Response Team (Equipo de Respuesta a Incidentes de Seguridad Informtica)
Un CERT es un CSIRT pero e t!rmino
"CERT es una marca registrada por Carnegie #eon Uni$ersity%
C#U autori&a e uso de "CERT a os
CSIRTs nacionaes' usuamente%
(go de terminoog)a
EVENTO: *ara a ciencia' un e$ento es un fenmeno (un +ec+o
o,ser$a,e en un momento dado) o un acontecimiento que ocurre en una posicin y momento determinados%(definicion%de)
EVENTO DE SEGURIDAD INFORMATICA: Es una ocurrencia
identificada de un estado de un sistema' ser$icio o red que indica una posi,e $ioacin de a po)tica de seguridad de a informacin o a faa de medidas de seguridad (safeguards)' o una situacin pre$iamente desconocida que pueda ser ree$ante para a seguridad% -IS. /01223
(go de terminoog)a II
Ejemplos de evento: Un usuario se conecta a
un sistema' un intento faido de un usuario para ingresar a una apicacin' e fire4a que permite o ,oquea un acceso' una notificacin de un cam,io de contrase5a de un usuario pri$iegiado' etc%
Un E$ento de Seguridad Informtica no es
necesariamente una ocurrencia maiciosa o ad$ersa% (agesic%gu,%uy)
(go de terminoog)a III
INCIDENTE: Cosa que so,re$iene en e curso
de un asunto' negocio o 6uicio y tiene con ! aguna reacin%(4ordreference%com)
INCIDENTE (seg7n ITI8): Cuaquier e$ento
que no forma parte de desarroo +a,itua de ser$icio y que causa' o puede causar una interrupcin de mismo o una reduccin de a caidad de dic+o ser$icio%(4i9ipedia%org)
(go de terminoog)a I:
INCIDENTE DE SEGURIDAD INFORMTICA: Es a $ioacin o
amena&a inminente a a $ioacin de una po)tica de seguridad de a informacin imp)cita o e;p)cita% Tam,i!n es un incidente de seguridad un e$ento que compromete a seguridad de un sistema (confidenciaidad' integridad y disponi,iidad)%
Un incidente puede ser denunciado por os in$oucrados' o indicado por
un 7nico o una serie de e$entos de seguridad informtica% -<IST011=>/' IS. /01223% E6empos de Incidentes Informticos: (cceso no autori&ado' ro,o de contrase5as' ro,o de informacin' denegacin de ser$icio' etc%
(go de terminoog)a :
RESPUESTA A INCIDENTES: Es una reaccin aceerada a
un pro,ema% Con respecto a a seguridad de a informacin' un e6empo ser)a as acciones de equipo de seguridad en contra de un +ac9er que +a penetrado un cortafuegos y est actuamente +u&meando e trfico de a red% E incidente es a $ioacin de a seguridad% 8a respuesta depende de cmo e equipo de seguridad reaccione' qu! acciones toman para reducir os da5os y cundo reesta,ecen os recursos' todo esto mientras intentan garanti&ar a integridad de os datos% (mit%edu)
(go de terminoog)a :I
Y MANEJO DE INCIDENTES?
RESPUESTA vs. MANEJO: Respuesta a Incidentes es e
con6unto de componentes t!cnicos requeridos para anai&ar y contener un incidente% #ane6o de Incidentes son as funciones de og)stica' comunicaciones' coordinacin y panificacin necesarias para reso$er un incidente en una manera cama y eficiente% (sans%edu)
(go de terminoog)a :II
COMUNIDAD OBJETIVO (Constituency): Es aque grupo de personas'
sistemas u organi&aciones para quienes se prestar e ser$icio de gestin de incidentes% (agesic%gu,%uy)
GESTION DE INCIDENTES: 8os ser$icios de gestin de incidentes de
seguridad de a informacin' estn destinados a pre$enir' detectar y soucionar incidentes de seguridad que atenten contra a confidenciaidad' disponi,iidad' integridad autenticidad de a informacin' como es e caso de un incidente ocasionado por un cdigo maicioso' un acceso no autori&ado' una denegacin de ser$icio o un uso inapropiado de os sistemas informticos de a organi&acin% (inteco%es)
(+ora s)' a nuestro tema@
Auncionamiento de un CSIRT Francisco NEIRA BASSO fneira@defensoria.gob.pe Encargado de Seguridad de la Informacin Defensora del ueblo
Auncionamiento de un CSIRT
Bu! es un CSIRT?
Bu! es e *E=CERT?
#arco ega y normati$o
R# creando e *E=CERT R# /CD=C1/C=*C# de a CE11/
Cmo funciona un CSIRT?
Cmo protege un CSIRT a Estado y a
ciudadano?
Bui!nes tienen CSIRTs?
Auncionamiento de un CSIRT
Aunciona como una "estacin de ,om,eros de incidentes informticos%
Reci,e amados de instituciones atacadas por +ac9ti$istas' anai&a a modaidad de
ataque y propaga a aerta a as dems instituciones
Coordina con as fuer&as de a 8ey' particuarmente con a rama especiai&ada:
FI:I<F(T o con AA((
Coordina con otros CSIRTs nacionaes y e;tran6eros
Tam,i!n puede reai&ar a,or proacti$a: Creando conciencia a a ciudadan)a so,re
ataques' estafas informticas' pri$acidad de a informacin persona' etc%
E CSIRT en accin !O"#NIDAD OB$E%I&O '!ons(i(uenc)* #IE#GR. (T(C(F. (T(C(<TE + , - +. .a ins(i(ucin es a(acada -. El a(a/ue es de(ec(ado ) repor(ado ,. Se no(ifica a los dem0s miembros ) a las fuer1as del orden
Auncionamiento de un CSIRT E2!ER% es a Coordinadora de Respuestas a Emergencias en Redes Teleinformticas
( cargo de a .<HEI
Creada con a R# I>1=C11D=*C# /D
(gosto C11D
*or ser un CSIRT de acance naciona' est
autori&ado por SEI=C#U a usar 3!ER%4 en su nom,re
Auncionamiento de un CSIRT Un CSIRT tiene un "Catogo de Ser$icios seg7n su madure& y sus recursos +umanos y materiaes Ser$icios ,sicos son os de coordinacin en su comunidad o,6eti$o y con os pro$eedores de ser$icios Internet Un CSIRT puede coordinar con otros CSIRTs para intercam,iar informacin de ataques' anisis de "ma4are' contramedidas' etc%
Hu)as para crear un CSIRT I
Focumento "Creacin de Equipo de Respuesta
a Incidentes de Seguridad Informtica
Hrupo de aumnos entusiastas y con $ountad
tanto de aprender como de +acer ,ien%
( menos un par de docentes con conocimientos
de redes y de desarroo (y tam,i!n con muc+o entusiasmo)
Es me6or comen&ar ofreciendo ser$icios
sencios +asta dominaros y uego ampiaros%
8a curiosidad y as ganas de aprender son
fundamentaes
8a confian&a de a comunidad o,6eti$o es
ca$e% Si a perdemos' todo se $endr a,a6o% Hu)as para crear un CSIRT II
Hu)as para crear un CSIRT III
Una $e& que e equipo demuestre su
so$encia t!cnica ,sica' podr ampiar su co,ertura y ofrecer sus ser$icios a resto de a Uni$ersidad' no soamente a a Escuea%
Si se promue$e a idea y e CSIRT
demuestra con m!tricas que funciona ,ien' podr crecer en n7mero' en capacidades t!cnicas y ampiar su comunidad o,6eti$o%