Inicio Columnas CSIRT: El equipo de respuesta, componente esencial en todo programa estratégico...

CSIRT: El equipo de respuesta, componente esencial en todo programa estratégico de seguridad de datos

Por:  Fernando Puga, Líder de Tecnología SONDA

En 2018 se cumplen tres décadas de la aparición del gusano Morris, el primer malware de la historia que, en 1988, infectó casi 10% de las 66.000 computadoras que entonces conformaban la red.

Tras este incidente surgió el primer Equipo de Respuesta ante Emergencias Informáticas (CERT, Community Emergency Response Team), concepto que luego mutó a CSIRT (Computer Security Incident Response Team/Equipo de Respuesta a Incidentes de Seguridad Informática).

Un CSIRT es un equipo, interno o externo a la organización, cuyo objetivo principal es minimizar y controlar los daños ante un ciberataque. Este también cumple las funciones de asesorar, responder y recuperar la normalidad en las operaciones, así como prevenir que ocurran futuros incidentes. Para lograrlo, actúa como coordinador de todas las áreas, individuos y procesos involucrados en un incidente.

En Estados Unidos, en su mayoría los CSIRT cooperan con el CERT-Coordination Center de Carnegie Mellon University, que funciona como el Centro de Coordinación a nivel nacional.

Sin embargo a nivel global, existe el Foro de Equipos de Seguridad y Respuesta de Incidentes (Forum of Incident Response and Security Teams, FIRST), que es la asociación global que coordina los diferentes equipos de respuesta. Los CSIRT miembros de FIRST pueden responder de manera más efectiva a los incidentes de seguridad, al disponer de acceso a las mejores prácticas, y colaboración con los otros equipos miembros.

El crecimiento y la sofisticación de las amenazas informáticas plantean un nuevo panorama, en el cual solo es cuestión de tiempo para que una organización sea víctima de algún incidente de ciberseguridad o que ponga en riesgo sus datos.

Los CSIRT deben estar preparados en régimen 24/7 para responder de forma proactiva ante actividades sospechosas, y reactiva para investigar y rastrear a los ejecutores de un ciberataque, permitiendo contenerlo y posteriormente neutralizarlo;  y en paralelo restablecer la operación del activo o servicio afectado, así como perseguir a los cibercriminales legalmente.

No solo deben analizar potenciales amenazas de manera continua, también deben garantizar que estas fallas sean corregidas para mitigar los riesgos. Los nuevos equipos de respuesta a incidentes de seguridad tienden a incluir un grupo de especialistas para descubrir y analizar vulnerabilidades, y además, a especialistas en “hackeo ético” que ejecutan pruebas de penetración, simulando ser atacantes, para identificar las brechas de seguridad y los alcances e impacto que podría tener un ataque real.

Un CSIRT bien diseñado se encarga de proteger las infraestructuras críticas de la organización y vela por la continuidad de los servicios principales de la misma. Debe apoyarse en un equipo de técnicos especialmente entrenados para resolver y gestionar incidentes de alto impacto: administrar crisis, coordinar acciones, y estar preparados para prevenir y detectar los ataques cibernéticos más comunes, así como para conocer profundamente las debilidades de sistemas, infraestructuras y personas de su organización. El objetivo es dar una efectiva y rápida respuesta a los incidentes que puedan ocurrir.

Hoy hemos identificado que la mejor forma de hacer frente a un incidente de seguridad y ofrecer servicios de calidad para la respuesta a estos incidentes, es mediante la guía de manejo de incidentes de seguridad informáticos publicada por el NIST en su publicación especial “800-61 Computer Security Incident Handling Guide”.

Esta guía define un ciclo de vida de respuesta ante incidentes que abarca cuatro fases: preparación; detección y análisis;  erradicación y recuperación en la contención; y las actividades posteriores al incidente.

En México, el CSIRT de SONDA ofrece servicios a empresas privadas y de gobierno. El UNAM-CERT, grupo de acción rápida perteneciente a la Universidad Nacional Autónoma de Mexico, que atiende cualquier ataque o intrusión sobre la estructura informática; y el CSIRT del Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación (CERT Infotec).

Asimismo, en la región destacan el CSIRT del Ministerio del Interior del Gobierno de Chile; las iniciativas ColCERT y CC-CSIRT del Gobierno y la Policía Nacional de Colombia, respectivamente; y el Centro de Ciberseguridad de la Ciudad de Buenos Aires, entre otros.

Esta experiencia se traduce en equipos de respuesta ante incidentes de seguridad (CSIRT) en modalidad de servicios, los que se ofrecen a través del centro de competencias de seguridad de SONDA Colombia, que actualmente se encuentra en proceso de certificación por parte del FIRST con el objetivo de que la membresía con este organismo tenga validez para todos los equipos de SONDA en la región.

En paralelo, el CSIRT de SONDA México, se encuentra avalado y cuenta con la autorización del CERT-CC de la Universidad Carnegie Mellon, como un equipo de respuesta a incidentes de seguridad comprometido en mejorar la seguridad de infraestructura y redes conectadas a internet.