Computer Security Incident Response TeamCSIRT

2

• Fundada en 2006

• Equipo de consultores locales, +100 en toda el mundo

• Consultoría de Procesos en el área de tecnología, innovación y sistemas de información

• HQ en Panamá

Asistir a organizaciones a ser más competitivas por medio de una mejor utilización de los recursos de tecnología a través de procesos eficaces.

Misión

Sobre Nosotros

3

4

Somos Partners del

Software Engineering Institute (SEI)

• El SEI es un organismo de prestigio mundial en el establecimiento de mejores prácticas para ingeniería de software.

Pittsburgh, Pennsylvania, USA

5

Áreas de Actividad del SEI

• Seguridad informática: CERT

• Ingeniería de Software: CMMI, TSP

• Arquitectura de Software

• Adquisición de Tecnología

CMMI-

SVC

CMMI-

DEVCMMI-

ACQ

6

La Red Liveware

+100 consultores+ 25 años de experiencia

Cobertura en América, Asia y EuropaConsultores de renombre internacional

Constelación de 7 consultoras

7

Algunos de Nuestros Clientes

Argentina

Argentina

Chile

Rep. Dominicana

8

Clientes de Capacitación• Dirección de Tránsito

• Global Bank

• HSBC

• Icaza, González Ruiz y Alemán

• IFARHU

• INDRA

• Infosgroup

• IQ Nova

• La Prensa

• Latam Consulting Services

• Latam Trade and Commerce

• Morgan & Morgan

• Ministerio de Economía y Finanzas

• Ministerio de Educación

• Ministerio de Comercio e Industrias

• Ministerio de Salud

• ACP

• ADR

• Autoridad Nacional de Aduanas

• Autoridad de Innovación

• Alianzasoft

• ASI Technologies

• Autoridad de los Servicios Públicos

• Autoridad de Turismo

• Banco General

• Banesco

• Cable Onda

• Caja de Ahorros

• Caja de Seguro Social

• Cervecería Nacional

• Cibernética

• Conéctate

• Copa Airlines

• Ministerio de Obras Públicas

• Órgano Judicial

• Petróleos Delta

• Policía Nacional

• Quantic Vision

• Ricardo Pérez, S.A.

• SIONSA

• St. Georges Bank

• Superintendencia de Bancos

• TESA

• Towerbank

• Tribunal Electoral

• Universidad Tecnológica de Panamá

9

Nos enfocamos en la Adopción

Implementación Adopción

CSIRT

11

El inicio: CERT/CC

12

¿Qué es un incidente de seguridad?

Adware Backdoor TrojansBluejacking

Bluesnarfing Boot Sector Viruses ExtortionBrowser Hijackers Chain Letters Cookies

Denial of Service attack (DoS) DialersSabotage Document Viruses Email Viruses

Internet Worms Mobile Phone Viruses Mousetrapping Obfuscated spam

Page-jacking Palmtop viruses

Parasitic viruses Pharming Phishing Vandalism

Espionage Social Engineering

13

Gestión de incidentes

• Requiere del desarrollo de un plan de acción y de procesos que son:

– Consistentes

– Repetibles

– Motivados por la calidad

– Medibles

– Entendidos por todos los implicados

• Seguridad no es asunto de tecnología, sino una inversión de negocios

14

¿Qué es un CSIRT?

• Una organización que provee servicios y apoyo a una circunscripción definida para prevenir manejar y responder a incidentes de seguridad informática.

15

¿Por qué se necesita un CSIRT?

• Entidades y personas están al acecho de sus activosmás preciados.

• La mejor infraestructura no puede garantizar que no ocurrirán actos maliciosos

• Cuando sucede un incidente es necesario poderresponder de forma efectiva

• Se trata de minimizar el costo y el tiempo de la respuesta

No es lo mismo…

CSIRT

•Puede realizar las funciones del área de seguridad de un departamento de TI•Repositorio de información de incidentes•Centro de reporte y análisis•Coordina la respuesta a incidentes en la organización•Colaboración con equipos externos y estamentos de seguridad

Departamento de TI

•Monitoreo diario de la red y sistemas•Responsable de actualizar los sistemas•Instalación de parches•Mitiga los incidentes

17

Tipos de CSIRTAlgunas categorías, según el ámbito al que proveen servicios:• CSIRT Interno: dentro de la organización. Ej. Bancos, empresas,

universidades, ciudades o asociaciones. • CSIRT Nacionales: para un país. • CSIRT Público: vela por la infraestructura estatal.• CSIRT Regional: para un conjunto de países.• Centros de coordinación: coordinan y facilitan el manejo de incidentes

entre varios CSIRTs. • Centros de análisis: sintetizan datos de distintas fuentes para hallar

patrones y tendencias de incidentes. Dicha información sirve paraactividades predictivas y alertas tempranas.

• Proveedores de Respuesta a Incidentes: ofrecen servicios privados de manejo de incidentes para empresas y otro tipo de organizaciones.

18

Mapa de CSIRTs

19

El CSIRT interno

20

CSIRT de Responsabilidad Nacional

• Reconocido por el gobierno

• Responsabilidad amplia que puedeincluir

– Infraestructura crítica

– Gobierno

– Ciudadanía en general

– Otros CSIRT en el país

21

Servicios

Fase I Fase II Fase III

Servicios Reactivos Servicios Proactivos Servicios de Gestión de la

Calidad de la Seguridad

Alertas y

Advertencias

Apoyo en el manejo

de incidentes, de

Vulnerabilidades y

Artefactos: Análisis y

coordinación de

respuesta

Levantar

estadísticas de los

incidentes

Monitoreo de un mapa global

de virus y amenazas

Desarrollo e investigación de

herramientas de seguridad

Apoyo en la detección de

intrusos

Divulgación de información

relacionada con la seguridad

Prospectiva Tecnológica

Análisis de riesgo

Coordinar la planificación

de recuperación de

desastres de

infraestructura crítica

Concientización

ciudadana

Educación/Entrenamiento

Evaluación de productos o

certificación

22

Algunos Roles

General

Director generalPersonal

Administración y contabilidadRelaciones públicas

Asesoría jurídicaEquipo técnico operativo

Jefe del equipo técnicoTécnicos del CSIRT

Investigadores

23

Mapa de Ruta para un crear un CSIRT

Planificación•Asesoría/Capacitación inicial

• Plan de proyecto

•Identificar usuarios potenciales

•Definir misión

•Modelo financiero y presupuesto

•Estructura organizativa

•Definir servicios

•Crear o modificar legislación

Creación de competencias•Definir roles y niveles de autoridad

•Identificar personal idóneo

•Contratar personal

•Plan de capacitación

•Oficina física: Equipar oficina

•Desarrollar política de seguridad de la información

•Documentar flujos de trabajo

•Definir interfaces e interacciones

Operación del CSIRT•Lanzamiento del centro

•Promover los servicios del CSIRT

•Evaluar el mercado y grupo de usuarios

•Generación de alertas, advertencias y comunicados

•Coordinar la respuesta a los incidentes de seguridad que se presenten

•Coordinar las iniciativas nacionales de seguridad de la información

•Métodos de evaluación

•Desarrollar plan de contingencia

•Obtener reconocimiento internacional

•Establecer convenios de colaboración con otros CSIRT

•Evaluar desempeño

24

Socios esenciales para un CSIRT Nacional

• Equipos CSIRT de otros países• Otros CSIRT dentro del país• Consejo de Seguridad• Policía• Ministerio público• Proveedores de internet• Proveedores de software• Integradores• Proveedores de Antivirus• Expertos en seguridad• Universidades• Medios de comunicación especializados• Proveedores de infraestructura crítica: luz, agua, telcos

25

Confianza: Condición sine qua non

• Servicios proactivos y reactivos

• Garantizar confidencialidad e imparcialidad

• Coordinar con otras organizaciones y expertos

– universidades, gobierno, empresas

– Modelo distribuido de equipos de respuesta a incidentes(coordinación y cooperación – no control)

26

Apoyo del SEI para CSIRT Nacionales• Herramientas para personal autorizado en CSIRT Nacionales, incluyendo un sitio web

colaborativo y una lista de correo electrónico

• Intercambio de información y servicios

– Vigilia y respuesta a advertencias

– Actualizaciones de actividades

– Análisis de incidentes y entrenamiento

– Capacidad de alerta y contenidos

– Investigación sobre tendencias, amenazas y evaluación de riesgos

• Intercambio técnico

– Consultoría técnica, entrenamiento y construcción de habilidades

– Intercambio de personal técnico o pasantías con afiliados

– Desarrollo de herramientas y soporte

– Análisis de vulnerabilidades

– Análisis de artefactos

– Monitoreo y análisis de redes

• Desarrollo de capacidades y habilidades de un CSIRT

• Evaluación de los requerimientos de madurez y capacidad de un CSIRT

• Patrocinio ante FIRST e introducción a otras organizaciones y socios estratégicos

27

Cursos oficiales del CERT• Creating a Computer Security Incident Response Team

• Managing Computer Security Incident Response Teams

• Fundamentals of Incident Handling

• Advanced Incident Handling

• Information Security for Technical Staff

• Malware Analysis Apprenticeship

• Insider Threat Workshop

• Introduction to the CERT Resilience Management Model

• CERT Resilience Management Model Appraisal Boot Camp

• Managing Enterprise Information Security

• Advanced Forensic Response and Analysis

• Assessing Information Security Risk Using the OCTAVE Approach

28

CERT Resilience Management Model

• Elasticidad Operativa: capacidad de una organización de hacerle frente a sus riesgos

• Modelo enfocado a procesos. Guías y prácticas para:

– Gestión de la seguridad

– Continuidad del negocio

– Gestión de las operaciones de TI

– Medición y madurez

• 26 áreas de procesos en 4 categorías

29

CERT Resilience Management Model

30

Enlaces relevantes

• FIRST: www.first.org

• CERT / CSIRT: www.cert.org

• CERT-Certified Computer Security Incident Handler (CSIH) certification program

http://www.sei.cmu.edu/certification/security/csih/index.cfm

Contacto: Rolando Armuelles / rarmuelles@alcenit.com

United States

Email: info@alcenit.com

Phone: +1 415.598.8905

Address:

1288 Columbus Ave. Suite #218

San Francisco, CA 94133

United States of America

International

Email: info@alcenit.com

Phone: +507 260.9820

Address:

Building 235

International Technopark of Panama

City of Knowledge, Clayton

PO Box 0819-07121

Panama, Rep. of Panama