Quienes Somos

Objetivo del equipo Scitum-CSIRT

Conformar un equipo dedicado y especializado para la investigación, detección y respuesta oportuna ante la ocurrencia de ciberincidentes de seguridad que pongan en riesgo la confidencialidad, integridad y disponibilidad de los activos informáticos de nuestros clientes.

Objetivos Particulares:

Investigar continuamente nuevos patrones de comportamiento, diversos tipos de amenazas y ciberincidentes ocurridos en otras organizaciones.

Identificar oportunamente aquellos eventos de seguridad que sean indicadores de que un ciberincidente de seguridad esté ocurriendo o haya ocurrido.

Responder inmediatamente ante la ocurrencia de un ciberincidente de seguridad de forma sistematizada acorde a las fases de la metodología establecida con la finalidad de minimizar el impacto del ciberincidente de seguridad, reducir los costos de recuperación y apoyar para que el restablecimiento de los servicios se de en el menor tiempo posible.

Ser la figura formal y punto de contacto para la declaración y respuesta ante la ocurrencia de ciberincidentes de seguridad de la información.

Mejorar las capacidades humanas, normativas y tecnológicas del equipo Scitum-CSIRT como parte de la fase de lecciones aprendidas.

Notificar oportunamente a nuestros colaboradores, clientes, aliados y patrocinadores a través de los canales de comunicación establecidos la presencia de aquellos eventos de seguridad sospechosos que sean catalogadas como amenazas significativas y en consecuencia puedan ocasionar una afectación a sus activos de tecnologías de la información.

Misión.

Proteger la seguridad de los recursos informáticos de nuestros clientes mediante acciones proactivas y reactivas que minimicen el impacto de los incidentes de seguridad, así como participar en la creación de un entorno seguro a través de la colaboración con distintas instituciones y organizaciones públicas y privadas con el intercambio de información útil para el análisis de tendencias, comportamientos, eventos, etc., sobre ciberamenazas.

Visión.

Asegurar el reconocimiento del equipo SCITUM-CSIRT en México y en América Latina como una entidad que se mantiene a la vanguardia en el análisis e investigación de las distintas técnicas y vectores de ataque, malware, amenazas avanzadas, etc., además de ser identificado como un punto de referencia sobre la labor que realiza en la colaboración para la creación de un ciberecosistema y el apoyo que brinda a otras organizaciones para la respuesta a incidentes de seguridad.

Diagnóstico y protección contra amenazas avanzadas.

Grupo de servicios orientados a ayudar a nuestros clientes a identificar si actualmente han sido vulnerados por algún tipo de malware y sugerirle estrategias para erradicarlo de la red. También contempla el diseño e implementación de arquitecturas innovadoras para la protección contra amenazas avanzadas así como los servicios administrados para realizar el monitoreo 7x24 y la respuesta eficaz en caso de ciberataques.

Servicios forenses avanzados.

Contempla, además de los servicios tradicionales de análisis forense, la implementación, adecuación y transferencia metodológica para la operación de laboratorios forenses, el diseño e implementación de arquitecturas para la obtención de información forense en redes y endpoints que permitan analizar comportamientos para la identificación de amenazas avanzadas.

Gestión continua de ciberriesgos basada en inteligencia.

Permiten la identificación, de forma semiautomatizada, de los factores externos más relevantes para el contexto de negocio de una organización específica y del nivel de madurez de los vectores de control implementados en un ambiente tecnológico específico, de tal forma que al evaluar estos dos componentes (factores externos y nivel de madurez) se pueda conocer el nivel de riesgo actual así como los controles cuya implementación tienen una mejor relación costo beneficio.

Inteligencia en redes sociales y deepweb para prevención y detección de ciberincidentes.

Considera la utilización de mecanismos avanzados para la investigación de redes sociales y en general en las fuentes abiertas para buscar indicios sobre las planeación de campañas dirigidas hacia alguno de nuestros clientes o indicios de que se esté circulando de forma ilegítima algún tipo de información de su propiedad.

Ciberinteligencia

Servicios orientados a obtener la mayor información posible acerca de los ciberatacantes, sus intenciones, motivaciones, objetivos, mecanismos, etc. por medio de la utilización de diversas disciplinas de inteligencia.

Semáforos de intercambio de información (TLP)

SCILabs® SCITUM-CSIRT

Política de intercambio de información

El semáforo TLP (Traffic Light Protocol) es un conjunto de denominaciones usadas para asegurar que la información sensible sólo sea compartida con las personas correctas dentro de su organización. Este protocolo emplea cuatro colores para indicar el grado de confidencialidad y las consideraciones que debe tomar el usuario final para compartir el documento. El protocolo de intercambio de información se basa en un código de colores de acuerdo a un nivel de clasificación.

Código ¿Cuándo utilizarlo? ¿Cómo compartirlo?
TLP:RED Se debe utilizar TLP:RED cuando la información está limitada a personas concretas, y su distribución podría tener impacto negativo en la privacidad, reputación y operaciones en caso de ser mal utilizada. Los receptores no deben compartir información clasificada como TLP:RED con ningún tercero.
TLP:AMBER Se debe utilizar TLP:AMBER cuando la información puede ser distribuida de forma limitada, pero puede suponer un riesgo si es compartida fuera de la organización. Los receptores pueden compartir información indicada como TLP:AMBER únicamente con miembros de su propia organización que necesiten conocerla.
TLP:GREEN Se debe utilizar TLP:GREEN cuando la información es útil para todas las organizaciones; así mismo, puede ser compartida con otros clientes de Scitum. Los receptores pueden compartir la información indicada como TLP:GREEN con otros clientes de Scitum.
TLP:WHITE Se debe utilizar TLP:WHITE cuando la información no supone ningún riesgo por mal uso, y su difusión puede ser pública. La información TLP:WHITE puede ser distribuida sin restricciones, sujeta a controles de Copyright.

¿Cómo utilizar el TLP?

Para Reportar un ciberincidente de Seguridad

-Correo electrónico: scitum-CSIRT@scitum.com.mx

-Teléfono regular: Ciudad de México CST (hora central estándar) + 52 (55) 91507471

-Teléfono de emergencia: Ciudad de México CST (hora central estándar) + 52 (55) 91507471

Información de contacto de SCITUM-Cyber Security Incident Response Team

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: Encryption Desktop 10.3.2 (Build 21495)

mQENBFRzbR0BCADjVYpiZ86I34MqPjCbnluARpE6zqSXuITcgxG126FRbWGbxn16
8Mcd+Qnbjnq02j/cqj5wUHiZCa73J/NfWzvwTK9rNiF00nT4fgBCz7P6q+UgN2lj
4FlLUUkl7f7WjOSb9LVS5BqW16v/NEERgAA5QZA9XAKlude6yeeimwSrVyeIcDnN
Omx8fotWJ7bEG+A8jXjKwlmFS3/9DO5zonPUSvKZ/4a2N6j+jz3ps4lxPdDOiDUN
AEu6TMt6DVQDUYEao7yZ3ciCve7iJoIeeRFwQLmXN4rfgkcefjsUSxR6z/L/4pd0
Z+Dp5z6SiXKkcSzAM9gnrB4xzqpgVcCWM0IzABEBAAG0WFNjaXR1bS1DU0lSVCAo
U2NpdHVtLUN5YmVyIFNlY3VyaXR5IEluY2lkZW50IFJlc3BvbnNlIFRlYW0pIDxT
Y2l0dW0tQ1NJUlRAc2NpdHVtLmNvbS5teD6JAUIEEwECACwFAlib+6IFCQeEzgAH
CwkIBwMCAQIXgAIbAwQWAgMBBR4BAAAABhUIAgkKCwAKCRAFxVSIHh3LFka1CACe
8Neni3TOQrZvquK2Xb78GaG+VrN5m6raayvzwyblVSHTtgSzZFQzXdQgoiVOQR+o
eJ8DRf0EFCTWAhhRd4+Og35JyQNqVt7MROgjhHS8TSWiepEe0x7dluuM7QxMo3w9
xCK6PplddaKvsjafF8zGzDfxmQqdPKl2PVrLYOFZ/FViix6jVQAadsNalvjNMhc0
ov8S5HMovYdJLJuAYQ/4BJzEANA+tjqsh4P4/I9u/2y46FC068cWYwDpDI6Sh3v6
Ul55aYQRShdy3k1NDwXxMWElgpBHKj7SvWffhtXXgKb+u9YXZCcCnVpyIBB3X92I
BO9Df6Yh6OySd7SFcsHAuQENBFRzbR0BCADeZVlqu/uhckfYF33zwOJ1MDL4bk2q
cnI5fEAqlrrQVEdYH8iKfGd4FX4gtk67+41DzUM2zGwK0DGr91UKwN9VK9O2uMvP
eA7b+fNNWybO6fqTKh6akXm8wJ/e3EhVnffajGRko3nZPntesqIE0Rr9DyNY2pI5
OdBE8Szjc+1Ad51ipVE0H2kWeRGDGaaOQj5bgkw7YIScBtnFqvdGBLr9rW3dnDR1
Nrx1nRGEcQgcGK2zsZNpAwCC4rjOCiDEd5fHL+tQTIHs3/0IXnm/nO7Qywpnhzzu
bfizvgohmE9mPSMb6vbDm8VBeN5NS97EC0OQndr7tCg0ITv9wZzcpJ8PABEBAAGJ
ASUEGAECAA8FAlib+6IFCQeEzgACGwwACgkQBcVUiB4dyxZuXQgAih/76NBR6YJx
tSaMEZYVTyJ/1Z6C1DTKGwRdXuxK0v/NPciYK0BfM8t7EYinkR8PYw4TjL+z/kF+
RlZ8zpP8yFxjSxhSpyInlBTLjohNT4Xa7eLFcNSDJ1zkSAM6smaqiRbJw8EDAL/S
SkTtNjRfoRQmbUvR4xntixUnJmoEGWBlKO0iLxS6b/GGYQn7AajF1SZnk6L9KDpv
4aGGhVVxDnayDEcgdOBfF1OeKD+7q5OYNWstZqYuieCC4PBT/FxsdJvhlkF17sIr
lovITM+fdFh3cONCwHOGVBN7/Lss8cN2uVsKzC3UN3H4NrSWmOrilISNymzotN2b
ZT89GRiwpQ==
=cdFL
-----END PGP PUBLIC KEY BLOCK-----