Columna

CSIRT: el equipo de respuesta como componente esencial en cualquier programa estratégico de seguridad de datos

30/11/2018
Fernando Puga
Líder de tecnología SONDA
Este 2018 se cumplen tres décadas de la aparición del gusano Morris, el primer malware de la historia que, en 1988, infectó casi 10% de las 66.000 computadoras que en aquel entonces conformaban la red. Como respuesta a este primer gusano, surgió el primer Equipo de Respuesta ante Emergencias Informáticas (CERT, Community Emergency Response Team), concepto que luego mutó a CSIRT (Computer Security Incident Response Team/Equipo de Respuesta a Incidentes de Seguridad Informática).

Un CSIRT es un equipo, interno o externo a la organización, cuyo objetivo principal es minimizar y controlar los daños ante un ciberataque. Este también cumple las funciones de asesorar, responder y recuperar la normalidad en las operaciones, así como prevenir que ocurran futuros incidentes. Para lograrlo, actúa como coordinador de todas las áreas, individuos y procesos involucrados en un incidente.

En los Estados Unidos, en su mayoría los CSIRT cooperan con el CERT-Coordination Center de Carnegie Mellon University, que funciona como el Centro de Coordinación a nivel nacional.

Sin embargo a nivel global, existe el Foro de Equipos de Seguridad y Respuesta de Incidentes (Forum of Incident Response and Security Teams, FIRST) que es la asociación global que coordina los diferentes equipos de respuesta. Los CSIRT miembros de FIRST pueden responder de manera más efectiva a los incidentes de seguridad, al disponer de acceso a las mejores prácticas, y colaboración con los otros equipos miembros.

El crecimiento y la sofisticación de las amenazas informáticas plantean un nuevo panorama en el cual solo es cuestión de tiempo para que una organización sea víctima de algún incidente de ciberseguridad o que ponga en riesgo sus datos.

Los CSIRT deben estar preparados en régimen 24x7 para responder de forma proactiva ante actividades sospechosas y reactiva para investigar y rastrear a los ejecutores de un ciberataque, permitiendo contenerlo y posteriormente neutralizarlo,  y en paralelo restablecer la operación del activo o servicio afectado, así como perseguir a los cibercriminales legalmente.

El CSIRT no solo debe analizar potenciales amenazas de manera continua, además debe de garantizar que estas fallas sean corregidas para mitigar los riesgos. Los nuevos equipos de respuesta a incidentes de seguridad tienden a incluir un equipo de especialistas para descubrir y analizar  vulnerabilidades y por otra parte, un grupo de especialistas en “hackeo ético” que ejecutan pruebas de penetración, simulando ser atacantes, para identificar las brechas de seguridad y los alcances e impacto que podría tener un ataque real.

En México, el CSIRT de SONDA ofrece servicios a empresas privadas y de gobierno, mientras el UNAM-CERT que es grupo de acción rápida que atiende cualquier ataque o intrusión sobre la estructura informática perteneciente a la Universidad Nacional Autónoma de Mexico, y también existe el CSIRT del Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación (CERT Infotec).

En la región destacan el CSIRT del Ministerio del Interior del Gobierno de Chile, las iniciativas ColCERT y CC-CSIRT del Gobierno y la Policía Nacional de Colombia, respectivamente, y el Centro de Ciberseguridad de la Ciudad de Buenos Aires, entre otros.

Un CSIRT bien diseñado se encarga de proteger las infraestructuras críticas de la organización y vela por la continuidad de los servicios principales de la misma, y este debe apoyarse en un equipo de técnicos especialmente entrenados para resolver y gestionar incidentes de alto impacto: administrar crisis, coordinar acciones, y estar preparados para prevenir y detectar los ataques cibernéticos más comunes, así como para conocer profundamente las debilidades de sistemas, infraestructuras y personas de su organización. El objetivo es dar una efectiva y rápida respuesta a los incidentes que puedan ocurrir.

En SONDA hemos identificado que la mejor forma de hacer frente a un incidente de seguridad y ofrecer servicios de calidad para la respuesta a estos incidentes, es mediante la guía de manejo de incidentes de seguridad informáticos publicada por el NIST en su publicación especial “800-61 Computer Security Incident Handling Guide”.

Esta guía define un ciclo de vida de respuesta ante incidentes que abarca cuatro fases: preparación; detección y análisis;  erradicación y recuperación en la contención; y las actividades posteriores al incidente.

En SONDA contamos equipos de respuesta ante incidentes de seguridad (CSIRT) en modalidad de servicios, los que se ofrecen a través del centro de competencias de seguridad de SONDA Colombia, que actualmente se encuentra en proceso de certificación por parte del FIRST con el objetivo de que la membresía con este organismo tenga validez para todos los equipos de SONDA en la región. En paralelo, el CSIRT de SONDA México, se encuentra avalado y cuenta con la autorización del CERT-CC de la Universidad Carnegie Mellon, como un equipo de respuesta a incidentes de seguridad comprometido en mejorar la seguridad de infraestructura y redes conectadas a internet.