El Centro de Gestión de Incidentes Informáticos ha implementado un mecanismo para reportar vulnerabilidades e incidentes informáticos a objeto de promover la participación de profesionales en seguridad informática y de la información denominado de aquí en adeltante “reportante”, que de acuerdo a las bases y condiciones de participación formarán parte del Muro de la Fama, que es un espacio dónde se publica en forma de ranking aquellos profesionales que participan enviando reportes al CGII para que los mismos sean gestionados.

OBJETO

Establecer las bases y condiciones de participación, reporte y asignación de puntos al reportante que se reflejará en el Muro de la Fama por el reporte de vulnerabilidades e incidentes de seguridad de la información.

PUBLICO OBJETIVO

Del Muro de la Fama pueden participar todas las personas interesadas con mejorar la seguridad en diferentes niveles, siempre enmarcados en la ética y legalidad correspondiente.

DEFINICIONES

Vulnerabilidad.- Debilidad presente en un activo de información o control de seguridad implementado que puede ser explotada por una amenaza. Ejemplos:

  • Contraseña por defecto
  • Configuración por defecto

Amenaza.- Causa potencial de un incidente no deseado que puede tener impactos adversos en una organización. Ejemplos:

  • Ciberdelincuentes
  • Empleados internos
  • Código malicioso

Incidente de seguridad.- Es el acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información o violación de la política de seguridad de la información que incide en la operación normal de las redes, sistemas o recursos informáticos de una organización. Ejemplos:

  • Acceso no autorizado.
  • Denegación de servicio.
  • Robo de información

CONDICIONES PARA EL REPORTE

Para ser parte del Muro de la Fama y obtener puntos, el reportante debe tomar en cuenta las siguientes condiciones.

  • El reporte de vulnerabilidad o incidente debe ser realizado a través del formulario https://www.cgii.gob.bo/es/reportar-incidente y marcar la opción “Deseo ser parte del Muro de la Fama” para cada reporte y proporcionar el alias o nombre de usuario que lo identificará de manera única en el tablero de clasificación.
  • De forma opcional el reportante puede enviar su avatar, dirección de correo electrónico y teléfono de contacto al correo cgii@agetic.gob.bo con la referencia “Muro de la Fama” e indicar su alias o nombre de usuario.
  • El reporte debe indicar claramente en que consiste la vulnerabilidad y/o incidente y proporcionar la prueba de concepto o mecanismo de verificación si corresponde, ya que previo a la asignación de puntos el reporte es validado por el CGII. En caso de requerir mayor información, personal del CGII se comunicará con el reportante.
  • Un reporte puede corresponder a una o varias vulnerabilidades y/o incidentes por institución afectada, no se permite que en un mismo reporte se incluya a más de una institución.

CONDICIONES PARA LA PUNTUACIÓN

La asignación de puntos estará sujeto a las siguientes condiciones:

  • Cumplir con las reglas del reporte anteriormente citadas.
  • Que la vulnerabilidad y/o incidente no haya sido reportado con anterioridad o identificado previamente por el CGII.
  • No serán tomados en cuenta las vulnerabilidades y/o incidentes que resulten ser falsos positivos.
  • Se asignará puntos por tipo de vulnerabilidad y/o incidente reportado.
  • Si en un mismo reporte se tiene una vulnerabilidad y/o incidente que afecta a mas de una aplicación, los puntos serán otorgados por cada aplicación afectada, el ejemplo claro es la inyección sql.
  • Los siguientes factores determinarán la asignación de puntos:
  1. Facilidad de descubrimiento; Difícil, Promedio, Fácil.
  2. Impacto técnico; Alto, Medio y Bajo considerando la pérdida de integridad, confidencialidad y disponibilidad de la información.
  • El CGII evaluará  la facilidad de descubrimiento y el impacto técnico en el proceso de validación del reporte que determinará los puntos.

NOTA.- Los reportes previos a la publicación del presente documento son válidos y serán computados en el muro de la fama.

PUBLICACIÓN

El CGII publicará en el muro de la fama los siguientes datos del reportante:

  • Alias y avatar.
  • Total de puntos acumulados.
  • Total de reportes.

El orden estará dado por los puntos obtenidos de forma descendente.

NOTA.- El reportante está en el derecho de solicitar su baja del Muro de la Fama enviando un correo a cgii@agetic.gob.bo con referencia "Baja Muro de la Fama" indicando su alias.

CONTACTO

Para cualquier duda y/o sugerencia acerca del muro de la fama envíe un correo a cgii@agetic.gob.bo.