrs Alfonso Vargas, Mnica Patricia Basto Guevara, Wilmer Daniel Galvis, Saira Carvajal, Diana Marcela Cotte Corredor, Luis Francisco Fontalvo Romero, Cristian Camilo Betancourt Lemus, Rodrigo Cruz Hernndez, Julin Bonilla M, Jorge Gamba V, Giulio Leonardo Aquite Pinzn, Nidia Marcela Corcovado B, Jorge Andrs Diab, Daniel Felipe Rentera Martnez
Pgina 178 de 205
4.3.6.2.2.
Servicios Ofrecidos
Prestar el servicio de manejo de incidentes de seguridad informticos, a travs del anlisis de incidentes, respuesta a los incidentes en lnea, soporte a la respuesta del incidente y la coordinacin de la respuesta del incidente. 4.3.6.2.3. Estructura docentes asistentes, estudiantes
El grupo est compuesto por una coordinacin, coordinadores y estudiantes investigadores. 4.3.6.2.4. Colombia 4.3.6.3. 4.3.6.3.1. rea de Influencia
Comit Interamericano Contra el Terrorismo de la OEA (CICTE) Antecedentes
En junio de 2004 se llev a cabo un taller para practicantes en materia de seguridad ciberntica del CICTE sobre la estrategia integral de seguridad ciberntica de la OEA 47, y sirvi como marco para establecer una Red Interamericana CSIRT de vigilancia y alerta. Su objetivo era crear una red hemisfrica de puntos nacionales de contacto entre equipos de respuesta a incidentes de seguridad en computadoras (Computer Security Incident Response Teams: CSIRT) con responsabilidad nacional (CSIRT nacionales), en los Estados Miembros de la OEA, con el mandato y la capacidad de responder debida y rpidamente a las crisis, incidentes y peligros relacionados con la seguridad ciberntica. Estos equipos podran comenzar simplemente como puntos de contacto oficiales en cada uno de los Estados y estaran a cargo de recibir informacin sobre seguridad ciberntica. En el futuro se convertiran en un CSIRT. Reviste importancia creciente la colaboracin mundial y la capacidad de respuesta en tiempo real entre los equipos. Dicha colaboracin debe permitir lo siguiente: El establecimiento de CSIRT en cada uno de los Estados Miembros El fortalecimiento de los CSIRT hemisfricos
47
Tomado
de:
http://www.cicte.oas.org/Rev/en/Documents/OAS_GA/AG-RES.%202004%20(XXXIV-O-
04)_SP.pdf. U.A: 2008/09/26. Publicado por: Comit Interamericano Contra el Terrorismo de la OEA. Autor: No determinado.
Pgina 179 de 205
La identificacin de los puntos de contacto nacionales La identificacin de los servicios crticos El diagnstico rpido y preciso del problema El establecimiento de protocolos y procedimientos para el intercambio de informacin La pronta diseminacin regional de advertencias sobre ataques La pronta diseminacin regional de advertencias sobre vulnerabilidades genricas a difusin de un alerta regional sobre actividades sospechosas y la colaboracin para analizar y diagnosticar tales actividades El suministro de informacin sobre medidas para mitigar y remediar los ataques y amenazas La reduccin de duplicaciones de anlisis entre los equipos El fortalecimiento de la cooperacin tcnica y la capacitacin en materia de seguridad ciberntica para establecer los CSIRTs nacionales La utilizacin de los mecanismos subregionales existentes.
En mayo de 2008 se llev a cabo en la ciudad de Bogot una capacitacin en Fundamentos para creacin y manejo de un CSIRT organizada por la Secretara del CICTE en coordinacin con la Cancillera y la Polica Nacional de Colombia (DIJIN), con la participacin de representantes de Bolivia, Chile, Ecuador, Paraguay, Per, Repblica Dominicana, y Colombia, con responsabilidades tcnicas y/o polticas relativas al desarrollo de su infraestructura nacional de seguridad ciberntica, incluida la creacin y desarrollo de Computer Security Incident Response Teams (CSIRT).
Pgina 180 de 205
4.4. DIAGNSTICO 4: INICIATIVAS Y PROGRAMAS NACIONALES DE SENSIBILIZACIN A LA COMUNIDAD PARA EL USO ADECUADO DE LOS SERVICIOS ELECTRNICOS
4.4.1. Introduccin
Relacin documental, con descripcin temtica, enlace, vigencia y fuente de la iniciativa o programas nacionales de sensibilizacin a la comunidad para el uso adecuado de los servicios electrnicos.
4.4.2.
Relacin documentada
El avance en Colombia de este tipo de iniciativas es bien incipiente. La bsqueda documental condujo al hallazgo de publicaciones en Internet de una serie de recomendaciones para el uso de servicios electrnicos a nivel del sector financiero del cual se incluyen algunos ejemplos y un par de ejemplos del sector telecomunicaciones, los dos sectores ms golpeados por incidentes de seguridad informtica. En cuanto a iniciativas, se encontr el proyecto Preprese de Agenda de Conectividad. A continuacin la relacin de los documentos consultados:
Nombre Documento Resumen Enlace documento Vigencia y Aplicacin 2004/11/01 Fuente
PHISHING
Recomendaciones tanto para la www.asobancaria.com/upl empresa como para los clientes sobre oad/docs/docPub2820_1.p los ataques por Internet tipo Phishing df (pesca de informacin) que utilizan correos electrnicos mal intencionados con mensajes inquietantes para llamar la atencin y sitios en Internet URLs para engaar a las personas de manera que divulguen su informacin financiera como el nmero de cuenta, nmeros tarjeta de crdito, nombre y contrasea de su cuenta, nmero de cdula, etc..
Asociacin Bancaria y de Entidades Financieras de Colombia - Asobancaria
SEGURIDAD EN EL Informacin y recomendaciones de http://www.bancodebogot USO DE LOS MEDIOS Seguridad al cliente, las cuales le a.com.co/portal/page? Y CANALES permitan identificar posibles situaciones _pageid=793,4216291&_ de riesgo y darle guas sobre como dad=portal&_schema=PO actuar ante ellas en los servicios de RTAL Internet, banca mvil, cajeros automticos, servilnea y call center, tarjetas y seguridad fsica en oficinas
No Aplica
Banco de Bogot
Pgina 181 de 205
Nombre Documento Resumen Enlace documento Vigencia y Aplicacin No Aplica. Fuente
CONSEJOS PARA TENER SIEMPRE PRESENTES
Consejos para los clientes en cuanto al http://suite.etb.net.co/seg manejo del correo electrnico, uridad/tips_seguridad.asp navegacion en internet, mensajera instantnea, Chat, comercio electrnico y entidades bancarias, juegos en lnea, etc.
Empresa de Telecomunic aciones de Bogot ETB E.S.P.
SEGURIDAD EN LAS Recomendaciones de seguridad para http://www.grupobancolo TRANSACCIONES, que los clientes estn alertas a la hora mbia.com/personal/inform UN COMPROMISO de utilizar los servicios del banco como: acionEmpresarial/aprenda COMPARTIDO ENTRE Tarjetas, cajero electrnicos, Internet y Seguridad/cajeroAutomati BANCOLOMBIA Y seguridad en oficinas. cos/index.asp? SUS CLIENTES opcion=op1
No Aplica.
Grupo Bancolombia
BIENVENIDO A LA CAPACITACION VIRTUAL
Presentacin y acceso a los mdulos de http://preparese.agenda.g 2007/11/01 capacitacin virtual en los temas de: ov.co/ Gestin del Cambio y Servicio al Cliente, Gerencia de Proyectos de Tecnologa, Seguridad Informtica y Mejores Prcticas en la Gestin de Tecnologa, Arquitectura Orientada a Servicios SOA y Plataforma de Interoperabilidad Recomendaciones a los clientes para www.telefonica.com.pe/n prevenir fraudes ya que los oticias/pdf/servicios.pdf delincuentes utilizan identidades falsas ocasionando que al cliente se le incremente la cuenta telefnica o le involucran en servicios no solicitados. No Aplica.
Ministerio de Comunicacio nes de Colombia Proyecto Preprese de Agenda de Conectividad. Telefnica S.A.
EL "PRESTAR EL NOMBRE" ES UNA PRCTICA INDEBIDA QUE UTILIZAN LOS FRAUDULENTOS PARA ADQUIRIR NUESTROS SERVICIOS
4.4.3.
Conclusiones
La bsqueda en cuanto a iniciativas nacionales en temas de sensibilizacin a la comunidad en el uso adecuado de las tecnologas permite establecer que los avances en este aspecto en Colombia son tenues por no decir nulos. Las entidades que ms han desarrollado esfuerzos sobre el particular son las entidades del sector financiero y las de las telecomunicaciones en razn a que el fraude es uno de sus riesgos inherentes y que han sido vctimas de ataques informticos. Dichas iniciativas tienen por limitante que slo llegan al universo de clientes y usuarios de los servicios de cada una de dichas entidades. En cuanto al proyecto Preprese desarrollado por Agenda de Conectividad, es un esfuerzo ms orientado a la difusin de conocimientos tcnicos que a campaas de sensibilizacin, aunque su diseo puede tomarse como base para el desarrollo de campaas de toma de conciencia en seguridad de la informacin, un reto bien importante que enfrenta Gobierno en Lnea y que puede ser el diferenciador para que el modelo de seguridad definido por la consultora se implemente de manera exitosa.
Pgina 182 de 205
5.
A
TERMINOLOGA48
Accin correctiva: (Ingls: Corrective action). Medida de tipo reactivo orientada a eliminar la causa de una no-conformidad asociada a la implementacin y operacin del SGSI con el fin de prevenir su repeticin. Accin preventiva: (Ingls: Preventive action). Medida de tipo pro-activo orientada a prevenir potenciales no-conformidades asociadas a la implementacin y operacin del SGSI. Accreditation body: Vase: Entidad de acreditacin. Aceptacin del Riesgo: (Ingls: Risk acceptance). Segn [ISO/IEC Gua 73:2002]: Decisin de aceptar un riesgo. Activo: (Ingls: Asset). En relacin con la seguridad de la informacin, se refiere a cualquier informacin o sistema relacionado con el tratamiento de la misma que tenga valor para la organizacin. Segn [ISO/IEC 13335-1:2004]: Cualquier cosa que tiene valor para la organizacin. Alcance: (Ingls: Scope). mbito de la organizacin que queda sometido al SGSI. Debe incluir la identificacin clara de las dependencias, interfaces y lmites con el entorno, sobre todo si slo incluye una parte de la organizacin. Alerta: (Ingls: Alert). Una notificacin formal de que se ha producido un incidente relacionado con la seguridad de la informacin que puede evolucionar hasta convertirse en desastre. Amenaza: (Ingls: Threat). Segn [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el dao a un sistema o la organizacin. Anlisis de riesgos: (Ingls: Risk analysis). Segn [ISO/IEC Gua 73:2002]: Uso sistemtico de la informacin para identificar fuentes y estimar el riesgo.
48
Crditos, glosario tomado de www.iso27000.es. Permisos solicitados.

Pgina 183 de 205
Anlisis de riesgos cualitativo: (Ingls: Qualitative risk analysis). Anlisis de riesgos en el que se usa una escala de puntuaciones para situar la gravedad del impacto. Anlisis de riesgos cuantitativo: (Ingls: Quantitative risk analysis). Anlisis de riesgos en funcin de las prdidas financieras que causara el impacto. Asset: Vase: Activo. Assets inventory: Vase: Inventario de activos. Audit: Vase: Auditora. Auditor: (Ingls: Auditor). Persona encargada de verificar, de manera independiente, la calidad e integridad del trabajo que se ha realizado en un rea particular. Auditor de primera parte: (Ingls: First party auditor). Auditor interno que audita la organizacin en nombre de ella misma. En general, se hace como mantenimiento del sistema de gestin y como preparacin a la auditora de certificacin. Auditor de segunda parte: (Ingls: Second party auditor). Auditor de cliente, es decir, que audita una organizacin en nombre de un cliente de la misma. Por ejemplo, una empresa que audita a su proveedor de outsourcing. Auditor de tercera parte: (Ingls: Third party auditor). Auditor independiente, es decir, que audita una organizacin como tercera parte independiente. Normalmente, porque la organizacin tiene la intencin de lograr la certificacin. Auditor jefe: (Ingls: Lead auditor). Auditor responsable de asegurar la conduccin y realizacin eficiente y efectiva de la auditora, dentro del alcance y del plan de auditora aprobado por el cliente. Auditora: (Ingls: Audit). Proceso planificado y sistemtico en el cual un auditor obtiene evidencias objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una organizacin. Autenticacin: (Ingls: Authentication). identificacin de una persona o sistema. Authentication: Vase: Autenticacin. Availability: Vase: Disponibilidad. Proceso que tiene por objetivo asegurar la
B
Pgina 184 de 205
BS7799: Estndar britnico de seguridad de la informacin, publicado por primera vez en 1995. En 1998, fue publicada la segunda parte. La parte primera es un conjunto de buenas prcticas para la gestin de la seguridad de la informacin -no es certificable- y la parte segunda especifica el sistema de gestin de seguridad de la informacin -es certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la parte segunda de ISO 27001. Como tal estndar, ha sido derogado ya, por la aparicin de estos ltimos. BSI: British Standards Institution. Comparable al AENOR espaol, es la Organizacin que ha publicado la serie de normas BS 7799, adems de otros varios miles de normas de muy diferentes mbitos. Business Continuity Plan: Vase: Plan de continuidad del negocio.
C CERT (Computer Emergency Response Team): Equipo de Respuesta a Emergencias Computacionales (Marca registrada por la Universidad Carnegie - Melon). Certification body: Vase: Entidad de certificacin. CIA: Acrnimo ingls de confidencialidad, integridad y disponibilidad, los parmetros bsicos de la seguridad de la informacin. CID: Acrnimo espaol de confidencialidad, integridad y disponibilidad, los parmetros bsicos de la seguridad de la informacin. CCEB: Criterio Comn para la Seguridad de Tecnologa de Informacin. Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de la auditora, sirve de evidencia del plan de auditora, asegura su continuidad y profundidad y reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas tambin se pueden utilizar durante la implantacin del SGSI para facilitar su desarrollo. Clear desk policy: Vase: Poltica de escritorio despejado. CobiT: Control Objectives for Information and related Technology. Publicados y mantenidos por ISACA. Su misin es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnologa de Informacin rectores, actualizados, internacional y generalmente aceptados para ser empleados por gerentes de empresas y auditores. Cdigo malicioso (Malicious Code, Malware): Cubre virus, gusanos, y Troyanos electrnicos. Se pueden distribuir a travs de varios mtodos incluyendo el email, Web site, shareware / freeware y de otros medios tales como material promocional.
Pgina 185 de 205
Compromiso de la Direccin: (Ingls: Management commitment). Alineamiento firme de la Direccin de la organizacin con el establecimiento, implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del SGSI. Confidencialidad: (Ingls: Confidenciality). Acceso a la informacin por parte nicamente de quienes estn autorizados. Segn [ISO/IEC 13335-1:2004]:" caracterstica/propiedad por la que la informacin no est disponible o revelada a individuos, entidades, o procesos no autorizados. Confidenciality: Vase: Confidencialidad. Contramedida: (Ingls: Countermeasure). Vase: Control. Control: Las polticas, los procedimientos, las prcticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la informacin por debajo del nivel de riesgo asumido. (Nota: Control es tambin utilizado como sinnimo de salvaguarda o contramedida. Control correctivo: (Ingls: Corrective control). Control que corrige un riesgo, error, omisin o acto deliberado antes de que produzca prdidas. Supone que la amenaza ya se ha materializado pero que se corrige. Control detectivo: (Ingls: Detective control). Control que detecta la aparicin de un riesgo, error, omisin o acto deliberado. Supone que la amenaza ya se ha materializado, pero por s mismo no la corrige. Control disuasorio: (Ingls: Deterrent control). Control que reduce la posibilidad de materializacin de una amenaza, p.ej., por medio de avisos disuasorios. Control preventivo: (Ingls: Preventive control). Control que evita que se produzca un riesgo, error, omisin o acto deliberado. Impide que una amenaza llegue siquiera a materializarse. Control selection: Vase: Seleccin de controles. Corrective action: Vase: Accin correctiva. Corrective control: Vase: Control correctivo. COSO: Committee of Sponsoring Organizations of the Treadway Commission. Comit de Organizaciones Patrocinadoras de la Comisin Treadway. Se centra en el control interno, especialmente el financiero. En Colombia este estndar fue utilizado para realizar el estndar de control interno MECI. Countermeasure: Contramedida. Vase: Control.
Pgina 186 de 205
CSIRT (Computer Security Incident Response Team): Equipo de Respuesta a Incidentes de Seguridad Computacional
D Declaracin de aplicabilidad: (Ingls: Statement of Applicability; SOA). Documento que enumera los controles aplicados por el SGSI de la organizacin -tras el resultado de los procesos de evaluacin y tratamiento de riesgos- adems de la justificacin tanto de su seleccin como de la exclusin de controles incluidos en el anexo A de la norma. Denial of service: Vase: Negacin de Servicios. Desastre: (Ingls: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios habituales de una organizacin durante el tiempo suficiente como para verse la misma afectada de manera significativa. Detective control: Vase: Control detectivo. Deterrent control: Vase: Control disuasorio. Directiva: (Ingls: Guideline). Segn [ISO/IEC 13335-1:2004]: una descripcin que clarifica qu debera ser hecho y cmo, con el propsito de alcanzar los objetivos establecidos en las polticas. Disaster: Vase: Desastre. Disponibilidad: (Ingls: Availability). Acceso a la informacin y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Segn [ISO/IEC 133351:2004]: caracterstica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada.
E Entidad de acreditacin: (Ingls: Accreditation body). Un organismo oficial que acredita a las entidades certificadoras como aptas para certificar segn diversas normas. Suele haber una por pas. Son ejemplos de entidades de acreditacin: ENAC (Espaa), UKAS (Reino Unido), EMA (Mxico), OAA (Argentina)... Entidad de certificacin: (Ingls: Certification body). Una empresa u organismo acreditado por una entidad de acreditacin para auditar y certificar segn diversas normas (ISO 27000, ISO 9000, ISO 14000, etc.) a empresas usuarias de sistemas de gestin.
Pgina 187 de 205
ESF: Foro europeo de seguridad, en el que cooperan ms de 70 multinacionales fundamentalmente europeas con el objeto de llevar a cabo investigaciones relativas a los problema comunes de seguridad y control en TI. Evaluacin de riesgos: (Ingls: Risk evaluation). Segn [ISO/IEC Gua 73:2002]: proceso de comparar el riesgo estimado contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo. Evento: (Ingls: information security event). Segn [ISO/IEC TR 18044:2004]: Suceso identificado en un sistema, servicio o estado de la red que indica una posible brecha en la poltica de seguridad de la informacin o fallo de las salvaguardias, o una situacin anterior desconocida que podra ser relevante para la seguridad. Evidencia objetiva: (Ingls: Objective evidence). Informacin, registro o declaracin de hechos, cualitativa o cuantitativa, verificable y basada en observacin, medida o test, sobre aspectos relacionados con la confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e implementacin de un elemento del sistema de seguridad de la informacin.
F Fase 1 de la auditora: Fase en la que, fundamentalmente a travs de la revisin de documentacin, se analiza en SGSI en el contexto de la poltica de seguridad de la organizacin, sus objetivos, el alcance, la evaluacin de riesgos, la declaracin de aplicabilidad y los documentos principales, estableciendo un marco para planificar la fase 2. Fase 2 de la auditora: Fase en la que se comprueba que la organizacin se ajusta a sus propias polticas, objetivos y procedimientos, que el SGSI cumple con los requisitos de ISO 27001 y que est siendo efectivo. FIRST (Forum of Incident Response and Security Teams): Foro global de Equipos de Respuesta a Incidentes y Seguridad. First party auditor: Vase: Auditor de primera parte.
G Gestin de claves: (Ingls: Key management). Controles referidos a la gestin de claves criptogrficas. Gestin de riesgos: (Ingls: Risk management). Proceso de identificacin, control y minimizacin o eliminacin, a un coste aceptable, de los riesgos que afecten a la informacin
Pgina 188 de 205
de la organizacin. Incluye la valoracin de riesgos y el tratamiento de riesgos. Segn [ISO/IEC Gua 73:2002]: actividades coordinadas para dirigir y controlar una organizacin con respecto al riesgo. Guideline: Vase: Directiva.
H Hacking: Es el trmino que cubre cualquier tentativa de tener acceso desautorizado a un sistema informtico. Humphreys, Ted: Experto en seguridad de la informacin y gestin del riesgo, considerado "padre" de las normas BS 7799 e ISO 17799 y, por tanto, de ISO 27001 e ISO 27002.
I I4: Instituto Internacional para la Integridad de la Informacin, asociacin similar a la ESF, con metas anlogas y con sede principal en los EE.UU. Es manejado por el Instituto de Investigacin de Standford. IBAG: Grupo asesor de empresas de Infosec, representantes de la industria que asesoran al Comit de Infosec. Este comit est integrado por funcionarios de los gobiernos de la Comunidad Europea y brinda su asesoramiento a la Comisin Europea en asuntos relativos a la seguridad de TI. IEC: International Electrotechnical Commission. Organizacin internacional que publica estndares relacionados con todo tipo de tecnologas elctricas y electrnicas. IIA: Instituto de Auditores Internos. Impacto: (Ingls: Impact). El coste para la empresa de un incidente -de la escala que sea-, que puede o no ser medido en trminos estrictamente financieros -p.ej., prdida de reputacin, implicaciones legales, etc. Impact: Vase: Impacto. Incidente: Segn [ISO/IEC TR 18044:2004]: Evento nico o serie de eventos de seguridad de la informacin inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la informacin. Algunos ejemplos comunes son:
Pgina 189 de 205
o o
Spam: Envo de correo masivo no solicitado. Tomar el control de la computadora del alguien diferente usando un virus informtico, un error del software, un Troyano, etc. Negacin del servicio de la computadora o de la red. Infraccin de copyright: msica, pelculas, programas de computadora, etc. Phishing: Generalmente enviando correos electrnicos que intentan inducir a brindar datos importantes. Pharming: Redirigir trfico de la red de un servidor a otra red controlada para descubrir cdigos de acceso o informacin confidencial.
o o o
Information processing facilities: Vase: Servicios de tratamiento de informacin. Information Systems Management System: Vase: SGSI. Information security: Vase: Seguridad de la informacin. INFOSEC: Comit asesor en asuntos relativos a la seguridad de TI de la Comisin Europea. Integridad: (Ingls: Integrity). Mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Segn [ISO/IEC 13335-1:2004]: propiedad/caracterstica de salvaguardar la exactitud y completitud de los activos. Integrity: Vase: Integridad. Inventario de activos: (Ingls: Assets inventory). Lista de todos aquellos recursos (fsicos, de informacin, software, documentos, servicios, personas, reputacin de la organizacin, etc.) dentro del alcance del SGSI, que tengan valor para la organizacin y necesiten por tanto ser protegidos de potenciales riesgos. IRCA: International Register of Certified Auditors. Acredita a los auditores de diversas normas, entre ellas ISO 27001. ISACA: Information Systems Audit and Control Association. Publica CobiT y emite diversas acreditaciones en el mbito de la seguridad de la informacin. ISACF: Fundacin de Auditora y Control de Sistemas de Informacin. ISC2: Information Systems Security Certification Consortium, Inc. Organizacin sin nimo de lucro que emite diversas acreditaciones en el mbito de la seguridad de la informacin.
Pgina 190 de 205
ISMS: Information Systems Management System. Vase: SGSI. ISO: Organizacin Internacional de Normalizacin, con sede en Ginebra (Suiza). Es una agrupacin de organizaciones nacionales de normalizacin cuyo objetivo es establecer, promocionar y gestionar estndares. ISO 17799: Cdigo de buenas prcticas en gestin de la seguridad de la informacin adoptado por ISO transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el 1 de Julio de 2007. ISO 19011: Guidelines for quality and/or environmental management systems auditing. Gua de utilidad para el desarrollo de las funciones de auditor interno para un SGSI. ISO 27001: Estndar para sistemas de gestin de la seguridad de la informacin adoptado por ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicacin en 2005. ISO 27002: Cdigo de buenas prcticas en gestin de la seguridad de la informacin (transcripcin de ISO 17799). No es certificable. Cambio de oficial de nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1 de Julio de 2007. ISO 9000: Normas de gestin y garanta de calidad definidas por la ISO. ISO/IEC TR 13335-3: Information technology . Guidelines for the management of IT Security .Techniques for the management of IT Security. Gua de utilidad en la aplicacin de metodologas de evaluacin del riesgo. ISO/IEC TR 18044: Information technology . Security techniques . Information security incident management Gua de utilidad para la gestin de incidentes de seguridad de la informacin. ISSA: Information Systems Security Association. ISSAP: Information Systems Security Architecture Professional. Una acreditacin de ISC2. ISSEP: Information Systems Security Engineering Professional. Una acreditacin de ISC2. ISSMP: Information Systems Security Management Professional. Una acreditacin de ISC2. ITIL: IT Infrastructure Library. Un marco de gestin de los servicios de tecnologas de la informacin. ITSEC: Criterios de evaluacin de la seguridad de la tecnologa de informacin. Se trata de criterios unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. Tambin cuentan con el respaldo de la Comisin Europea (vase tambin TCSEC, el equivalente de EEUU).
Pgina 191 de 205
J JTC1: Joint Technical Committee. Comit tcnico conjunto de ISO e IEC especfico para las TI.
K Key management: Vase: Gestin de claves.
L Lead auditor: Vase: Auditor jefe.
M Major nonconformity: Vase: No conformidad grave. Malware: Vase: Cdigo malicioso. Management commitment: Vase: Compromiso de la Direccin.
N NBS: Oficina Nacional de Normas de los EE.UU. Negacin del Servicio (Denial of Service DoS): Los ataques de negacin del servicio se disean generalmente para obstruir sistemas informticos de red con una inundacin de trfico en la red. Esta inundacin del trfico tiene a menudo el efecto de negar el acceso al sistema informtico para los usuarios legtimos. El trfico indeseado se genera a menudo usando los sistemas informticos inocentes conocidos como zombis, que se ha infectado previamente con cdigo malvolo.
Pgina 192 de 205
NIST: (ex NBS) Instituto Nacional de Normas y Tecnologa, con sede en Washington, D.C. No conformidad: (Ingls: Nonconformity). Situacin aislada que, basada en evidencias objetivas, demuestra el incumplimiento de algn aspecto de un requerimiento de control que permita dudar de la adecuacin de las medidas para preservar la confidencialidad, integridad o disponibilidad de informacin sensible, o representa un riesgo menor. No conformidad grave: (Ingls: Major nonconformity). Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que, basada en evidencias objetivas, permita dudar seriamente de la adecuacin de las medidas para preservar la confidencialidad, integridad o disponibilidad de informacin sensible, o representa un riesgo inaceptable. Nonconformity: Vase: No conformidad.
O Objective evidence: Vase: Evidencia objetiva. Objetivo: (Ingls: Objetive). Declaracin del resultado o fin que se desea lograr mediante la implementacin de procedimientos de control en una actividad de TI determinada. OCDE: Organizacin de Cooperacin y Desarrollo Econmico. Tiene publicadas unas guas para la seguridad de la informacin.
P PDCA: Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI). Plan de continuidad del negocio: (Ingls: Bussines Continuity Plan). Plan orientado a permitir la continuacin de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en peligro. Plan de tratamiento de riesgos: (Ingls: Risk treatment plan). Documento de gestin que define las acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la informacin inaceptables e implantar los controles necesarios para proteger la misma. Poltica de seguridad: (Ingls: Security policy). Documento que establece el compromiso de la Direccin y el enfoque de la organizacin en la gestin de la seguridad de la informacin.
Pgina 193 de 205
Segn [ISO/IEC 27002:2005]: intencin y direccin general expresada formalmente por la Direccin. Poltica de escritorio despejado: (Ingls: Clear desk policy). La poltica de la empresa que indica a los empleados que deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso al finalizar el da. Preventive action: Vase: Accin preventiva. Preventive control: Vase: Control preventivo.
Q Qualitative risk analysis: Vase: Anlisis de riesgos cualitativo. Quantitative risk analysis: Vase: Anlisis de riesgos cuantitativo.
R Residual Risk: Vase: Riesgo Residual. Riesgo: (Ingls: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una prdida o dao en un activo de informacin. Segn [ISO Gua 73:2002]: combinacin de la probabilidad de un evento y sus consecuencias. Riesgo Residual: (Ingls: Residual Risk). Segn [ISO/IEC Gua 73:2002] El riesgo que permanece tras el tratamiento del riesgo. Risk: Vase: Riesgo. Risk acceptance: Vase: Aceptacin del riesgo. Risk analysis: Vase: Anlisis de riesgos. Risk assessment: Vase: Valoracin de riesgos. Risk evaluation: Vase: Evaluacin de riesgos. Risk management: Vase: Gestin de riesgos.
Pgina 194 de 205
Risk treatment: Vase: Tratamiento de riesgos. Risk treatment plan: Vase: Plan de tratamiento de riesgos.
S Safeguard: Salvaguardia. Vase: Control. Salvaguardia: (Ingls: Safeguard). Vase: Control. Sarbanes-Oxley: Ley de Reforma de la Contabilidad de Compaas Pblicas y Proteccin de los Inversores aplicada en EEUU desde 2002. Crea un consejo de supervisin independiente para supervisar a los auditores de compaas pblicas y le permite a este consejo establecer normas de contabilidad as como investigar y disciplinar a los contables. Tambin obliga a los responsables de las empresas a garantizar la seguridad de la informacin financiera. Scope: Vase: Alcance. Second party auditor: Vase: Auditor de segunda parte. Security Policy: Vase: Poltica de seguridad. Segregacin de tareas: (Ingls: Segregation of duties). Reparto de tareas sensibles entre distintos empleados para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por negligencia. Segregation of duties: Vase: Segregacin de tareas. Seguridad de la informacin: Segn [ISO/IEC 27002:2005]: Preservacin de la confidencialidad, integridad y disponibilidad de la informacin; adems, otras propiedades como autenticidad, responsabilidad, no repudio y fiabilidad pueden ser tambin consideradas. Seleccin de controles: Proceso de eleccin de los controles que aseguren la reduccin de los riesgos a un nivel aceptable. SGSI: (Ingls: ISMS). Sistema de Gestin de la Seguridad de la Informacin. Segn [ISO/IEC 27001:2005]: la parte de un sistema global de gestin que, basado en el anlisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la informacin. (Nota: el sistema de gestin incluye una estructura de organizacin, polticas, planificacin de actividades, responsabilidades, procedimientos, procesos y recursos.)
Pgina 195 de 205
Servicios de tratamiento de informacin: (Ingls: Information processing facilities). Segn [ISO/IEC 27002:2005]: cualquier sistema, servicio o infraestructura de tratamiento de informacin o ubicaciones fsicas utilizados para su alojamiento. Sistema de Gestin de la Seguridad de la Informacin: (Ingls: Information Systems Management System). Ver SGSI. SOA: Statement of Applicability. Vase: Declaracin de aplicabilidad. SSCP: Systems Security Certified Practitioner. Una acreditacin de ISC2. Statement of Applicability: Vase: Declaracin de aplicabilidad.
T TCSEC: Criterios de evaluacin de la seguridad de los sistemas de computacin, conocidos tambin con el nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los EE.UU. Vase tambin ITSEC, el equivalente europeo. TERENA (Trans-European Research and Education Networking Association): Una organizacin europea que soporta la Internet y las actividades y servicios sobre la infraestructura con la comunidad acadmica. TF-CSIRT: Foro internacional para la cooperacin en CSIRT a nivel Europeo. Consiste en 2 grupos, uno cerrado accessible solo para equipos acreditados y uno abierto acesible a cualquier persona interesada en CSIRT. TF-CSIRT es una de las actividades de la organizacin internacional TERENA. Third party auditor: Vase: Auditor de tercera parte. Threat: Vase: Amenaza. TickIT: Gua para la Construccin y Certificacin del Sistema de Administracin de Calidad del Software. Tratamiento de riesgos: (Ingls: Risk treatment). Segn [ISO/IEC Gua 73:2002]: Proceso de seleccin e implementacin de medidas para modificar el riesgo.
Pgina 196 de 205
V Valoracin de riesgos: (Ingls: Risk assessment). Segn [ISO/IEC Gua 73:2002]: Proceso completo de anlisis y evaluacin de riesgos. Vulnerabilidad: (Ingls: Vulnerability). Debilidad en la seguridad de la informacin de una organizacin que potencialmente permite que una amenaza afecte a un activo. Segn [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza. Vulnerability: Vase: Vulnerabilidad.
W WG1, WG2, WG3, WG4, WG5: WorkGroup 1, 2, 3, 4, 5. Grupos de trabajo del subcomit SC27 de JTC1 (Joint Technical Committee) de ISO e IEC. Estos grupos de trabajo se encargan del desarrollo de los estndares relacionados con tcnicas de seguridad de la informacin.
Pgina 197 de 205
6.
APNDICES
Anexo 1 Anexo 2 Anexo 3 Anexo 4 Anexo 5 Anexo 6 Anexo 7 Anexo 8 Anexo 9 Anexo 10 Anexo 11 Anexo 12 Anexo 13 Anexo 14 Anexo 15 Anexo 16
Mapa de Interrelacin de Estndares de Seguridad de la Informacin.xls ACTO LEGISLATIVO 01 DE 2003.pdf ACUERDO 184 DE 2005.pdf Acuerdos.pdf AG RES 2004 XXXIV004.pdf ARTICULO 583.pdf CNUDM COMERCIO ELECTRONICO.pdf CODIGO CONTENCIOSO ADMINISTRATIVO.pdf CONPES 203072.pdf CONST. POLITICA DE COLOMBIA 1991.pdf Const. Portuguesa de 2 abril 76.pdf CONSTITUCION POLITICA DE COLOMBIA 1991.pdf Constitucin Espaola de 1978.pdf CONVENCION AMERICANA SOBRE DERECHOS HUMANOS.pdf CONVENIO N 108 DEL CONSEJO.pdf CORTE SUPREMA DE JUSTICIA.pdf
Pgina 198 de 205
Anexo 17 Anexo 18 Anexo 19 Anexo 20 Anexo 21 Anexo 22 Anexo 23 Anexo 24 Anexo 25 Anexo 26 Anexo 27 Anexo 28 Anexo 29 Anexo 30 Anexo 31 Anexo 32 Anexo 33 Anexo 34 Anexo 35 Anexo 36 Anexo 37 Anexo 38
Decisin 638.pdf Decisin CAN 638.pdf Decisin CAN 691.pdf Declaracin Universal de los Derechos humanos.pdf DECRETO 1151 DE 2008.pdf DECRETO 1474 DE 2001.pdf DECRETO 1474 DE 2002.pdf DECRETO 1524 DE 2002.pdf DECRETO 1599 DE 2005.pdf DECRETO 1747 DE 2000.pdf DECRETO 1900 DE 1990.pdf DECRETO 1929 DE 2007.pdf Decreto 2170 de 2002..pdf DECRETO 2178 DE 2006.pdf DECRETO 229 DE 1995.pdf DECRETO 2474 DE 2008.pdf DECRETO 2870 DE 2007.pdf DECRETO 3512 DE 2003.pdf DECRETO 3816 DE 2003.pdf DECRETO 4124 DE 2004.pdf DECRETO 4510 DE 2007.pdf DECRETO 619 DE 2001.pdf
Pgina 199 de 205
DECRETO 619 DE 2002.pdf DECRETO 619 DE 2007.pdf DECRETO No. 300 DE 1997.pdf DECRETO No. 4110 DE 2004.pdf DECRETO NUMERO 2110 DE 1992.pdf DIRECTIVA 2006 24 CE.pdf DIRECTIVA 95.pdf Directrices De-Proteccion de Datos de la ONU.pdf LEY 25326.pdf LEY 1065 DE 2006.pdf LEY 1150 DE 2007.pdf LEY 1221 DE 2008.pdf LEY 1231 DE 2008.pdf LEY 1236 DE 2008.pdf LEY 1238 DE 2008.pdf LEY 178 DE 1994.pdf LEY 190 DE 1995.pdf LEY 23 DE 1981.pdf LEY 23 DE 1982.pdf LEY 252 DE 1991.pdf Ley 252 de 1995.pdf Ley 25326.pdf
Pgina 200 de 205
Ley 256 de 1996.pdf LEY 270 DE 1996.pdf LEY 30 DE 1986.pdf LEY 43 DE 1990.pdf LEY 489 DE 1998.pdf LEY 52 DE 1990.pdf LEY 527 DE 1991.pdf LEY 527 DE 1999.pdf LEY 550 DE 1999.pdf LEY 555 DE 2000.pdf LEY 588 DE 2000.pdf LEY 594 DE 2000.pdf LEY 598 DE 2000.pdf LEY 599 DE 2000.pdf LEY 679 DE 2001.pdf LEY 766 DE 2002.pdf LEY 79 DE 1993.pdf LEY 794 DE 2003.pdf LEY 872 DE 2003.pdf LEY 892 DE 2004.pdf LEY 909 DE 2004.pdf LEY 96 DE 1985.pdf
Pgina 201 de 205
LEY 962 DE 2005.pdf LEY 964 DE 2005.pdf LEY 970 DE 2005.pdf LEY DE LIBERTAD DE INFORMACION.pdf LEY ESTATUTARIA 221 DE 2006.pdf LEY MODELO DE LA CNUDMI.pdf LEY N 19.pdf Ley Orgnica 15 de 1999.pdf LEY PARA REGULAR LAS SOCIEDADES.pdf OCDE.pdf Pacto Internacional de Derechos Civiles y Polticos.pdf PROYECTO LEY ESTATUTARIA 221 DE 2006.pdf REGLAMENTO No. 45 2001.pdf RESOLUCION No. 000999 DE 2007.pdf RESOLUCIN 1652 DE 2008.pdf RESOLUCIN 1732 DE 2007.pdf RESOLUCIN 1764 DE 2007.pdf RESOLUCIN 26930 DE 2000.pdf Rgimen Legal _ Consulta Temtica.pdf Sentencia C-662-00.pdf SENTENCIA C-692 03.pdf SENTENCIA C-729 DE 2000.pdf
Pgina 202 de 205
Anexo 105 Anexo 106 Anexo 107 Anexo 108 Anexo 109 Anexo 110 Anexo 111 Anexo 112 Anexo 113
Sentencia No. SU 082 95.pdf Sentencia No. T-110 93pdf.pdf Sentencia No. T-414.pdf Sentencia No. T-577.pdf Sentencia T 1105 05.pdf Sentencia T 729 septiembre 5 de 2002.pdf Sentencia T-552-97.pdf Tratado de la OMPI sobre derechos de autor.pdf UNV. ANDES LEY 527 DE 1999.pdf
Pgina 203 de 205
7.
BIBLIOGRAFA
NTC-ISO-IEC 27001, Tecnologa de la Informacin. Tcnicas de Seguridad. Sistemas de gestin de la seguridad de la informacin (SGSI). Requisitos. NTC-ISO-IEC 17799, Tecnologa de la informacin. Tcnicas de seguridad. Cdigo de prctica para la gestin de la seguridad de la informacin. Manual Directrices de Gestin del Riesgo, complementa la NTC 5254 2006 NTCGP 1000:2004 Norma Tcnica de calidad en la Gestin Pblica. Modelo Estndar de Control Interno para el Estado Colombiano, MECI 1000:2005. ISM3 v 2.00 Information Security Management Maturity Model, 2007, ISM3 Consortium. Cobit Mapping: Mapping of ITIL v 3 with Cobit 4.1, 2008, IT Governance Institute. The Standard of Good Practice for Information Security, 2007, Information Security Forum. Estado del arte en modelos de control, seguridad y auditora, Latincacs 2005, Fernando Ferrer Olivares, CISA. Estndares de Seguridad de la Informacin, Digiware, Ramiro Merchn P, CISA.
Pgina 204 de 204

Diagnostico de La Situacion Actual

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Diagnostico de La Situacion Actual

Caricato da

Copyright:

Formati disponibili

ENTREGABLE 2: DIAGNSTICO DE LA SITUACIN ACTUAL MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA

REA DE INVESTIGACIN Y PLANEACIN Repblica de Colombia - Derechos Reservados

Bogot, D.C., Octubre de 2008

Portal www.iso27000.es http://www.iso27000.es/avisolegal.html

Emiratos rabes Unidos aeCERT. http://www.aecert.ae/

DIAGNSTICO SITUACIN ACTUAL

4.1. DIAGNSTICO 1: SEGURIDAD ESTNDARES Y MEJORES PRCTICAS

NTC 5244 Gestin del Riesgo

ISF, Information Security Forum

NIST SP 800-16 Technology Security

NIST SP 800 18 Guide Developing Security Plans Federal Information Systems

NIST SP 800 34 Contingency Proporciona Planning Guide For Information recomendaciones

instrucciones, http://csrc.nist.gov/publications/nistp consideraciones ubs/800-34/sp800-34.pdf

para la planeacin de contingencias en el gobierno de TI.

System Protection Profile Industrial Control Systems

Chief Security Officer Guideline

OGG(British Office of Government Commerce)

ASNZ 4360: Management

Consejo Superior de Administracin Electrnica

OCDE(Organiz acin de Cooperacin y desarrollo Econmico)

Ministerio de Administracion es Pblicas

electrnicos, informticos y telemticos en el ejercicio de sus potestades.

NFPA(National Fire Protection Association)

NFPA 76 Standard Protection

A partir de Octubre 10 de 2008

NFPA(National Fire Protection Association)

Facilities, 2009 Edition

TIA (Telecommuni cations Industry Association)

Network Security Model

Programming wireless security

Unique User Identification(GIAC)

Pgina de listas de chequeo

dispositivos inalmbricos, firewall, etc. ecklist.php

Presenta ejemplos de incidentes de seguridad de informacin y posibles causas.

Presenta una descripcin del proceso de administracin de incidentes de seguridad de informacin.

ISO/IEC 18014-1:2008Information technology -- Security techniques -Time-stamping services -- Part 1: Framework

A continuacin, se relacionan los principales estndares organizados por categoras:

Mejores prcticas para la prestacin de servicios de TI:

MAGERIT Octave General Security Risk Assessment Guidelines, ASIS International.

Organizacin Mundial de la Propiedad Intelectual.

A partir de diciembre 16 de 1996.

Asamblea General de la Organizacin de las Naciones Unidas.

http://www.cecolda.org.co/ind ex.php? option=com_content&task=vie w&id=193&Itemid=46

A partir de Febrero 2 de 2000.

Organizacin Mundial de la Propiedad Intelectual.

Organizacin para la Cooperacin y el Desarrollo Econmico

http://www.alcaldiabogota.gov .co/sisjur/normas/Norma1.jsp ?i=6076#1

Rige a partir de julio 24 de 2002.

Organizacin Mundial de la Propiedad Intelectual.

A partir de diciembre 12 de 2001.

Asamblea General de la Organizacin de las Naciones Unidas.

Asamblea General de la Organizacin de las Naciones Unidas.

Comunidad Andina de Naciones.

Legislacin Interna en Materia de Comercio Electrnico

http://web.minjusticia.gov.co/ jurisprudencia/CorteConstituci onal/2000/Constitucionalidad/ C-662-00.htm (.a. 24/09/08).

Corte Constitucional de Colombia.

http://www.mincomercio.gov. co/eContent/documentos/nor matividad/decretos/decreto_1 747_2000.pdf (.a. 24/09/08).

A partir de su promulgacin, septiembre 11 de 2000.

Congreso de la Repblica de Colombia.

Ley 599 de 2000, y sus posteriores modificaciones, Cdigo Penal Colombiano

http://www.alcaldiabogota.gov .co/sisjur/consulta_tematica.js p (.a. 24/09/08).

Un ao despus de su promulgacin, julio 24 de 2001.

Congreso de la Repblica de Colombia.