The South African Government's National Cybersecurity Policy Framework (NCPF) of 2012 provides for the establishment of a national computer security incident response team (CSIRT) in the form of the National Cybersecurity Hub- more correctly referred to as an information security incident management capability (ISIMC). Among other things, the National Cybersecurity Hub is mandated to serve as a high-level national ISIMC that works in collaboration with sector ISIMCs to improve South Africa's critical infrastructure security. In this article, we identify standards, policies, procedures and best practices regarding the establishment of ISIMCs, and we provide recommendations for South Africa's deployment of an ISIMC collaboration network.

Resumen Esta investigación tuvo como objetivo diseñar una solución para la toma de decisiones mediante Inteligencia de Negocios, que permite adquirir datos e información de una amplia variedad de fuentes y utilizarlos en la toma de decisiones en el análisis de vulnerabilidades de un equipo de respuesta ante incidentes informáticos (CSIRT). Este estudio se ha desarrollado en un CSIRT Académico que agrupa varias universidades miembros del Ecuador. Para llevarlo a cabo se aplicó la metodología de Investigación-Acción con un enfoque cualitativo, dividido en tres fases: Primera, se realizó una evaluación comparativa de dos herramientas de análisis de intrusos: Passive Vulnerability Scanner y Snort, que son utilizadas por el CSIRT, para verificar sus bondades y verificar si son excluyentes o complementarias; enseguida se han guardado los logs en tiempo real de los incidentes registrados por dichas herramientas en una base de datos relacional MySQL. Segunda, se aplicó la metodología de Ralph Kimball para el desarrollo de varias rutinas que permitan aplicar el proceso "Extraer, Transformar y Cargar" de los logs no normalizados, que luego serían procesados por una interfaz gráfica. Tercera, se construyó una aplicación de software mediante la metodología Ágil Scrum, que realice un análisis inteligente con los logs obtenidos mediante la herramienta Pentaho BI, con el propósito de generar alertas tempranas como un factor estratégico. Los resultados muestran la funcionalidad de esta solución que ha generado alertas tempranas y que, en consecuencia, ha incrementado el nivel de seguridad de las universidades miembros del CSIRT académico.

Abstract This study aimed at designing a potential solution through Business Intelligence for acquiring data and information from a wide variety of sources and utilizing them in the decision-making of the vulnerability analysis of an Academic CSIRT (Computer Security Incident Response Team). This study was developed in a CSIRT that gathers a variety of Ecuadorian universities. We applied the Action-Research methodology with a qualitative approach, divided into three phases: First, we qualitatively evaluated two intrusion detection analysis tools (Passive Scanner and Snort) to verify their advantages and their ability to be exclusive or complementary; simultaneously, these tools recorded the real-time logs of the incidents in a MySQL related database. Second, we applied the Ralph Kimball's methodology to develop several routines that allowed applying the "Extract, Transform, and Load" process of the non-normalized logs that were subsequently processed by a graphical user interface. Third, we built a software application using Scrum to connect the obtained logs to the Pentaho BI tool, and thus, generate early alerts as a strategic factor. The results demonstrate the functionality of the designed solution, which generates early alerts, and consequently, increases the security level of the CSIRT members.

Resumo Esta pesquisa teve como objetivo desenhar uma solução para a tomada de decisões mediante Inteligência de Negócios, que permite adquirir dados e informação de uma ampla variedade de fontes e utilizá-los na tomada de decisões na análise de vulnerabilidades de um equipamento de resposta ante incidentes informáticos (CSIRT). Este estudo tem se desenvolvido em um CSIRT Acadêmico que agrupa várias universidades membros do Equador. Para realizá-lo, aplicou-se a metodologia de Pesquisa-Ação com um enfoque qualitativo, dividido em três fases: Primeira, realizou-se uma avaliação comparativa de duas ferramentas de análise de intrusos: Passive Vulnerability Scanner e Snort, que são utilizadas pelo CSIRT, para verificar seus benefícios e se são excludentes ou complementários; imediatamente são guardados os logs em tempo real dos incidentes registrados por ditas ferramentas em uma base de dados relacional MySQL. Segunda, aplicou-se a metodologia de Ralph Kimball para o desenvolvimento de várias rotinas que permitam aplicar o processo "Extrair, Transformar e Carregar" dos logs não normalizados, que logo seriam processados por uma interface gráfica. Terceira, construiu-se uma aplicação de software mediante a metodologia Ágil Scrum, que realize uma análise inteligente com os logs obtidos mediante a ferramenta Pentaho BI, com o propósito de gerar alertas precoces como um fator estratégico. Os resultados mostram a funcionalidade desta solução que tem gerado alertas precoces e que, em consequência, tem incrementado o nível de segurança das universidades membros do CSIRT acadêmico.

Uno de los principales medios de comunicación de un CSIRT es su sitio web, el cual sirve como principal contacto con el público objetivo y primer frente de vulnerabilidad de la seguridad perimetral de un CSIRT. Es por ello que al crear un sitio web para el CSIRT se debe tomar especial cuidado con las tecnologías a utilizar y aplicar controles de seguridad tanto en el desarrollo de la pagina web, así como, de la seguridad perimetral que permita evitar posibles ataques informáticos los cuales pueden poner en riesgo la reputación de un CSIRT. En este artículo se presenta, la definición del contenido del sitio web del CSIRT, la selección de tecnología para el desarrollo del sitio web, la revisión sistemática para proponer el contenido y controles de seguridad para el sitio web y su seguridad perimetral que debe tenerse en cuenta para un CSIRT.

A website works as the main contact with the CSIRT's target audience, for this reason, when creating a website for the CSIRT, you must be taken special care with technologies when the website is developed and applying security controls, as well as, perimeter security in order to avoid computer attacks that may jeopardize the reputation of the CSIRT. This paper describes a proposal related to content and security controls of the CSIRT website. To achieved this, the systematic review was performed to propose the content and security controls for the website and its perimeter security that must be considered.

Las organizaciones deben administrar una gran cantidad de información que debe ser accedida en diferentes lugares y personas, lo que genera un riesgo. Desafortunadamente, este riesgo se potencializa debido a que las organizaciones no siempre se cuenta con un departamento o personal del área de seguridad informática, dando como resultado información vulnerable. Esta situación es confirmada con datos publicados en el reporte de Symantec en 2013 donde se reportan 253 ataques a organizaciones que tienen como resultado 552.018.539 identidades expuestas. Para dar una solución a esta problemática se crearon los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) que apoyan con servicios y conocimientos para responder eficientemente a los ataques de seguridad (ya evitando y respondiendo a estos ataques). En este artículo se presenta una revisión sistemática para la obtención del estado actual de los CSIRTs existentes e identificar principales elementos a tener en cuenta para su establecimiento.

The organizations have to organize a big amount of information that should be acceded from different places and by different people, this is a big risk. Unfortunately this information it's vulnerable because the organizations doesn't have a proper computer security department or staff in that area. This situation it's confirmed with data published on Symantec's report on 2013, where it's reported 253 attacks to organizations that have as result 552.018.539 exposed identities. To avoid and to respond those attacks, the CSIRT (Computer Security Incident Response Team) was created, and helps with services and knowledge to respond efficiently those security attacks. In this article we present a systematic review performed to obtain a global vision of the actual state of the CSIRT's in existence and identify the main elements to keep in mind for its establishment.