Su objetivo es facilitar el intercambio de información sensible (por ejemplo, sobre ciberamenazas) de forma controlada y comprensible para todos los destinatarios.
En principio y salvo que se indique lo contrario toda la información publicada en el servidor web de RedIRIS es TLP:Clear, al final de esta página esta indicado que otros TLP se aplican por defecto a otras informaciones de RedIRIS.
✅ Principio Básico
El TLP usa colores (como un semáforo) para indicar el alcance de distribución permitido:Cuanto más claro sea el color, más amplia es la posibilidad de compartir.
Define expectativas comunes para proteger la información sensible.
🚦 Los Cuatro Niveles Oficiales de TLP (Versión 2.0)
A continuación se describen los cuatro niveles actuales definidos por FIRST:🔴 TLP:RED
“For the eyes and ears of individual recipients only.”Definición: Solo para la persona que recibe la información.
Distribución: No puede compartirse ni siquiera dentro de la organización.
Ejemplo: Un investigador comparte detalles extremadamente sensibles de una brecha con un contacto de confianza y no desea que se comparta con nadie más.<
🟠 TLP:AMBERR
“Limited disclosure, recipients can share with members of their own organization and its clients/customers who need to know.”Definición: Información sensible que se puede compartir dentro de la organización y con clientes o partners que necesiten saberlo.
Distribución: Interna + usuarios/insituciones afectados.
Ejemplo: Un CERT nacional comparte indicadores de compromiso (IoCs) con un banco, que puede alertar a sus clientes afectados.,
En el caso de RedIRIS la información que se comparte con las institiciones por un problema de seguridad en el servicio IRISCERT, la activación de los sistemas de mitigación, se consideran por defecto 🟠 TLP:AMBER
🟠 TLP:AMBER+STRICTT
“Recipients can only share with members of their own organization on a need-to-know basis.”Definición: Variante más restrictiva de AMBER.
Distribución: Solo dentro de la organización, estrictamente en base a “need-to-know”. No puede compartirse con clientes o partners.
Ejemplo: Un CERT nacional alerta a un banco de un ataque inminente, pero no se permite compartir la información con clientes externos.
Orientado a RedIRIS son pocos casos en los que la información sea TLP:AMBER+STRICT, puede haber casos en los que se solicite información a una institición pero se indique que no se contacte con el usuario final.
🟢 TLP:GREENN
“Limited disclosure, recipients can share with peers and partner organizations within their sector or community.”
Definición: Información que puede compartirse de forma amplia dentro de la comunidad o sector, pero no públicamente.
Distribución: Sectorial / comunidad de confianza.
Ejemplo: Compartir un aviso de ciberamenaza con todos los bancos del país para que se preparen, sin publicarlo abiertamente.
En RedIRIS la información que se accede de forma autenticada como las estadísticas y configuración de servicios, listas de coordinación de servicios , etc. se consideran que tienen este TLP por defecto, aunque en algunas otras pueden tener un TLP más restrictivo.
⚪ TLP:CLEAR
“Recipients can spread this information to the world; there is no limit on disclosure.”
Definición: Sin restricciones de distribución. Puede publicarse abiertamente.
Distribución: Pública.
Ejemplo: Un CERT publica en su web recomendaciones de seguridad para todos los ciudadanos.
En RedIRIS por lo general toda la información publica sin restricciones de acceso es TLP:CLEAR.
✅ Diferencias entre TLP:AMBER y TLP:AMBER+STRICT
Nivel Compartir Internamente Compartir con Clientes/Partners AMBER ✅ Sí ✅ Sí (si es necesario) AMBER+STRICT ✅ Sí ❌ No
Resumen:
AMBER: Permite compartir con clientes afectados para mitigar el riesgo.
AMBER+STRICT: Restringe el intercambio solo a la organización interna.
🔴 RED Solo para el destinatario individual 🟠 AMBER Organización + clientes/partners que necesiten saber 🟠 AMBER+STRICT Solo dentro de la organización (nada externo) 🟢 GREEN Comunidad sectorial o de confianza (no público) ⚪ CLEAR Público, sin limitaciones ✅ Ejemplo Práctico
Escenario: RedIRIS es informada o detecta un detecta un ataque dirigido contra institiciones de RedIRIS, vulnerabilidad critica que puede afectar a varias institiciones, etc.
- RED: Alerta solo a un contacto específico y de forma individual.
- AMBER: Alerta a una institución , que puede avisar a sus usuarios afectados.
- AMBER+STRICT: Alerta a una institición , que solo puede compartirlo con su equipo interno, pero no avisar a sus usuarios individuales.
- GREEN: Alerta a todos las institiciones para prepararse, sin hacerlo público.
- CLEAR: Publica la alerta en su web para todos los usuarios