Creación de un CSIRT

CSIRT: Computer Security Incident Response Team (Equipo de Respuesta a Incidentes de Seguridad Informática) Un ”CERT” es un CSIRT pero e t!rmino "CERT” es una marca registrada por Carnegie #e on Uni$ersity% C#U autori&a e uso de "CERT” a os CSIRTs naciona es' usua mente%

( go de termino og)a ● EVENTO: *ara a ciencia' un e$ento es un fenómeno (un +ec+o o. e en un momento dado) o un acontecimiento que ocurre en una posición y momento determinados%(definicion%de) EVENTO DE SEGURIDAD INFORMATICA: Es una ocurrencia identificada de un estado de un sistema' ser$icio o red que indica una posi. e $io ación de a po )tica de seguridad de a información o a fa a de medidas de seguridad (safeguards)' o una situación pre$iamente desconocida que pueda ser re e$ante para a seguridad% -IS.ser$a. /01223 ● .

%uy) ● .( go de termino og)a II ● Ejemplos de evento: Un usuario se conecta a un sistema' un intento fa ido de un usuario para ingresar a una ap icación' e fire4a que permite o . oquea un acceso' una notificación de un cam.io de contrase5a de un usuario pri$i egiado' etc% Un E$ento de Seguridad Informática no es necesariamente una ocurrencia ma iciosa o ad$ersa% (agesic%gu.

itua de ser$icio y que causa' o puede causar una interrupción de mismo o una reducción de a ca idad de dic+o ser$icio%(4i9ipedia%org) ● .re$iene en e curso de un asunto' negocio o 6uicio y tiene con ! a guna re ación%(4ordreference%com) INCIDENTE (seg7n ITI8): Cua quier e$ento que no forma parte de desarro o +a.( go de termino og)a III ● INCIDENTE: Cosa que so.

p )cita% Tam. /01223% E6emp os de Incidentes Informáticos: (cceso no autori&ado' ro.( go de termino og)a I: ● INCIDENTE DE SEGURIDAD INFORMÁTICA: Es a $io ación o amena&a inminente a a $io ación de una po )tica de seguridad de a información imp )cita o e.o de información' denegación de ser$icio' etc% ● .o de contrase5as' ro.i idad)% Un incidente puede ser denunciado por os in$o ucrados' o indicado por un 7nico o una serie de e$entos de seguridad informática% -<IST011=>/' IS.i!n es un incidente de seguridad un e$ento que compromete a seguridad de un sistema (confidencia idad' integridad y disponi.

( go de termino og)a : ● RESPUESTA A INCIDENTES: Es una reacción ace erada a un pro. ema% Con respecto a a seguridad de a información' un e6emp o ser)a as acciones de equipo de seguridad en contra de un +ac9er que +a penetrado un cortafuegos y está actua mente +u&meando e tráfico de a red% E incidente es a $io ación de a seguridad% 8a respuesta depende de cómo e equipo de seguridad reaccione' qu! acciones toman para reducir os da5os y cuándo reesta. ecen os recursos' todo esto mientras intentan garanti&ar a integridad de os datos% (mit%edu) .

( go de termino og)a :I ● Y “MANEJO DE INCIDENTES”? RESPUESTA vs. MANEJO: Respuesta a Incidentes es e con6unto de componentes t!cnicos requeridos para ana i&ar y contener un incidente% #ane6o de Incidentes son as funciones de og)stica' comunicaciones' coordinación y p anificación necesarias para reso $er un incidente en una manera ca ma y eficiente% (sans%edu) ● .

%uy) GESTION DE INCIDENTES: 8os ser$icios de gestión de incidentes de seguridad de a información' están destinados a pre$enir' detectar y so ucionar incidentes de seguridad que atenten contra a confidencia idad' disponi.( go de termino og)a :II ● COMUNIDAD OBJETIVO (Constituency): Es aque grupo de personas' sistemas u organi&aciones para quienes se prestará e ser$icio de gestión de incidentes% (agesic%gu.i idad' integridad ó autenticidad de a información' como es e caso de un incidente ocasionado por un código ma icioso' un acceso no autori&ado' una denegación de ser$icio o un uso inapropiado de os sistemas informáticos de a organi&ación% (inteco%es) ● .

(+ora s)' a nuestro tema@ .

Auncionamiento de un CSIRT Francisco NEIRA BASSO fneira@defensoria.gob.pe Encargado de Seguridad de la Información Defensoría del ueblo .

Auncionamiento de un CSIRT Bu! es un CSIRT?  Bu! es e *E=CERT?  #arco ega y normati$o R# creando e *E=CERT R# /CD=C1/C=*C# de a CE11/  Cómo funciona un CSIRT?  Cómo protege un CSIRT a Estado y a ciudadano?  Bui!nes tienen CSIRTs?  .

Auncionamiento de un CSIRT  Aunciona como una "estación de .i!n puede rea i&ar a.or proacti$a: Creando conciencia a a ciudadan)a so.e amados de instituciones atacadas por +ac9ti$istas' ana i&a a moda idad de ataque y propaga a a erta a as demás instituciones Coordina con as fuer&as de a 8ey' particu armente con a rama especia i&ada: FI:I<F(T o con AA(( Coordina con otros CSIRTs naciona es y e.om.tran6eros Tam.re ataques' estafas informáticas' pri$acidad de a información persona ' etc%     .eros” de incidentes informáticos% Reci.

a ins(i(ución es a(acada -. (T(C(F. Se no(ifica a los dem0s miembros ) a las fuer1as del orden - !O"#NIDAD OB$E%I&O '!ons(i(uenc)* . .E CSIRT en acción #IE#GR. . El a(a/ue es de(ec(ado ) repor(ado .. + (T(C(<TE +.

re ● .Auncionamiento de un CSIRT E2!ER% es a “Coordinadora de Respuestas a Emergencias en Redes Teleinformáticas” ( cargo de a .<HEI ● Creada con a R# I>1=C11D=*C# /D (gosto C11D ● *or ser un CSIRT de a cance naciona ' está autori&ado por SEI=C#U a usar 3!ER%4 en su nom.

ásicos son os de coordinación en su comunidad o.Auncionamiento de un CSIRT Un CSIRT tiene un "Catá ogo de Ser$icios” seg7n su madure& y sus recursos +umanos y materia es Ser$icios .iar información de ataques' aná isis de "ma 4are”' contramedidas' etc% .6eti$o y con os pro$eedores de ser$icios Internet Un CSIRT puede coordinar con otros CSIRTs para intercam.

.

ien% ( menos un par de docentes con conocimientos de redes y de desarro o (y tam.i!n con muc+o entusiasmo) ● ● .Hu)as para crear un CSIRT I ● Focumento "Creación de Equipo de Respuesta a Incidentes de Seguridad Informática Hrupo de a umnos entusiastas y con $o untad tanto de aprender como de +acer .

6eti$o es c a$e% Si a perdemos' todo se $endrá a.Hu)as para crear un CSIRT II ● Es me6or comen&ar ofreciendo ser$icios senci os +asta dominar os y uego amp iar os% 8a curiosidad y as ganas de aprender son fundamenta es 8a confian&a de a comunidad o.a6o% ● ● .

Hu)as para crear un CSIRT III ● Una $e& que e equipo demuestre su so $encia t!cnica .6eti$o% J por qu! no a *arque Tecno ógico?? K=) ● ● .ien' podrá crecer en n7mero' en capacidades t!cnicas y amp iar su comunidad o.ásica' podrá amp iar su co.ertura y ofrecer sus ser$icios a resto de a Uni$ersidad' no so amente a a Escue a% Si se promue$e a idea y e CSIRT demuestra con m!tricas que funciona .