Computer Security Incident Response Team

CSIRT

Sobre Nosotros
• Fundada en 2006 • Equipo de consultores locales, +100 en toda el mundo • Consultoría de Procesos en el área de tecnología, innovación y sistemas de información • HQ en Panamá

Misión
Asistir a organizaciones a ser más competitivas por medio de una mejor utilización de los recursos de tecnología a través de procesos eficaces.
2

3

USA 4 . Pittsburgh. Pennsylvania.Somos Partners del Software Engineering Institute (SEI) • El SEI es un organismo de prestigio mundial en el establecimiento de mejores prácticas para ingeniería de software.

TSP Arquitectura de Software Adquisición de Tecnología CMMISVC CMMIDEV CMMIACQ 5 .Áreas de Actividad del SEI • • • • Seguridad informática: CERT Ingeniería de Software: CMMI.

La Red Liveware Consultores de renombre internacional Cobertura en América. Asia y Europa   + 25 años de experiencia Constelación de 7 consultoras +100 consultores 6 .

Dominicana 7 .Algunos de Nuestros Clientes Argentina Chile Argentina Rep.

S. González Ruiz y Alemán • IFARHU • INDRA • Infosgroup • IQ Nova • La Prensa • Latam Consulting Services • Latam Trade and Commerce • Morgan & Morgan Ministerio de Economía y Finanzas • Ministerio de Educación Ministerio de Comercio e Industrias Ministerio de Salud Ministerio de Obras Públicas Órgano Judicial Petróleos Delta Policía Nacional Quantic Vision Ricardo Pérez.Clientes de Capacitación • • • • • • • • • • • • • • • • • ACP ADR Autoridad Nacional de Aduanas Autoridad de Innovación Alianzasoft ASI Technologies Autoridad de los Servicios Públicos Autoridad de Turismo Banco General Banesco Cable Onda Caja de Ahorros Caja de Seguro Social Cervecería Nacional Cibernética Conéctate Copa Airlines • • • • • • • • • • • • • • • • • Dirección de Tránsito • Global Bank • HSBC • Icaza. Georges Bank Superintendencia de Bancos TESA Towerbank Tribunal Electoral Universidad Tecnológica de Panamá 8 .A. SIONSA St.

Nos enfocamos en la Adopción Implementación Adopción 9 .

CSIRT .

El inicio: CERT/CC 11 .

¿Qué es un incidente de seguridad? Adware Backdoor Trojans Bluejacking Bluesnarfing Boot Sector Viruses Extortion Denial of Service attack (DoS) Sabotage Document Viruses Browser Hijackers Chain Letters Cookies Viruses Internet Page-jacking Email Viruses Worms Mobile Phone Mousetrapping Obfuscated spam Palmtop viruses Dialers Parasitic viruses Pharming Espionage Social Engineering 12 Phishing Vandalism .

Gestión de incidentes • Requiere del desarrollo de un plan de acción y de procesos que son: – – – – – Consistentes Repetibles Motivados por la calidad Medibles Entendidos por todos los implicados • Seguridad no es asunto de tecnología. sino una inversión de negocios 13 .

14 .¿Qué es un CSIRT? • Una organización que provee servicios y apoyo a una circunscripción definida para prevenir manejar y responder a incidentes de seguridad informática.

• La mejor infraestructura no puede garantizar que no ocurrirán actos maliciosos • Cuando sucede un incidente es necesario poder responder de forma efectiva • Se trata de minimizar el costo y el tiempo de la respuesta 15 .¿Por qué se necesita un CSIRT? • Entidades y personas están al acecho de sus activos más preciados.

No es lo mismo… CSIRT •Puede realizar las funciones del área de seguridad de un departamento de TI •Repositorio de información de incidentes •Centro de reporte y análisis •Coordina la respuesta a incidentes en la organización •Colaboración con equipos externos y estamentos de seguridad Departamento de TI •Monitoreo diario de la red y sistemas •Responsable de actualizar los sistemas •Instalación de parches •Mitiga los incidentes .

universidades. • CSIRT Público: vela por la infraestructura estatal. • CSIRT Regional: para un conjunto de países. • Proveedores de Respuesta a Incidentes: ofrecen servicios privados de manejo de incidentes para empresas y otro tipo de organizaciones. 17 . • CSIRT Nacionales: para un país. Dicha información sirve para actividades predictivas y alertas tempranas. • Centros de análisis: sintetizan datos de distintas fuentes para hallar patrones y tendencias de incidentes. • Centros de coordinación: coordinan y facilitan el manejo de incidentes entre varios CSIRTs. Ej. ciudades o asociaciones. empresas.Tipos de CSIRT Algunas categorías. según el ámbito al que proveen servicios: • CSIRT Interno: dentro de la organización. Bancos.

Mapa de CSIRTs 18 .

El CSIRT interno 19 .

CSIRT de Responsabilidad Nacional • Reconocido por el gobierno • Responsabilidad amplia que puede incluir – – – – Infraestructura crítica Gobierno Ciudadanía en general Otros CSIRT en el país 20 .

de Vulnerabilidades y Artefactos: Análisis y coordinación de respuesta Levantar estadísticas de los incidentes      Fase II Servicios Proactivos Monitoreo de un mapa global de virus y amenazas Desarrollo e investigación de herramientas de seguridad Apoyo en la detección de intrusos Divulgación de información relacionada con la seguridad Prospectiva Tecnológica   Fase III Servicios de Gestión de la Calidad de la Seguridad Análisis de riesgo Coordinar la planificación de recuperación de desastres de infraestructura crítica Concientización ciudadana Educación/Entrenamiento Evaluación de productos o certificación     21 .Servicios Fase I Servicios Reactivos   Alertas y Advertencias Apoyo en el manejo de incidentes.

Algunos Roles General Director general Personal Administración y contabilidad Relaciones públicas Asesoría jurídica Equipo técnico operativo Jefe del equipo técnico Técnicos del CSIRT Investigadores 22 .

Mapa de Ruta para un crear un CSIRT Planificación •Asesoría/Capacitación inicial • Plan de proyecto •Identificar usuarios potenciales •Definir misión •Modelo financiero y presupuesto •Estructura organizativa •Definir servicios •Crear o modificar legislación Creación de competencias •Definir roles y niveles de autoridad •Identificar personal idóneo •Contratar personal •Plan de capacitación •Oficina física: Equipar oficina •Desarrollar política de seguridad de la información •Documentar flujos de trabajo •Definir interfaces e interacciones Operación del CSIRT •Lanzamiento del centro •Promover los servicios del CSIRT •Evaluar el mercado y grupo de usuarios •Generación de alertas. advertencias y comunicados •Coordinar la respuesta a los incidentes de seguridad que se presenten •Coordinar las iniciativas nacionales de seguridad de la información •Métodos de evaluación •Desarrollar plan de contingencia •Obtener reconocimiento internacional •Establecer convenios de colaboración con otros CSIRT •Evaluar desempeño 23 .

telcos 24 . agua.Socios esenciales para un CSIRT Nacional • • • • • • • • • • • • • Equipos CSIRT de otros países Otros CSIRT dentro del país Consejo de Seguridad Policía Ministerio público Proveedores de internet Proveedores de software Integradores Proveedores de Antivirus Expertos en seguridad Universidades Medios de comunicación especializados Proveedores de infraestructura crítica: luz.

empresas – Modelo distribuido de equipos de respuesta a incidentes (coordinación y cooperación – no control) 25 .Confianza: Condición sine qua non • Servicios proactivos y reactivos • Garantizar confidencialidad e imparcialidad • Coordinar con otras organizaciones y expertos – universidades. gobierno.

incluyendo un sitio web colaborativo y una lista de correo electrónico Intercambio de información y servicios – – – – – Vigilia y respuesta a advertencias Actualizaciones de actividades Análisis de incidentes y entrenamiento Capacidad de alerta y contenidos Investigación sobre tendencias.Apoyo del SEI para CSIRT Nacionales • • Herramientas para personal autorizado en CSIRT Nacionales. entrenamiento y construcción de habilidades Intercambio de personal técnico o pasantías con afiliados Desarrollo de herramientas y soporte Análisis de vulnerabilidades Análisis de artefactos Monitoreo y análisis de redes • Intercambio técnico – – – – – – • • • Desarrollo de capacidades y habilidades de un CSIRT Evaluación de los requerimientos de madurez y capacidad de un CSIRT Patrocinio ante FIRST e introducción a otras organizaciones y socios estratégicos 26 . amenazas y evaluación de riesgos Consultoría técnica.

Cursos oficiales del CERT • • • • • • • • • • • • Creating a Computer Security Incident Response Team Managing Computer Security Incident Response Teams Fundamentals of Incident Handling Advanced Incident Handling Information Security for Technical Staff Malware Analysis Apprenticeship Insider Threat Workshop Introduction to the CERT Resilience Management Model CERT Resilience Management Model Appraisal Boot Camp Managing Enterprise Information Security Advanced Forensic Response and Analysis Assessing Information Security Risk Using the OCTAVE Approach 27 .

CERT Resilience Management Model • Elasticidad Operativa: capacidad de una organización de hacerle frente a sus riesgos • Modelo enfocado a procesos. Guías y prácticas para: – – – – Gestión de la seguridad Continuidad del negocio Gestión de las operaciones de TI Medición y madurez • 26 áreas de procesos en 4 categorías 28 .

CERT Resilience Management Model 29 .

org • CERT-Certified Computer Security Incident Handler (CSIH) certification program http://www.sei.cfm 30 .edu/certifica tion/security/csih/index.Enlaces relevantes • FIRST: www.cmu.first.org • CERT / CSIRT: www.cert.

CA 94133 United States of America International Email: info@alcenit. Rep.United States Email: info@alcenit. of Panama Contacto: Rolando Armuelles / rarmuelles@alcenit.9820 Address: Building 235 International Technopark of Panama City of Knowledge.com Phone: +1 415.598. Clayton PO Box 0819-07121 Panama.com .com Phone: +507 260. Suite #218 San Francisco.8905 Address: 1288 Columbus Ave.

Sign up to vote on this title
UsefulNot useful