Conformar un equipo dedicado y especializado para la investigación, detección y respuesta oportuna ante la ocurrencia de ciberincidentes de seguridad que pongan en riesgo la confidencialidad, integridad y disponibilidad de los activos informáticos de nuestros clientes.
Investigar continuamente nuevos patrones de comportamiento, diversos tipos de amenazas y ciberincidentes ocurridos en otras organizaciones.
Identificar oportunamente aquellos eventos de seguridad que sean indicadores de que un ciberincidente de seguridad esté ocurriendo o haya ocurrido.
Responder inmediatamente ante la ocurrencia de un ciberincidente de seguridad de forma sistematizada acorde a las fases de la metodología establecida con la finalidad de minimizar el impacto del ciberincidente de seguridad, reducir los costos de recuperación y apoyar para que el restablecimiento de los servicios se de en el menor tiempo posible.
Ser la figura formal y punto de contacto para la declaración y respuesta ante la ocurrencia de ciberincidentes de seguridad de la información.
Mejorar las capacidades humanas, normativas y tecnológicas del equipo Scitum-CSIRT como parte de la fase de lecciones aprendidas.
Notificar oportunamente a nuestros colaboradores, clientes, aliados y patrocinadores a través de los canales de comunicación establecidos la presencia de aquellos eventos de seguridad sospechosos que sean catalogadas como amenazas significativas y en consecuencia puedan ocasionar una afectación a sus activos de tecnologías de la información.
Misión.
Proteger la seguridad de los recursos informáticos de nuestros clientes mediante acciones proactivas y reactivas que minimicen el impacto de los incidentes de seguridad, así como participar en la creación de un entorno seguro a través de la colaboración con distintas instituciones y organizaciones públicas y privadas con el intercambio de información útil para el análisis de tendencias, comportamientos, eventos, etc., sobre ciberamenazas.
Visión.
Asegurar el reconocimiento del equipo SCITUM-CSIRT en México y en América Latina como una entidad que se mantiene a la vanguardia en el análisis e investigación de las distintas técnicas y vectores de ataque, malware, amenazas avanzadas, etc., además de ser identificado como un punto de referencia sobre la labor que realiza en la colaboración para la creación de un ciberecosistema y el apoyo que brinda a otras organizaciones para la respuesta a incidentes de seguridad.
Grupo de servicios orientados a ayudar a nuestros clientes a identificar si actualmente han sido vulnerados por algún tipo de malware y sugerirle estrategias para erradicarlo de la red. También contempla el diseño e implementación de arquitecturas innovadoras para la protección contra amenazas avanzadas así como los servicios administrados para realizar el monitoreo 7x24 y la respuesta eficaz en caso de ciberataques.
Contempla, además de los servicios tradicionales de análisis forense, la implementación, adecuación y transferencia metodológica para la operación de laboratorios forenses, el diseño e implementación de arquitecturas para la obtención de información forense en redes y endpoints que permitan analizar comportamientos para la identificación de amenazas avanzadas.
Permiten la identificación, de forma semiautomatizada, de los factores externos más relevantes para el contexto de negocio de una organización específica y del nivel de madurez de los vectores de control implementados en un ambiente tecnológico específico, de tal forma que al evaluar estos dos componentes (factores externos y nivel de madurez) se pueda conocer el nivel de riesgo actual así como los controles cuya implementación tienen una mejor relación costo beneficio.
Considera la utilización de mecanismos avanzados para la investigación de redes sociales y en general en las fuentes abiertas para buscar indicios sobre las planeación de campañas dirigidas hacia alguno de nuestros clientes o indicios de que se esté circulando de forma ilegítima algún tipo de información de su propiedad.
Servicios orientados a obtener la mayor información posible acerca de los ciberatacantes, sus intenciones, motivaciones, objetivos, mecanismos, etc. por medio de la utilización de diversas disciplinas de inteligencia.
El semáforo TLP (Traffic Light Protocol) es un conjunto de denominaciones usadas para asegurar que la información sensible sólo sea compartida con las personas correctas dentro de su organización. Este protocolo emplea cuatro colores para indicar el grado de confidencialidad y las consideraciones que debe tomar el usuario final para compartir el documento. El protocolo de intercambio de información se basa en un código de colores de acuerdo a un nivel de clasificación.
| Código | ¿Cuándo utilizarlo? | ¿Cómo compartirlo? |
|---|---|---|
| TLP:RED | Se debe utilizar TLP:RED cuando la información está limitada a personas concretas, y su distribución podría tener impacto negativo en la privacidad, reputación y operaciones en caso de ser mal utilizada. | Los receptores no deben compartir información clasificada como TLP:RED con ningún tercero. |
| TLP:AMBER | Se debe utilizar TLP:AMBER cuando la información puede ser distribuida de forma limitada, pero puede suponer un riesgo si es compartida fuera de la organización. | Los receptores pueden compartir información indicada como TLP:AMBER únicamente con miembros de su propia organización que necesiten conocerla. |
| TLP:GREEN | Se debe utilizar TLP:GREEN cuando la información es útil para todas las organizaciones; así mismo, puede ser compartida con otros clientes de Scitum. | Los receptores pueden compartir la información indicada como TLP:GREEN con otros clientes de Scitum. |
| TLP:WHITE | Se debe utilizar TLP:WHITE cuando la información no supone ningún riesgo por mal uso, y su difusión puede ser pública. | La información TLP:WHITE puede ser distribuida sin restricciones, sujeta a controles de Copyright. |
El color del indicador TLP señala el alcance con el que se puede difundir la información; usualmente tanto en la cabecera como al pie del documento se incluye la leyenda en mayúsculas "TLP:<COLOR>".
 |
Si el receptor considera necesario difundir información con terceros, más allá del alcance de la designación TLP indicada, este deberá contar con autorización previa del SCILabs.
TLP es un esquema simple e intuitivo para indicar cuándo y qué tan sensible es la información que va a ser compartida, facilitando la colaboración con otras entidades u organizaciones a nivel nacional e internacional.
-Correo electrónico: scitum-CSIRT@scitum.com.mx
-Teléfono regular: Ciudad de México CST (hora central estándar) + 52 (55) 91507471
-Teléfono de emergencia: Ciudad de México CST (hora central estándar) + 52 (55) 91507471
Nombre Corto del equipo: Scitum CSIRT
Nombre Oficial del equipo: Scitum-Cyber Security Incident Response Team.
Países donde se encuentran ubicados los miembros del equipo:
México DF.Teléfono Regular (con código de área y zona horario GTM):
+ 52 (55) 91507471 ext. 7450 UTC/GMT -6 hours
Teléfono de emergencia(con código de área y zona horario GTM):
Correo electrónico:
Página Web Corporativa:
Dirección postal: Insurgentes Sur 3500 piso 2 Col. Peña Pobre México D.F. 14060
PGP Key id: 1E1DCB16
PGP Fingerprint = 0688 26B5 1963 0D70 C856 A3E5 05C5 5488 1E1D CB16
Team PGP public key:
-----BEGIN PGP PUBLIC KEY BLOCK----- Version: Encryption Desktop 10.3.2 (Build 21495) mQENBFRzbR0BCADjVYpiZ86I34MqPjCbnluARpE6zqSXuITcgxG126FRbWGbxn16 8Mcd+Qnbjnq02j/cqj5wUHiZCa73J/NfWzvwTK9rNiF00nT4fgBCz7P6q+UgN2lj 4FlLUUkl7f7WjOSb9LVS5BqW16v/NEERgAA5QZA9XAKlude6yeeimwSrVyeIcDnN Omx8fotWJ7bEG+A8jXjKwlmFS3/9DO5zonPUSvKZ/4a2N6j+jz3ps4lxPdDOiDUN AEu6TMt6DVQDUYEao7yZ3ciCve7iJoIeeRFwQLmXN4rfgkcefjsUSxR6z/L/4pd0 Z+Dp5z6SiXKkcSzAM9gnrB4xzqpgVcCWM0IzABEBAAG0WFNjaXR1bS1DU0lSVCAo U2NpdHVtLUN5YmVyIFNlY3VyaXR5IEluY2lkZW50IFJlc3BvbnNlIFRlYW0pIDxT Y2l0dW0tQ1NJUlRAc2NpdHVtLmNvbS5teD6JAUIEEwECACwFAlib+6IFCQeEzgAH CwkIBwMCAQIXgAIbAwQWAgMBBR4BAAAABhUIAgkKCwAKCRAFxVSIHh3LFka1CACe 8Neni3TOQrZvquK2Xb78GaG+VrN5m6raayvzwyblVSHTtgSzZFQzXdQgoiVOQR+o eJ8DRf0EFCTWAhhRd4+Og35JyQNqVt7MROgjhHS8TSWiepEe0x7dluuM7QxMo3w9 xCK6PplddaKvsjafF8zGzDfxmQqdPKl2PVrLYOFZ/FViix6jVQAadsNalvjNMhc0 ov8S5HMovYdJLJuAYQ/4BJzEANA+tjqsh4P4/I9u/2y46FC068cWYwDpDI6Sh3v6 Ul55aYQRShdy3k1NDwXxMWElgpBHKj7SvWffhtXXgKb+u9YXZCcCnVpyIBB3X92I BO9Df6Yh6OySd7SFcsHAuQENBFRzbR0BCADeZVlqu/uhckfYF33zwOJ1MDL4bk2q cnI5fEAqlrrQVEdYH8iKfGd4FX4gtk67+41DzUM2zGwK0DGr91UKwN9VK9O2uMvP eA7b+fNNWybO6fqTKh6akXm8wJ/e3EhVnffajGRko3nZPntesqIE0Rr9DyNY2pI5 OdBE8Szjc+1Ad51ipVE0H2kWeRGDGaaOQj5bgkw7YIScBtnFqvdGBLr9rW3dnDR1 Nrx1nRGEcQgcGK2zsZNpAwCC4rjOCiDEd5fHL+tQTIHs3/0IXnm/nO7Qywpnhzzu bfizvgohmE9mPSMb6vbDm8VBeN5NS97EC0OQndr7tCg0ITv9wZzcpJ8PABEBAAGJ ASUEGAECAA8FAlib+6IFCQeEzgACGwwACgkQBcVUiB4dyxZuXQgAih/76NBR6YJx tSaMEZYVTyJ/1Z6C1DTKGwRdXuxK0v/NPciYK0BfM8t7EYinkR8PYw4TjL+z/kF+ RlZ8zpP8yFxjSxhSpyInlBTLjohNT4Xa7eLFcNSDJ1zkSAM6smaqiRbJw8EDAL/S SkTtNjRfoRQmbUvR4xntixUnJmoEGWBlKO0iLxS6b/GGYQn7AajF1SZnk6L9KDpv 4aGGhVVxDnayDEcgdOBfF1OeKD+7q5OYNWstZqYuieCC4PBT/FxsdJvhlkF17sIr lovITM+fdFh3cONCwHOGVBN7/Lss8cN2uVsKzC3UN3H4NrSWmOrilISNymzotN2b ZT89GRiwpQ== =cdFL -----END PGP PUBLIC KEY BLOCK-----