Computer Security Incident Response Team

CSIRT

Sobre Nosotros
Fundada en 2006 Equipo de consultores locales, +100 en toda el mundo Consultora de Procesos en el rea de tecnologa, innovacin y sistemas de informacin HQ en Panam

Misin
Asistir a organizaciones a ser ms competitivas por medio de una mejor utilizacin de los recursos de tecnologa a travs de procesos eficaces.
2

Somos Partners del

Software Engineering Institute (SEI)

El SEI es un organismo de prestigio mundial en el establecimiento de mejores prcticas para ingeniera de software.

Pittsburgh, Pennsylvania, USA 4

reas de Actividad del SEI

Seguridad informtica: CERT Ingeniera de Software: CMMI, TSP Arquitectura de Software Adquisicin de Tecnologa
CMMISVC CMMIDEV CMMIACQ

La Red Liveware
Consultores de renombre internacional Cobertura en Amrica, Asia y Europa

+ 25 aos de experiencia

Constelacin de 7 consultoras

+100 consultores 6

Algunos de Nuestros Clientes

Argentina Chile

Argentina

Rep. Dominicana

Clientes de Capacitacin
ACP ADR Autoridad Nacional de Aduanas Autoridad de Innovacin Alianzasoft ASI Technologies Autoridad de los Servicios Pblicos Autoridad de Turismo Banco General Banesco Cable Onda Caja de Ahorros Caja de Seguro Social Cervecera Nacional Ciberntica Conctate Copa Airlines Direccin de Trnsito Global Bank HSBC Icaza, Gonzlez Ruiz y Alemn IFARHU INDRA Infosgroup IQ Nova La Prensa Latam Consulting Services Latam Trade and Commerce Morgan & Morgan Ministerio de Economa y Finanzas Ministerio de Educacin Ministerio de Comercio e Industrias Ministerio de Salud Ministerio de Obras Pblicas rgano Judicial Petrleos Delta Polica Nacional Quantic Vision Ricardo Prez, S.A. SIONSA St. Georges Bank Superintendencia de Bancos TESA Towerbank Tribunal Electoral Universidad Tecnolgica de Panam

Nos enfocamos en la Adopcin

Implementacin

Adopcin
9

CSIRT

El inicio: CERT/CC

11

Qu es un incidente de seguridad?
Adware

Backdoor Trojans Bluejacking Bluesnarfing Boot Sector Viruses Extortion

Denial of Service attack (DoS)
Sabotage
Document Viruses

Browser Hijackers

Chain Letters

Cookies

Viruses

Internet
Page-jacking

Email Viruses Worms Mobile Phone Mousetrapping Obfuscated spam Palmtop viruses

Dialers

Parasitic viruses

Pharming

Espionage

Social Engineering
12

Phishing

Vandalism

Gestin de incidentes
Requiere del desarrollo de un plan de accin y de procesos que son:
Consistentes Repetibles Motivados por la calidad Medibles Entendidos por todos los implicados

Seguridad no es asunto de tecnologa, sino una inversin de negocios

13

Qu es un CSIRT?
Una organizacin que provee servicios y apoyo a una circunscripcin definida para prevenir manejar y responder a incidentes de seguridad informtica.

14

Por qu se necesita un CSIRT?

Entidades y personas estn al acecho de sus activos ms preciados. La mejor infraestructura no puede garantizar que no ocurrirn actos maliciosos Cuando sucede un incidente es necesario poder responder de forma efectiva Se trata de minimizar el costo y el tiempo de la respuesta
15

No es lo mismo
CSIRT Puede realizar las funciones del rea de seguridad de un departamento de TI Repositorio de informacin de incidentes Centro de reporte y anlisis Coordina la respuesta a incidentes en la organizacin Colaboracin con equipos externos y estamentos de seguridad Departamento de TI Monitoreo diario de la red y sistemas Responsable de actualizar los sistemas Instalacin de parches Mitiga los incidentes

Tipos de CSIRT
Algunas categoras, segn el mbito al que proveen servicios: CSIRT Interno: dentro de la organizacin. Ej. Bancos, empresas, universidades, ciudades o asociaciones. CSIRT Nacionales: para un pas. CSIRT Pblico: vela por la infraestructura estatal. CSIRT Regional: para un conjunto de pases. Centros de coordinacin: coordinan y facilitan el manejo de incidentes entre varios CSIRTs. Centros de anlisis: sintetizan datos de distintas fuentes para hallar patrones y tendencias de incidentes. Dicha informacin sirve para actividades predictivas y alertas tempranas. Proveedores de Respuesta a Incidentes: ofrecen servicios privados de manejo de incidentes para empresas y otro tipo de organizaciones.

17

Mapa de CSIRTs

18

El CSIRT interno

19

CSIRT de Responsabilidad Nacional

Reconocido por el gobierno Responsabilidad amplia que puede incluir
Infraestructura crtica Gobierno Ciudadana en general Otros CSIRT en el pas

20

Servicios
Fase I Servicios Reactivos Alertas y Advertencias Apoyo en el manejo de incidentes, de Vulnerabilidades y Artefactos: Anlisis y coordinacin de respuesta Levantar estadsticas de los incidentes Fase II Servicios Proactivos Monitoreo de un mapa global de virus y amenazas Desarrollo e investigacin de herramientas de seguridad Apoyo en la deteccin de intrusos Divulgacin de informacin relacionada con la seguridad Prospectiva Tecnolgica Fase III Servicios de Gestin de la Calidad de la Seguridad Anlisis de riesgo Coordinar la planificacin de recuperacin de desastres de infraestructura crtica Concientizacin ciudadana Educacin/Entrenamiento Evaluacin de productos o certificacin

21

Algunos Roles
General Director general Personal Administracin y contabilidad Relaciones pblicas Asesora jurdica Equipo tcnico operativo Jefe del equipo tcnico Tcnicos del CSIRT Investigadores
22

Mapa de Ruta para un crear un CSIRT

Planificacin
Asesora/Capacitacin inicial
Plan de proyecto Identificar usuarios potenciales Definir misin Modelo financiero y presupuesto Estructura organizativa Definir servicios Crear o modificar legislacin

Creacin de competencias
Definir roles y niveles de autoridad Identificar personal idneo Contratar personal Plan de capacitacin Oficina fsica: Equipar oficina Desarrollar poltica de seguridad de la informacin Documentar flujos de trabajo Definir interfaces e interacciones

Operacin del CSIRT

Lanzamiento del centro Promover los servicios del CSIRT Evaluar el mercado y grupo de usuarios Generacin de alertas, advertencias y comunicados Coordinar la respuesta a los incidentes de seguridad que se presenten Coordinar las iniciativas nacionales de seguridad de la informacin Mtodos de evaluacin Desarrollar plan de contingencia Obtener reconocimiento internacional Establecer convenios de colaboracin con otros CSIRT

Evaluar desempeo

23

Socios esenciales para un CSIRT Nacional

Equipos CSIRT de otros pases Otros CSIRT dentro del pas Consejo de Seguridad Polica Ministerio pblico Proveedores de internet Proveedores de software Integradores Proveedores de Antivirus Expertos en seguridad Universidades Medios de comunicacin especializados Proveedores de infraestructura crtica: luz, agua, telcos
24

Confianza: Condicin sine qua non

Servicios proactivos y reactivos Garantizar confidencialidad e imparcialidad Coordinar con otras organizaciones y expertos
universidades, gobierno, empresas Modelo distribuido de equipos de respuesta a incidentes (coordinacin y cooperacin no control)

25

Apoyo del SEI para CSIRT Nacionales

Herramientas para personal autorizado en CSIRT Nacionales, incluyendo un sitio web colaborativo y una lista de correo electrnico Intercambio de informacin y servicios
Vigilia y respuesta a advertencias Actualizaciones de actividades Anlisis de incidentes y entrenamiento Capacidad de alerta y contenidos Investigacin sobre tendencias, amenazas y evaluacin de riesgos Consultora tcnica, entrenamiento y construccin de habilidades Intercambio de personal tcnico o pasantas con afiliados Desarrollo de herramientas y soporte Anlisis de vulnerabilidades Anlisis de artefactos Monitoreo y anlisis de redes

Intercambio tcnico

Desarrollo de capacidades y habilidades de un CSIRT Evaluacin de los requerimientos de madurez y capacidad de un CSIRT Patrocinio ante FIRST e introduccin a otras organizaciones y socios estratgicos

26

Cursos oficiales del CERT

Creating a Computer Security Incident Response Team Managing Computer Security Incident Response Teams Fundamentals of Incident Handling Advanced Incident Handling Information Security for Technical Staff Malware Analysis Apprenticeship Insider Threat Workshop Introduction to the CERT Resilience Management Model CERT Resilience Management Model Appraisal Boot Camp Managing Enterprise Information Security Advanced Forensic Response and Analysis Assessing Information Security Risk Using the OCTAVE Approach
27

CERT Resilience Management Model

Elasticidad Operativa: capacidad de una organizacin de hacerle frente a sus riesgos Modelo enfocado a procesos. Guas y prcticas para:
Gestin de la seguridad Continuidad del negocio Gestin de las operaciones de TI Medicin y madurez

26 reas de procesos en 4 categoras

28

CERT Resilience Management Model

29

Enlaces relevantes
FIRST: www.first.org CERT / CSIRT: www.cert.org

CERT-Certified Computer Security Incident Handler (CSIH) certification program http://www.sei.cmu.edu/certifica tion/security/csih/index.cfm

30

United States Email: info@alcenit.com Phone: +1 415.598.8905 Address: 1288 Columbus Ave. Suite #218 San Francisco, CA 94133 United States of America

International Email: info@alcenit.com Phone: +507 260.9820 Address: Building 235 International Technopark of Panama City of Knowledge, Clayton PO Box 0819-07121 Panama, Rep. of Panama

Contacto: Rolando Armuelles / rarmuelles@alcenit.com