Cabecera-v2-web.jpg
Generalidades

En el Paraguay, la necesidad de establecer capacidades locales en relación a la Seguridad de la Información y Comunicacion es evidente, mas aun teniendo en cuenta que con la SENATICs, se inician procesos que fomentan la utilización de las TICs en todas las áreas, tanto en la gestión de Gobierno como también en el sector privado y académico.

Al aumentar la conectividad de los sistemas computacionales, aumentan los riesgos de incidentes cibernéticos y de hecho; las amenazas a infraestructuras crí­ticas del Paí­s están latentes todo el tiempo.

Cuando se producen eventos cibernéticos generalizados, es fundamental que existan mecanismos para:

  • Detectar e identificar eficazmente la actividad,
  • Crear estrategias de mitigación y respuesta,
  • Establecer canales confiables de comunicación,
  • Proporcionar alertas tempranas a las poblaciones y áreas afectadas,
  • Notificar a otros miembros de las comunidades de Internet y de seguridad sobre los potenciales problemas,
  • Ofrecer una respuesta coordinada a la actividad,
  • Compartir datos e información sobre la actividad y las correspondientes soluciones de respuesta,
  • Rastrear y hacer un seguimiento de esta información para determinar las tendencias y estrategias correctivas a largo plazo,

Teniendo en cuenta que el CERT Nacional, se constituye en el organismo con la responsabilidad de propiciar la creación de CSIRT's en el ambito de Gobierno, Sector Privado y Académico, tambien compañamos con el seguimeinto y apoyo en los pasos básicos para crear un CSIRT institucional, las cuestiones y tareas que deberán abordarse durante su planificación y ejecución, además la coordinación necesaria entre dichos equipos para brindar un análisis y respuesta efectivos a los incidentes de seguridad cibernética.


En la Región existen iniciativas Nacionales y Regionales, y estos son sus principales objetivos:

• El establecimiento de un punto focal nacional dentro de un paí­s o región para coordinar las actividades de manejo de incidentes,

• El análisis y la sí­ntesis de incidentes e información de vulnerabilidad difundida por otros equipos, proveedores y expertos en tecnologí­a para brindar una evaluación a sus propias comunidades y áreas de cobertura,

• La facilitación de las comunicaciones entre diversas áreas de cobertura, reuniendo múltiples sectores (gobierno y fuerzas armadas, servicios e infraestructuras crí­ticas, sectores comercial, académico, bancario y financiero, de transporte, etc.) para compartir información y abordar problemas de seguridad informática, como incidentes, amenazas y vulnerabilidad generalizada en materia de seguridad informática,

• El desarrollo de mecanismos comunicacionales confiables dentro de estas comunidades.

Algunos equipos con responsabilidades nacionales han comenzado a participar en los esfuerzos globales de "vigilancia y advertencia" para que el ciberespacio sea más seguro, en el grafico podemos ver el conteto de labor de un CERT/CC (CERT Centro de Coordinación)

Desde otra perspectiva, el CERT-PY también puede servir como "equipo de respuesta de última instancia", es decir, si es necesario denunciar un incidente de seguridad cibernética pero no queda claro ante quién, puede denunciarse ante este CERT nacional, que reenviará la denuncia al equipo de respuesta correspondiente o brindará cierto nivel de apoyo. El trabajo con el Ministerio Publico, a través de la Unidad Especializada de Delitos Informáticos es clave en este sentido.


Problemas y desafí­os

Un creciente número de organizaciones gubernamentales, comerciales y educativas dependen de las computadoras a tal nivel que las operaciones diarias se ven afectadas cuando el sistema "se cae" o no puede accederse. El uso de Internet mejora la capacidad de las organizaciones de realizar sus actividades de manera rentable y eficiente. Pero los operadores de estas y otras infraestructuras temen que sus sistemas informáticos sean vulnerables al ataque y a que sean utilizadas para atacar a otros. Además, en nuestro Pais practicamente no existen organizaciones que dispongan de CSIRT insitucionales, con suerte en algunas se consigue respuesta a incidentes de manera ad hoc.

La Internet es compleja y dinámica, pero los usuarios carecen de conocimientos suficientes sobre la red y la seguridad; por ejemplo, los sistemas operativos mal configurados o desactualizados, las vulnerabilidades del software, los sistemas sin las revisiones correspondientes y la falta de conciencia respecto de la seguridad ofrecen un entorno propicio para los intrusos. Es fácil explotar las varias lagunas de seguridad de internet y del software que suele utilizarse con ella; y es fácil disfrazar u ocultar el verdadero origen y la identidad de los intrusos. Además, cualquier persona con una computadora y una conexión de red puede acceder a Internet. Individuos y organizaciones de todo el mundo pueden llegar a cualquier punto de la red independientemente de las fronteras nacionales o geográficas.

Identificamos igualmente la necesidad de crear una comunidad de usuarios educados, capacitados, conocedores, conscientes de los riesgos y las cuestiones relacionadas con los incidentes de seguridad cibernética asi como de las amenazas latentes y sobre todo de sus propias vulnerabilidades.


Beneficios que puede ofrecer el CERTpy:

• Servir como punto de contacto confiable,

• Desarrollar una infraestructura para coordinar la respuesta a los incidentes de seguridad informática dentro del Paraguay; por ejemplo para incidentes y amenazas relacionadas con cualquier potencial riesgo nacional a infraestructuras crí­ticas y con cualquier percepción de tendencia relacionada con futuros ataques y sus precursores,

• Desarrollar una capacidad para apoyar la denuncia de incidentes a través de un amplio espectro de sectores dentro de los lí­mites del Paraguay,

• Llevar a cabo análisis de incidentes, vulnerabilidad y artefactos para: o difundir información sobre vulnerabilidades denunciadas y correspondientes estrategias de respuesta o compartir conocimientos y estrategias de mitigación relevantes con áreas de cobertura, socios, interesados directos y otros colaboradores confiables (esto también puede incluir coordinación con comunidades de proveedores),

• Participar en funciones de "cibervigilancia"; alentar y promover una comunidad de equipos nacionales y regionales que compartan información, investigación, estrategias de respuesta y notificaciones de alerta temprana entre sí­ y con puntos de contacto similares dentro de sus propias infraestructuras y más allá de sus fronteras nacionales,

• Ayudar a las organizaciones e instituciones nacionales a desarrollar sus propias capacidades de manejo de incidentes (por ejemplo, proveer lineamientos e información para planificar e implementar los equipos, crear relaciones y fomentar discusiones entre los organismos gubernamentales, empresas públicas y privadas y organizaciones académicas). Este beneficio podrí­a traducirse, además, en la creación de lí­neas de base y métodos de referencia o en la evaluación de las capacidades de estos equipos. También podrí­a incluirse un mecanismo para certificar o acreditar organizaciones CSIRT en el Paraguay,

• Ofrecer servicios de traducción para el análisis técnico de códigos malignos y otra información de seguridad informática de entidades externas,

• Poner a disposición del público las mejores prácticas y lineamientos de seguridad por medio de publicaciones, portales y otros medios de comunicación (este tipo de información puede incluir lineamientos técnicos para asegurar conexiones de hosts y redes, enlaces a otros recursos confiables e información para introducir sistemas de comunicación seguros, o para ayudar a los usuarios del área de cobertura a proteger sus sistemas),

• Promover o iniciar el desarrollo de materiales adecuados de educación, concienciación o entrenamiento para diferentes públicos. Las poblaciones seleccionadas pueden incluir administradores de sistemas y redes, otros CSIRT organizacionales dentro del paí­s, legisladores, representantes legales, organismos reguladores o de aplicación de la ley y poblaciones generales de usuarios,

• Identificar y mantener una lista de capacidades del CERT-PY y puntos de contacto dentro del Paraguay.

El CERT-PY deberia en un funcionamiento ideal ser el Equipo Coordinador de diferentes equipos de respuesta a incidentes en el Paraguay, actuar como un Centro de Comando, este grafico del US-cert ilustra su funcionamiento.

Como lo hacemos?

La composición del personal del CERT-PY depende de número de factores,

• La misión y las metas,

• La naturaleza y variedad de los servicios que ofrece,

• La experiencia del personal,

• El tamaño del área de cobertura y la base tecnológica,

• La carga anticipada de incidentes,

• La gravedad y complejidad de denuncias de incidentes,

• La financiación.

Muchos equipos poseen un grupo de individuos que manejan los incidentes de nivel básico. Se espera que cada uno de los profesionales del CERT-PY tengan un conjunto mí­nimo de habilidades para realizar el trabajo y ser eficiente en sus responsabilidades laborales.

A continuación se enumeran una serie de habilidades básicas que deben poseer los profesionales del CERT-PY.


Caracterí­sticas personales

a) Buena comunicación oral y escrita

b) Diplomacia

c) Capacidad de seguir polí­ticas y procedimientos

d) Capacidad de trabajar como miembro activo de un equipo

e) Integridad

f) Conocimiento de los lí­mites propios

g) Capacidad de manejar el estrés

h) Capacidad de solucionar problemas

i) Capacidad de administrar bien el tiempo

j) Atención al detalle


Habilidades técnicas

a) Buena formación técnica

b) Principios de seguridad

i) Autenticación, integridad, confidencialidad, autorización, privacidad, no repudio, control de acceso

c) Vulnerabilidades y debilidades de la seguridad

i) Seguridad fí­sica

ii) Fallas de diseño de protocolos

iii) Fallas de implementación (por ejemplo, desbordamiento de la memoria intermedia)

iv) Debilidades de configuración

v) Indiferencias/errores de usuarios

vi) Códigos malignos (por ejemplo, virus, gusanos, troyanos)

d) Historia y evolución de la Internet

e) Riesgos de seguridad informática

i) Pérdida de vidas, reputación, dinero, servicios

f) Protocolos de redes (propósito, especificaciones, operación)

i) IP (protocolo de Internet)

ii) TCP (protocolo de control de transmisión)

iii) UDP (protocolo de datagrama de usuario)

iv) ICMP (protocolo de mensaje de control Internet)

v) ARP (protocolo de resolución de dirección)

vi) RARP (protocolo de resolución de dirección de retorno)

g) Sistema de nombres de dominio (DNS)

h) Servicios y aplicaciones de red

i) Medidas de seguridad defensiva

j) Cuestiones y medidas de seguridad de host/sistema

i) Configuraciones seguras

ii) Herramientas disponibles

k) Comprensión e identificación de técnicas de intrusos

l) Cuestiones de criptogramas, algoritmos y herramientas

m) Habilidades de programación

n) Capacidad analí­tica

ñ) Pericia forense

o) Manejo de la evidencia digital, cuidado de la cadena de custodia.

Para una descripción más detallada, véase;

"Staffing Your Computer Security Incident Response Team – What Basic Skills are Needed?"

http://www.cert.org/csirts/csirt-staffing.html

pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11