Capacitación en

Ciberseguridad para empresas

de servicio eléctrico
y reguladores de América
Latina y Caribe
1. Conceptos base de ciberseguridad
2. Situación y retos en materia de ciberseguridad del sector
eléctrico
Curso para 3. Normativas y estándares de ciberseguridad aplicables
4. Análisis de Riesgos de ciberseguridad
Técnicos 5. Clasificación de contramedidas y controles de seguridad
6. Respuesta ante incidentes
(2022) 7. Cyber-Range
8. Retos Futuros de Ciberseguridad en la Smart Grid
9. Tecnologías emergentes
10. Prácticas
1 © Tecnalia, 2022; D.R. © BID, 2022
Ciberseguridad en Energía

Módulo 6: Respuesta ante

incidentes
1. Respuesta ante incidentes de
Ciberseguridad
2. Frameworks de actuación frente a
incidentes
3. Conceptos de CERTs, CSIRTs y CNPIC
4. Gestión de amenazas/incidentes de
Infraestructuras críticas en LATAM
5. Ejercicio: Respuesta ante Incidentes
de Seguridad

2 © Tecnalia, 2022; D.R. © BID, 2022

 1. Respuesta ante incidentes de Ciberseguridad
2. Frameworks de actuación frente a incidentes
3. Conceptos de CERTs, CSIRTs y CNPIC
4. Gestión de amenazas/incidentes de
Infraestructuras críticas en LATAM
5. Ejercicio: Respuesta ante Incidentes de Seguridad

1. Respuesta ante Incidentes de

Ciberseguridad
3 © Tecnalia, 2022; D.R. © BID, 2022
Respuesta ante Incidentes de
Ciberseguridad

Agenda ▪ Conceptos base de gestión de

incidencias
▪ Equipo de Respuesta ante
Incidentes (IRT)
▪ Análisis Forense – Tratamiento
de evidencias
▪ Recuperación de Sistemas
▪ Referencias

4 © Tecnalia, 2022; D.R. © BID, 2022

Conceptos base de gestión de
incidencias
5 © Tecnalia, 2022; D.R. © BID, 2022
Respuesta ante Incidentes

Definiciones
▪ Evento: ocurrencia observable en un sistema o red.

▪ Incidente: violación o amenaza inminente de violación de

políticas de seguridad informática, políticas de uso aceptable o
prácticas de seguridad.

6 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Seguridad para ICS - CPNI

7 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Alcance de la IR - CPNI

8 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Flujo de manejo de Incidentes - CPNI

9 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Framework

Misión

Políticas Calidad Servicios

Procedimientos

10 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

• Alertas & Warnings

Servicios • Manejo de Incidentes

• Manejo de Vulnerabilidades

Reactivos • Manejo de Artefactos

• Comunicaciones
• Vigilancia Tecnológica
Servicios • Evaluaciones y Auditorias
• Puesta a punto de Infraestructura
Proactivos • Herramientas de Seguridad
• Servicios de Detección de Intrusos
• Sensibilización

S. Gestión de • Análisis de Riesgos

• Planificación de la Continuidad del Negocio y

la Calidad de la Recuperación del Desastre

• Consultoría de Seguridad
• Formación
Seguridad • Certificación o Evaluación de Producto

11 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Definición del Servicio

Atributos Descripción
Objetivo Propósito y naturaleza
Definición Alcance
Funciones Desglose de las funciones
Disponibilidad Condiciones: para quién, cuándo, cómo, etc.
Aseguramiento de la Calidad SLAs, métricas de aseguramiento de calidad
Información Requerimientos y divulgación de la
información
Dependencias Interfaces con otros servicios
Prioridad Nivel de prioridad con respecto a otros
servicios

12 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Ejemplo de Servicios

Flujo de manejo de Incidentes - ENISA

13 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Ciclo de Vida

Ciclo de Vida de la Respuesta a Incidentes - NIST

14 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Gestión y Manejo de Incidentes

Gestión de Manejo de
Incidentes Incidentes
Manejo de Incidentes Detección

Manejo de
Triage (Clasificar)
Vulnerabilidades

Comunicación y Alertas Análisis

Otros Respuesta

Gestión y Manejo de Incidentes - ENISA

15 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Fase I: Preparación
Tipología Recursos
HW y Software para • Laptops y backups (para análisis forense, para
Análisis crear imágenes, restaurar, analizar tráfico,
consultar información, manuales)
Instalaciones y • Sistema de registro, escalonado y gestión de
comunicaciones incidentes e información relacionada
• Teléfonos móviles (con la batería cargada)
• Laptop forenses y dispositivos de backup
• Sala de crisis
Análisis de Incidentes • Mapa de Sistemas, topología de red, listado de
activos y zonas críticas
• Documentación
• Estadísticas, informes de tráfico y actividad de
aplicaciones

16 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Vectores de Ataque Comunes - NIST

▪ Medios externos (usb, CD, etc.)
▪ Email
▪ Ataque (fuerza bruta, DDoS, etc.)
▪ Web (cross-site scripting)
▪ Uso inapropiado (violación de políticas, usos autorizados)
▪ Suplantación (spoofing, MITM, SQL injection)
▪ Pérdida o robo
▪ Otros

17 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Fase II: Análisis

▪ Correlación de Eventos
▪ Comportamiento Normal
▪ Profiling (checksums, activity (perform, bandwith…))
▪ Retención de Logs
▪ Base de Datos de Conocimiento y Lecciones Aprendidas
▪…

18 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Priorización de Incidentes por impacto

▪ Económico:
▪ Supone una pérdida económica importante (>5%)
▪ Supone una pérdida económica notable (>1%)
▪ Supone una pérdida económica menor (<0,001%)
▪ En la funcionalidad:
▪ No se pueden ofrecer servicios a usuarios
▪ No se puede ofrecer algún servicio a algunos usuarios
▪ Se pueden ofrecer los servicios a los usuarios pero no eficientemente
▪ En la información:
▪ Información sensible ha sido alterada (integridad)
▪ Información no clasificada ha sido comprometida (propietaria)
▪ Información personal ha sido comprometida (privacidad)

19 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Priorización de Incidentes -
Severidad del ataque (I)
Criticidad Tipologías
Very High Phishing, Denegación de Servicios
High Alteración de información no autorizada,
troyanos
Normal Spam

20 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Priorización de Incidentes -
Severidad del ataque (II)

21 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Información de un Incidente
Información Descripción
Identificativo Número para identificación y seguimiento
Palabras clave Información para caracterizar y relacionar
Asignado a Grupo y datos de contacto del equipo encargado de analizarlo

Prioridad Categorización asignada (puede cambiar durante el ciclo de

vida) – relacionado con el ANS

Estado Estado actual en que se encuentra (recomendado guardar

tiempo entre estados)
Acciones Listado de acciones realizadas, en curso y futuras

Investigador Persona asignada

Descripción Descripción detallada del incidente

22 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Estado de un Incidente
Recuperació
Ocurrencia Detección Diagnóstico Reparación Restauración Cierre
n

23 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Herramientas para Gestión de

incidentes
▪ Mantis
▪ Bugzilla
▪ OTRS
▪…
▪ https://en.wikipedia.org/wiki/Comparison_of_issue-tracking_systems

24 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Fase III: Contener, Erradicar y Recuperar

▪ Contención
▪ Provee tiempo para determinar una solución a medida basada en:
▪ Daño; Efectividad; tiempo, recursos y duración; disponibilidad de servicios
▪ Apagar, Desconectar, Deshabilitar,…
▪ Recopilación de información:
▪ Identificar información (IP, MAC, etc.); fecha y hora; localización; datos de contacto
de las personas involucradas en el incidente

▪ Erradicar
▪ Eliminar componentes del ataque, limpiar y mitigar las vulnerabilidades
explotadas
▪ Recuperar
▪ Restaurar sistemas

25 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Fase IV: Post-Incidente

▪ Lecciones aprendidas
▪ Analizar, Entender
▪ Escenario del Incidente (recrear)
▪ El IRT y otros involucrados
▪ Herramientas (políticas, procedimientos, herramientas, etc.)
▪ Información (base de conocimiento, otros grupos, etc.)

▪ Aprender y mejorar
▪ ¿Cómo podemos prevenir, detectar e impedir incidentes similares?
▪ Personas
▪ Herramientas
▪ Información

26 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Plan de Respuesta a Incidentes

▪ Actividades, roles y responsabilidades del IRT
▪ Equipo de Respuesta ante Incidentes
▪ Relación con otros IRTs
▪ Plan de Comunicaciones y Decisiones

27 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Métricas
▪ Número de incidentes gestionados
▪ Número de incidentes por categoría
▪ Tiempo dedicado por incidente
▪ Total en el incidente
▪ Para cada fase (comienzo, descubrimiento, impacto, …, recuperación)
▪ Para informar al órgano de decisión
▪ Evaluación objetiva del incidente
▪ Valoración del impacto vs impacto ocurrido
▪ Daño económico
▪ Servicios afectados
▪ Nueva ocurrencia de un Incidente
▪ Evaluación Subjetiva
▪ Preguntar al propietario del servicio, activo atacado

28 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes

Checklist de Manejo de Incidentes -NIST

▪ Detección y Análisis ▪ Post Incidente
▪ ¿Ha ocurrido anteriormente? ▪ Crear un informe de seguimiento
▪ Analizar los precursores e indicadores ▪ Reunión de lección aprendidas
▪ Investigar
▪ Si Incidencia, documentar y recopilar evidencias
▪ Priorizar
▪ Comunicar el Incidente
▪ Contener, Erradicar y Recuperar
▪ Recopilar información
▪ Contener
▪ Erradicar
▪ Mitigar vulnerabilidades
▪ Borrar
▪ Recuperar
Ciclo de Vida de la Respuesta a Incidentes - NIST
▪ Devolver la operatividad
▪ Confirmar la correcta funcionalidad
▪ Disponer
29 © Tecnalia, 2022; D.R. © BID, 2022
Respuesta ante Incidentes

Recomendaciones
▪ Prepararse para dar respuesta a Incidentes
▪ Identificar el propósito (política y el área de acción) del IRT.
▪ Identificar las zonas más importantes para el negocio.
▪ Estudiar, investigar, analizar el comportamiento del área de
acción, disponer herramientas y recursos.
▪ Prevenir la ocurrencia de incidentes mediante evolución y
testing de la securización.
▪ Identificar precursores e indicadores mediante alertas.
▪ Establecer relaciones con IRTs externos y entidades de
información y colaboración.

30 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante incidentes

Ciclo OODA (Observar, Orientar,

Decidir y Actuar)
•Análisis de Tráfico, Logs y
• Backup y recuperación Vulnerabilidades
•Monitoreo de Rendimiento
• Análisis Forense y captura de Aplicaciones
de datos
•Alertas SIEM, IDS

ACTUAR OBSERVAR

DECIDIR ORIENTAR

• Análisis de Decisiones
Formal • Investigación de Seguridad
• Comité de Crisis • Inteligencia de Amenazas
• Políticas de Seguridad • Clasificación de Incidentes

31 © Tecnalia, 2022; D.R. © BID, 2022

Equipo de Respuesta ante Incidentes (IRT)

32 © Tecnalia, 2022; D.R. © BID, 2022

Equipo de Respuesta ante Incidentes

El IRT en la organización

Grupo
IRT
de IT

33 © Tecnalia, 2022; D.R. © BID, 2022

Equipo de Respuesta ante Incidentes

Estructura de IRTs
IRT
Internacional

IRT Región
Andina

IRT Colombia IRT Perú IRT Ecuador IRT España IRT Italia

34 © Tecnalia, 2022; D.R. © BID, 2022

Equipo de Respuesta ante Incidentes
Atributos
Jefe de Equipo de RI
Responsable de Triage
Investigador de Incidentes
Responsable de Comunicación
Responsable Legal/RRHH
Descripción
Coordina y controla el rendimiento del equipo y
dirige las mejoras del grupo.
También llamado investigador líder es el
encargado de asignar y clasificar los incidentes y
convocar el comité de crisis.
Analiza, documenta, propone soluciones
provisionales y definitivas y comunica al r. de
Triage del estado.
Encargado de comunicar interna y externamente
ante determinados incidentes.
Encargado de aspectos legales y humanos.
35 © Tecnalia, 2022; D.R. © BID, 2022
Equipo de Respuesta ante Incidentes

Información a intercambiar con el IRT

Nombre del Servicio Información hacia Información desde Manejo de
Manejo de Incidentes Incidentes
Servicios de Detección de Informe de nuevos Nuevos ataques por comprobar
Intrusos incidentes

Comunicaciones Advertencias de ataques Potenciales ataques a investigar

Manejo de Protección ante Nuevas vulnerabilidades

vulnerabilidades vulnerabilidades
Manejo de Artefactos Información de amenazas Informes de artefactos e
e impactos incidentes

Vigilancia Tecnológica Advertencia de futuros Potenciales ataques a investigar

escenarios de ataque
Evaluaciones y auditorias Información de calendario Escenarios de ataque
de seguridad de pentesting

36 © Tecnalia, 2022; D.R. © BID, 2022

Análisis Forense - Tratamiento de
Evidencias
37 © Tecnalia, 2022; D.R. © BID, 2022
Tratamiento de Evidencias

Fases del Proceso Forense

Recoger Examinar Analizar Informar

▪ Recoger
▪ y registrar los datos relacionados con un incidente
▪ Examinar
▪ generar la información relevante
▪ Analizar
▪ estar en disposición de responder las preguntas
▪ Informar
▪ sobre las conclusiones y medidas

38 © Tecnalia, 2022; D.R. © BID, 2022

Tratamiento de Evidencias

Contención – ¿cuándo y cómo?

▪ Aislar el “componente del sistema” de factores externos para
prevenir y preservar
▪ Desenchufar
▪ Desconectar los cables de red
▪ Apagar
▪ Etc.

39 © Tecnalia, 2022; D.R. © BID, 2022

Tratamiento de Evidencias

Algunas consideraciones
▪ Sistemas de Ficheros
▪ FAT12, FAT16, FAT32, NTFS, HPFS, ext2fs, ext3fs, HFS, UFS, CDFS, UDF,…
▪ Ficheros borrados – slack space
▪ Backup Lógico vs Imagen
▪ Ficheros y timestamps (creación, modificación, acceso)
▪ Datos OS
▪ Volátiles
▪ Contenido de memoria, configuración de red, conexión de red, procesos, ficheros abiertos,
login,…
▪ No Volátiles
▪ Usuarios y grupos, passwords, comparticiones, logs, …
▪ Datos de Red
▪ TCP/IP: Capas de Aplicación, Transporte, IP, HW
▪ Fuentes: Firewalls y routers, sniffers y analizadores de protocolos, IDS, NFAT = SEM +
sniffer + analizador de protocolos, DHCP, software monitorización de red, ISP,
aplicaciones cliente/servidor.
▪ Datos de Aplicación
▪ Configuraciones (ficheros, runtime), datos, autenticación, logs

40 © Tecnalia, 2022; D.R. © BID, 2022

Recuperación de Sistemas

41 © Tecnalia, 2022; D.R. © BID, 2022

Recuperación de Sistemas

Plan de recuperación
▪ Niveles de Acuerdo de Servicio
▪ Procedimientos de recuperación de componentes y Plan B
▪ Equipo de Recuperación
▪ Plan de Comunicaciones y Decisiones
▪ Infraestructuras
▪…

42 © Tecnalia, 2022; D.R. © BID, 2022

Recuperación de Sistemas

Métricas
▪ Impacto de Incidentes
▪ Costes por inactividad de servicios
▪ Costes por pérdida de imagen y costes de oportunidad
▪ Costes por servicios de recuperación

▪ Calidad de la Recuperación
▪ Tiempo de Servicios parados por incidentes
▪ Incumplimiento de ANS de Servicios de Recuperación
▪ Porcentaje de recuperaciones de acuerdo a objetivo de tiempo

43 © Tecnalia, 2022; D.R. © BID, 2022

Referencias

44 © Tecnalia, 2022; D.R. © BID, 2022

Respuesta ante Incidentes de Ciberseguridad

Referencias
▪ Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities,
http://csrc.nist.gov/publications/PubsSPs.html#800-84
▪ Standards for Security Categorization of Federal Information and Information
Systems, at http://csrc.nist.gov/publications/PubsFIPS.html
▪ Information Security Continuous Monitoring for Federal Information Systems
and Organizations (http://csrc.nist.gov/publications/PubsSPs.html#800-137)
▪ Guide to Adopting and Using the Security Content Automation Protocol (SCAP)
Version 1.2 (http://csrc.nist.gov/publications/PubsSPs.html#800-117)
▪ Guide to Malware Incident Prevention and Handling for Desktops and Laptops
(http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-83r1.pdf)
▪ Guide to Integrating Forensic Techniques into Incident Response,
http://csrc.nist.gov/publications/PubsSPs.html#800-86
▪ Contingency Planning Guide for Federal Information Systems,
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-34r1.pdf

45 © Tecnalia, 2022; D.R. © BID, 2022

 1. Respuesta ante incidentes de Ciberseguridad
2. Frameworks de actuación frente a incidentes
3. Conceptos de CERTs, CSIRTs y CNPIC
4. Gestión de amenazas/incidentes de
Infraestructuras críticas en LATAM
5. Ejercicio: Respuesta ante Incidentes de Seguridad

2. Frameworks de actuación
ante incidencias
46 © Tecnalia, 2022; D.R. © BID, 2022
Frameworks de actuación
ante incidencias

Agenda
▪ Frameworks de actuación ante
incidentes
▪ ENISA
▪ Smart Grid Task Force
▪ Energy cybersecurity capability
maturity framework
▪ Referencias

47 © Tecnalia, 2022; D.R. © BID, 2022

Frameworks de actuación

ENISA

48 © Tecnalia, 2022; D.R. © BID, 2022

Frameworks de actuación

ENISA
La ENISA, Agencia de la Unión Europea para la
Ciberseguridad, es un centro de conocimientos
especializados para la seguridad cibernética en
Europa. La ENISA ayuda a la UE y los países que
la integran a estar mejor equipados y preparados
para prevenir, detectar y dar respuesta a los
problemas de seguridad de la información.
Fuente: https://europa.eu/european-union/about-eu/agencies/enisa_es

49 © Tecnalia, 2022; D.R. © BID, 2022

Frameworks de actuación

Objetivos ENISA
▪ Alcanzar resiliencia en ciberseguridad.

▪ Asegurar infraestructuras críticas de información.

▪ Reducir el cibercrimen.

▪ Desarrollar recursos industriales y tecnológicos en ciberseguridad.

▪ Contribuir al establecimiento de un política internacional para el

ciberespacio.

50 © Tecnalia, 2022; D.R. © BID, 2022

Frameworks de actuación

Beneficia a
El principal destinatario de la ENISA son las organizaciones del sector
público, concretamente:
▪ Gobiernos de los países de la UE
▪ Instituciones de la UE

Pero también:
▪ Industria de las TIC
▪ Comunidad empresarial
▪ Especialistas en seguridad
▪ Instituciones académicas
▪ Ciudadanos

51 © Tecnalia, 2022; D.R. © BID, 2022

Frameworks de actuación

Ciclo de Resolución de
Incidentes - ENISA
Erradicar y Análisis de
Recuperar Datos

Investigación
Ejecución de
de la
Solución
Solución

Propuesta de
Solución

52 © Tecnalia, 2022; D.R. © BID, 2022

Frameworks de actuación

Smart Grid
Task Force
Junio, 2019

53 © Tecnalia, 2022; D.R. © BID, 2022

Frameworks de actuación

Smart Grids
Task Force
Creación de grupos de
trabajo dentro del
sector de las Smart Grid

54 © Tecnalia, 2022; D.R. © BID, 2022

Frameworks de actuación

Aplicación de ICT dentro y a lo largo

del sector

Smart Grids Objetivo: acceso a los datos,

Task Force conectividad y análisis avanzado

Digitalización Habilita la introducción de nuevos

mercados energéticos

Mejora la eficiencia

55 © Tecnalia, 2022; D.R. © BID, 2022

Frameworks de actuación

Determinar casos de usos para el sector

energético, especialmente el eléctrico

Smart Grids
Task Force Estudiar la aplicabilidad de las DLTs al
sector energético

Blockchain
Identificar obstáculos tecnológicos,
financieros y regulatorios de los casos de
uso anteriores

56 © Tecnalia, 2022; D.R. © BID, 2022

Frameworks de actuación

Smart Grids
Task Force
Alcance

57 © Tecnalia, 2022; D.R. © BID, 2022

Frameworks de actuación

¿Por qué Blockchain?

Transparencia, trazabilidad y descentralización

Se mantiene un registro de todo lo que ha sucedido en el

sistema, preservando la integridad

Habilitador de nuevos servicios y modelos de negocio en

el contexto de un Mercado Único Digital

58 © Tecnalia, 2022; D.R. © BID, 2022

Frameworks de actuación

Conocer qué proyectos piloto

desarrollados en Europa
combinan DLTs con el sector
energético

59 © Tecnalia, 2022; D.R. © BID, 2022

Frameworks de actuación

Energy
cybersecurity
capability
maturity
framework

60 © Tecnalia, 2022; D.R. © BID, 2022

Frameworks de actuación

Energy cybersecurity capability

maturity framework (C2M2)
Partnership público-privado creado como resultado de
aunar los esfuerzos de la administración para mejorar las
capacidades en ciberseguridad del sector eléctrico.
C2M2 ayuda a las organizaciones a evaluar, priorizar y
mejorar sus capacidades en ciberseguridad

El modelo se centra en la implementación y el manejo de

la seguridad asociada a la operación y al uso de las
tecnologías de la información.

61 © Tecnalia, 2022; D.R. © BID, 2022

Frameworks de actuación

▪ Mejorar las capacidades en ciberseguridad de las

organizaciones
▪ Permitir a las organizaciones evaluar y medir sus
capacidades en ciberseguridad
Objetivos ▪ Compartir conocimiento, mejores prácticas y
C2M2 referencias relevantes entre organizaciones
▪ Permitir a las organizaciones priorizar acciones e
inversiones para mejorar la ciberseguridad
▪ Apoyar la adopción del National Institute of
Standards and Technology (NIST) Cybersecurity
Framework

62 © Tecnalia, 2022; D.R. © BID, 2022

Frameworks de actuación

63 © Tecnalia, 2022; D.R. © BID, 2022

 1. Respuesta ante incidentes de Ciberseguridad
2. Frameworks de actuación frente a incidentes
3. Conceptos de CERTs, CSIRTs y CNPIC
4. Gestión de amenazas/incidentes de
Infraestructuras críticas en LATAM
5. Ejercicio: Respuesta ante Incidentes de Seguridad

3. Conceptos de CERTs, CSIRTs

y CNPIC
64 © Tecnalia, 2022; D.R. © BID, 2022
Conceptos de CERTSs, CSIRTs y CNPIC

CERTs
Un CERT estudia problemas que tienen implicaciones
generalizadas de ciberseguridad y desarrolla métodos y
herramientas avanzados
Equipo de respuesta (o preparación) para emergencias
informáticas

Marca registrada de Carnegie Mellon University desde

1997. Las empresas pueden solicitar la autorización para
usar la marca CERT

65 © Tecnalia, 2022; D.R. © BID, 2022

Conceptos de CERTSs, CSIRTs y CNPIC

Flujo de manejo de Incidentes del

CERT de Hungría

Fuente ENISA

66 © Tecnalia, 2022; D.R. © BID, 2022

Conceptos de CERTSs, CSIRTs y CNPIC

CSIRTS
Un CSIRT es una entidad organizativa concreta que tiene
la responsabilidad de coordinar y respaldar la respuesta a
un evento o incidente de seguridad informática
Equipo de respuesta a incidentes de seguridad
informática

A menudo sinónimo de CIRT

67 © Tecnalia, 2022; D.R. © BID, 2022

Conceptos de CERTSs, CSIRTs y CNPIC

CERTs y CSIRTs
▪ En la práctica suelen emplearse indistintamente

▪ CERT suele emplearse más en USA y CSIRT en Europa:

▪ US-CERT en USA
▪ Red de CSIRT en la regulación NIS en Europa

68 © Tecnalia, 2022; D.R. © BID, 2022

Conceptos de CERTSs, CSIRTs y CNPIC

SOCs
Un SOC abarca muchos aspectos de las operaciones de
seguridad, mientras que los CSIRTs y CERTs se enfocan en
la respuesta a incidentes

El alcance de un SOC puede incluir la función de

respuesta a incidentes, así como otras tareas

69 © Tecnalia, 2022; D.R. © BID, 2022

Conceptos de CERTSs, CSIRTs y CNPIC

70 © Tecnalia, 2022; D.R. © BID, 2022

Conceptos de CERTSs, CSIRTs y CNPIC

CNPIC
Organismo dependiente del Ministerio de
Interior de España responsable del impulso,
coordinación y supervisión de todas las políticas
y actividades relacionadas con la protección de
infraestructuras críticas.

71 © Tecnalia, 2022; D.R. © BID, 2022

Conceptos de CERTSs, CSIRTs y CNPIC

▪ Recolectar, analizar, integrar y evaluar la

información aportada por las instituciones
públicas, los servicios policiales y sectores
estratégicos.
Competencias ▪ Evaluar las amenazas y analizar los riesgos sobre
las instalaciones estratégicas.
CNPIC ▪ Diseñar y establecer la información, la
comunicación y los mecanismos de alerta.
▪ Coordinar las administraciones españolas con
los respectivos programas de la Unión Europea.

72 © Tecnalia, 2022; D.R. © BID, 2022

Conceptos de CERTSs, CSIRTs y CNPIC

73 © Tecnalia, 2022; D.R. © BID, 2022

Gestión amenazas/incidentes IC en LATAM

Referencias
▪ https://www.enisa.europa.eu/publications/an-evaluation-
framework-for-cyber-security-strategies
▪ https://www.energy.gov/sites/prod/files/2015/01/f19/Energy%20
Sector%20Cybersecurity%20Framework%20Implementation%20G
uidance_FINAL_01-05-15.pdf
▪ https://www.energy.gov/sites/prod/files/2014/02/f7/Use-of-NIST-
Cybersecurity-Framework-DOE-C2M2.pdf
▪ https://www.csirt.es/index.php/es/miembros/cnpicv

74 © Tecnalia, 2022; D.R. © BID, 2022

 1. Respuesta ante incidentes de Ciberseguridad
2. Frameworks de actuación frente a incidentes
3. Conceptos de CERTs, CSIRTs y CNPIC
4. Gestión de amenazas/incidentes de
Infraestructuras críticas en LATAM
5. Ejercicio: Respuesta ante Incidentes de Seguridad

4. Gestión de amenazas/incidentes de
Infraestructuras críticas en LATAM
75 © Tecnalia, 2022; D.R. © BID, 2022
Gestión amenazas/incidentes IC en LATAM

CERTs en Latinoamérica (I)

México:
▪ Centro Nacional de Respuesta a Incidentes Cibernéticos de la Policía
Federal: https://www.gob.mx/policiafederal/articulos/centro-
nacional-de-respuesta-a-incidentes-ciberneticos-de-la-policia-
federal?idiom=es
▪ MNEMO CERT: https://cert.mnemo.com
▪ Universidad Nacional Autónoma de México: https://www.cert.org.mx
▪ Centro de Ciberseguridad IQsec: https://cert.iqsec.com.mx/
Colombia:
▪ COLCERT. Grupo de respuesta a Emergencias Cibernéticas de
Colombia: http://www.colcert.gov.co

76 © Tecnalia, 2022; D.R. © BID, 2022

Gestión amenazas/incidentes IC en LATAM

CERTs en Latinoamérica (II)

Perú:
▪ PECERT. Equipo de Respuesta ante Incidentes de Seguridad Digital
Nacional: https://www.pecert.gob.pe
Venezuela:
▪ VenCERT. Sistema Nacional de Gestión de Incidentes Telemáticos de
Venezuela: http://www.vencert.gob.ve
Ecuador:
▪ EcuCERT. Centro de Respuesta a Incidentes informáticos del Ecuador:
https://www.ecucert.gob.ec
Bolivia:
▪ CGII. Centro de Gestión de Incidentes Informáticos:
https://www.cgii.gob.bo

77 © Tecnalia, 2022; D.R. © BID, 2022

Gestión amenazas/incidentes IC en LATAM

CERTs en Latinoamérica (III)

Guatemala:
▪ CERT Cyberseg: https://www.cyberseg.com/
Brasil:
▪ CERT.br. Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil: https://www.cert.br/
Argentina:
▪ ICICCERT. Coordinación de Emergencias en Redes Teleinformáticas de
la República Argentina:
https://web.archive.org/web/20120309074504/http://www.icic.gob.
ar/paginas.dhtml?pagina=100

78 © Tecnalia, 2022; D.R. © BID, 2022

Gestión amenazas/incidentes IC en LATAM

CERTs en Latinoamérica (IV)

Chile:
▪ CLCERT. Lab de criptografía aplicada y Ciberseguridad:
https://www.clcert.cl/
▪ CSIRT Chile. Equipo de respuesta ante Incidentes de Seguridad
Informática: https://www.csirt.gob.cl/
Uruguay:
▪ Gub.uy. Centro Nacional de Respuesta a Incidentes de Seguridad
Informática: https://www.gub.uy/centro-nacional-respuesta-
incidentes-seguridad-informatica/
Paraguay:
▪ CERT-PY. Centro de Respuesta ante Incidentes Cibernéticos:
https://cert.gov.py/

79 © Tecnalia, 2022; D.R. © BID, 2022

 1. Respuesta ante incidentes de Ciberseguridad
2. Frameworks de actuación frente a incidentes
3. Conceptos de CERTs, CSIRTs y CNPIC
4. Gestión de amenazas/incidentes de
Infraestructuras críticas en LATAM
5. Ejercicio: Respuesta ante Incidentes de
Seguridad

5. Ejercicio: Respuesta ante

Incidentes de Ciberseguridad
80 © Tecnalia, 2022; D.R. © BID, 2022
Ejercicio de Respuesta ante incidentes

Enunciado
Se considera una empresa de fabricación de material industrial de alta
tecnología. A las 3:00 de la mañana, el sistema IDS de la sala de
vigilancia de la empresa detecta tráfico inusual fluyendo en la red
interna, en particular peticiones ICMP hacia las cámaras de
videovigilancia. A las 4:30, una cámara de seguridad localizada en la
puerta del edificio detecta a una persona accediendo a la sala de
servidores donde se encuentran diversos planos de materiales. La
misma cámara vuelve a grabar a esa persona a las 5:30 saliendo de la
sala. A las 8:00 de la mañana, cuando la empresa abre, el equipo de
respuesta ante incidentes descubre la intrusión.

Usted es la persona encargada de gestionar la situación.

1. Rellene el cuadro de información de incidentes que se ha visto a
continuación. Puede suponer que se dispone de un equipo humano
de análisis forense en la empresa. Suponga una prioridad de 1.
Incluya las posibles acciones a tomar para remediar la situación.
2. ¿Es buena idea apagar el equipo nada más llegar a la escena del
posible crimen?

81 © Tecnalia, 2022; D.R. © BID, 2022

Ejercicio de Respuesta ante incidentes

Ayuda: cuadro de información de

un Incidente
Información Descripción
Identificativo
Palabras clave
Asignado a
Prioridad
Estado

Acciones
Investigador
Descripción

82 © Tecnalia, 2022; D.R. © BID, 2022

Muchas gracias por su atención
86 © Tecnalia, 2022; D.R. © BID, 2022