Este documento contiene una descripción del Centro de CiberInteligencia (CIC) de Proyecto Aurora (PA), en adelante “CIC-PA”, según el RFC 2350 (Request for Comments desarrollados por la comunidad IETF: Internet Engineering Task Force, utilizados comúnmente como estándares de referencia en la industria).
A su vez, proporciona información básica sobre el CIC-PA, las formas en que se puede contactar con él, su comunidad objetivo y los servicios ofrecidos.
-
Información del Documento
1.1 Fecha de la última actualización: Esta es la última versión 1.0 del 20 de octubre de 2020.
1.2 Listas de Distribución: No existe un canal de distribución para notificar cambios en este documento. Los cambios son anunciados en https://www.proyecto-aurora.org/rfc2350
1.3 Ubicación del Documento: La última versión del documento se encuentra publicada en:
2. Información de Contacto
2.1 Nombre del Equipo: “CIC-PA”, Centro de CiberInteligencia (CIC) de Proyecto Aurora (PA).
2.2 Dirección
Proyecto Aurora
Av. Presidente Roque Sáenz Peña 615
Ciudad Autónoma de Buenos Aires (C1035AAB)
Argentina
2.3 Zona Horaria: GMT / UTC -3 horas
2.4 Número de Teléfono: No divulgado en medios públicos. Teléfonos proporcionados durante el proceso de firma del “Acuerdo Marco de Colaboración y Cooperación” o el apoyo a incidentes.
2.5 Número de Fax: No existente.
2.6 Otras Comunicaciones: La forma de comunicación preferida es a través del correo electrónico, teléfono, videoconferencia y otras opciones de telecomunicaciones que pueden ser coordinadas a petición.
2.7 Direcciones de Correo Electrónico:
-
Intercambio de información relativa a incidentes: [email protected]
-
Consultas de carácter general: [email protected]
-
Otras direcciones de correo electrónico para contactar se encuentran publicadas en https://www.proyecto-aurora.org/contacto
2.8 Claves Públicas y cifrado de información: Los correos de contacto y claves PGP asociadas se encuentran publicadas en https://www.proyecto-aurora.org/contacto
2.9 Miembros del Equipo: Los nombres e información de los miembros que componen el CIC-PA no son difundidos públicamente. En el caso de que se realice algún reporte, el personal se identificará con su nombre completo a través de una comunicación formal.
2.10 Más Información: La información general sobre los servicios proporcionados por el CIC-PA se encuentra publicada en el portal web https://www.proyecto-aurora.org/cic
2.11 Horario de Atención: El Centro está disponible en los siguientes horarios:
-
Consultas sobre servicios: horario de oficina (08:00 a 18.00 horas).
-
Incidentes catalogados con peligrosidad 1 baja, media o alta: horario de oficina (08:00 a 18.00 horas).
-
Incidentes catalogados con peligrosidad muy alta o crítica: 24x7.
2.12 Puntos de contacto para la comunidad: La comunicación entre el equipo CIC-PA y la comunidad en general es a través de los siguientes medios:
-
Buzón de correo asociado a la temática a consultar.
-
Teléfonos proporcionados durante el proceso de firma del “Acuerdo Marco de Colaboración y Cooperación” o el apoyo a incidentes.
3. Constitución
3.1 Misión: El CIC-PA es el Centro de CiberInteligencia (CIC) de Proyecto Aurora (PA); creado en el mes de febrero del año 2020, posee como misión la de mejorar las capacidades de respuesta a incidentes en organizaciones de los sectores la sociedad civil, la Academia, la Comunidad Técnica, el Sector Privado y el sector de Gobierno que posean firmado el “Acuerdo Marco de Colaboración y Cooperación” o el apoyo a incidentes.
El CIC-PA tiene como propósito cerrar la brecha y aumentar la cooperación entre la sociedad civil y organizaciones o personas que trabajen en Seguridad de la Información.
El CIC-PA también sirve como proxy seguro para que puedan reportar sobre incidentes o vulnerabilidades detectadas, y brindar colaboración dentro de los acuerdos establecidos a la comunidad objetivo.
El CIC-PA quiere tender puentes con otros Centros de Respuesta y con la comunidad de seguridad, aprendiendo de los mejores profesionales en el campo de la respuesta a incidentes cibernéticos, ayudando a su vez a otros equipos a comprender el entorno específico en el que trabajan los beneficiarios del CIC-PA.
El CIC-PA contribuye a la mejora de la ciberseguridad, siendo el centro de alerta y respuesta el que coopera y ayuda a responder de forma rápida y eficiente a los ciberataques, afrontando de forma activa las ciberamenazas.
Todo ello, con el fin último de conseguir un ciberespacio más seguro y confiable, a través de la preservación de la información clasificada y/o sensible, de la formación del personal experto en las diferentes áreas de la seguridad, de la aplicación de políticas y procedimientos, y del empleo y desarrollo de las tecnologías más adecuadas para alcanzar este fin.
3.2 Comunidad a la que brinda servicios - “Comunidad Objetivo”:
Comprende las organizaciones de los sectores de la sociedad civil, la Academia, la Comunidad Técnica, el Sector Privado y el sector de Gobierno que posean firmado el “Acuerdo Marco de Colaboración y Cooperación” o el apoyo a incidentes. Adicionalmente, a todos los ciudadanos que deseen reportar un incidente y/o asesoramiento específico en temáticas de incidentes cibernéticos.
3.3 Patrocinio, Afiliación y Autoridad: El CIC-PA forma parte de Proyecto Aurora.
4. Políticas
4.1 Tipo de Incidentes y nivel de soporte: El CIC-PA trabaja con todo tipo de incidentes cibernéticos que ocurren o amenazan con ocurrir, dentro de las tareas se incluye la detección, notificación, evaluación, respuesta, tratamiento y aprendizaje de incidentes de seguridad de información o ciberincidentes que puedan sufrir aquellas organizaciones en las que posee acuerdos y niveles de servicios establecidos previamente.
El CIC-PA también ofrece información sobre el estado de la ciberseguridad a su Comunidad Objetivo, con el fin de reducir tanto las vulnerabilidades técnicas (de hardware y software), como humanas y de organización.
4.2 Cooperación, interacción y divulgación de la Información: La información manejada por el CIC-PA es tratada con absoluta confidencialidad de acuerdo a las políticas y procedimientos de seguridad de la información; la misma solo se distribuirá a otros equipos y miembros según la necesidad de saber y preferiblemente de forma anónima
El CIC-PA cooperará con otras organizaciones en el campo de la seguridad. Esta cooperación también incluye y a menudo requiere el intercambio de información sobre incidentes de seguridad y vulnerabilidades.
El CIC-PA utiliza el TLP (Traffic Light Protocol) para el intercambio de información.
4.3 Comunicación y Autenticación: Los medios disponibles para la comunicación con el CIC-PA son:
-
Correo electrónico cifrado con las claves públicas dedicadas para ello y publicadas en el portal web: https://www.proyecto-aurora.org/contacto
-
Teléfonos proporcionados durante el proceso de firma del “Acuerdo Marco de Colaboración y Cooperación” o el apoyo a incidentes.
5. Servicios
5.1 Prevención
El CIC-PA realiza distintas actividades con el fin de sensibilizar y prevenir cualquier incidente. Entre ellas destacan:
a) Evaluación y diagnóstico general de ciberseguridad. Evaluaciones de performance y capacidades de ciberseguridad.
b) Planificación estratégica y táctica de ciberseguridad.
c) Monitoreo y alertas. Gestión de Vulnerabilidades. Gestión de operaciones de seguridad. Cyber Threat Intelligence. Threat Hunting
d) Diseño de arquitectura, requerimientos, preparación de RFPs y condiciones de servicios.
e) Implementación de soluciones tecnológicas, implementación de SOC y CSIRT. Implementación de Sistemas de Gestión de: Seguridad de la Información ISO/IEC 27001, Continuidad del Negocio ISO 22301, Privacidad de la Información ISO/IEC 27701, Marco de Ciberseguridad y de Controles Críticos de Ciberseguridad. Seguridad en la Nube.
f) Auditorías de aseguramiento y cumplimiento. Auditorías de sistemas, de seguridad, de normativas internacionales, hacking ético.
g) Planes de mejora continua y optimización de recursos.
h) Informes, alertas y avisos sobre nuevas amenazas y vulnerabilidades de los Sistemas de Información, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias.
i) Investigación y divulgación de las mejores prácticas sobre Seguridad de la Información.
j) Desarrollo de Guías de Seguridad con normativas, procedimientos y buenas prácticas.
k) Formación y sensibilización en materia de Seguridad de la Información, con distinto perfil y nivel de formación. Formación básica y dos itinerarios: de gestión y de especialización.
l) Organización y participación en Jornadas y Congresos de Ciberseguridad.
5.2 Gestión de Incidentes
5.2.1 Triaje de Incidentes
El CIC-PA ofrece apoyo técnico y operativo en las distintas etapas del proceso de Gestión de Incidentes: detección, análisis, notificación, contención, erradicación y recuperación. En este proceso se incluyen la evaluación de la información disponible y su priorización (triaje), la validación y verificación de la misma, el alcance, la recopilación de las pruebas adicionales necesarias y la comunicación con las partes pertinentes.
5.2.2 Coordinación de Incidentes
EI CIC-PA determina la causa inicial del incidente, facilitando el contacto con otras organizaciones que puedan estar involucradas y/o afectadas. Proporciona información legible por humanos para que las víctimas hagan campaña si es necesario.
El CIC-PA colabora con otros Centros de Respuesta a Incidentes (CERT/CSIRT) o Centros de Operaciones de Seguridad (SOC) de todos los sectores.
5.2.3 Recuperación y acciones Post Incidentes
El CIC-PA colabora en eliminar la vulnerabilidad y ayuda a proteger los sistemas de los efectos del incidente. Identifica si el ataque tiene como objetivo la comunidad objetivo y/o afecta a otras organizaciones, monitorea la persistencia de los atacantes y recopila evidencias del incidente.
Además, el CIC-PA recopilará estadísticas sobre los incidentes procesados y notificará a la Comunidad Objetivo y en general, según sea necesario, para ayudarla a protegerse contra ataques conocidos y, por último, la resolución del incidente.
Asimismo, asesora a los equipos sobre las acciones más adecuadas, realiza un seguimiento de la Gestión del Incidente y las medidas que la organización debe tomar para prevenir futuros incidentes cibernéticos.
5.3 Desarrollo de soluciones y herramientas de ciberseguridad
El CIC-PA coordina y promueve el desarrollo de soluciones que garanticen la seguridad de los sistemas y contribuyan a una mejor gestión de la ciberseguridad en cualquier organización.
Dichas soluciones se centran, principalmente, en la detección, análisis, auditoría e intercambio de información.
5.4 Análisis forense y de malware
El CIC-PA dispone de equipamiento y personal especializado para realizar el análisis forense de equipos implicados en incidentes complejos.
Del mismo modo, el CIC-PA tiene la capacidad de realizar análisis estáticos y dinámicos de muestras de código dañino para generar patrones de detección.
6. Formas de notificación de incidentes
La notificación de incidentes puede realizarse mediante:
-
Buzón de correo específico: [email protected]
-
Teléfonos proporcionados durante el proceso de firma del “Acuerdo Marco de Colaboración y Cooperación” o el apoyo a incidentes.
7. Descargo de responsabilidad
El Equipo CIC-PA no se responsabiliza del mal uso que pueda darse de la información aquí contenida.
