Creacin de un CSIRTExpositor: Daniel Leyva Rocha

IntroduccinMantener seguros los activos de informacin organizacional en el entorno computacional actual es un verdadero desafo que se vuelve ms difcil con cada nuevo producto y cada nueva herramienta de intrusin. La mayora de las organizaciones se dan cuenta de que no hay una sola solucin o panacea para la seguridad de los sistemas y datos, sino que es necesaria una estrategia de seguridad de mltiples capas.

Una de las capas que muchas organizaciones estn incluyendo en su estrategia de hoy es la creacin de un Equipo de Respuesta a Incidentes de Seguridad Informtica, generalmente llamado CSIRT.

Qu es un CSIRT?:Un Equipo de Respuesta a Incidentes de Seguridad Informtica (CSIRT) es una organizacin que es responsable de recibir, revisar y responder a informes y actividad sobre incidentes de seguridad. Sus servicios son generalmente prestados para un rea de cobertura definida que podra ser una entidad relacionada u organizacin de la cual dependen, una corporacin, una organizacin de gobierno o educativa; una regin o pas, una red de investigacin; o un servicio pago para un cliente.

Los motivadores que conducen al establecimiento de CSIRTs incluyen: Un aumento general en el nmero de incidentes de seguridad informtica que se reportan. Un aumento general en la cantidad y el tipo de organizaciones que estn siendo afectadas por incidentes de seguridad informtica. Una conciencia ms centrada de las organizaciones sobre la necesidad de polticas y prcticas de seguridad como parte de su conjunto de estrategias de gestin de riesgos. Nuevas leyes y regulaciones que afectan la obligacin que tienen las organizaciones de proteger la informacin. La realizacin de que los administradores de sistemas y de red por s solos no pueden proteger a los sistemas activos organizacionales.

Cules son las preguntas?A medida que las organizaciones comienzan a formar su capacidad de respuesta a incidentes, busca determinar la mejor estrategia para establecer tal estructura. Los CSIRT y sus organizaciones afines tienen numerosas preguntas a ser respondidas para ayudarles a disear su capacidad de respuesta. Tambin estn interesados en saber lo que otros equipos en sectores similares de la industria estn haciendo.

Las preguntas tpicas que se hacen incluyen, pero no se limitan a: Cules son los requisitos bsicos para el establecimiento de un CSIRT? Qu tipo de CSIRT se necesitar? Qu tipo de servicios deberan ofrecerse? Qu tan grande debe ser el CSIRT? Dnde debera colocarse el CSIRT dentro de la organizacin? Cunto costar implementar y dar soporte a un equipo de trabajo? Cules son los primeros pasos a seguir para crear un CSIRT?

No hay un conjunto estndar de respuestas a estas preguntas. Los CSIRT son tan nicos como las organizaciones a las que dan servicio, y como resultado, no es probable que dos equipos funcionen exactamente de la misma manera. Es importante para la organizacin decidir por qu se est formando un CSIRT y qu quiere que ese CSIRT logre. Una vez determinado esto, entonces el nico conjunto de respuestas a estas preguntas puede ser formulado.

Cules son algunas de las mejores prcticas para crear un CSIRT?Aunque los CSIRTs diferirn en la forma en que operan dependiendo del personal disponible, la habilidad, el presupuesto, y las circunstancias nicas de cada organizacin, hay algunas prcticas bsicas que se aplican a todos los CSIRT. Vamos a discutir algunas de esas prcticas relativas a la creacin de un CSIRT. (Para ms informacin sobre qu es un CSIRT, ver el FAQ de CSIRT.) A pesar de estas acciones se presentan como pasos, el proceso no es secuencial, muchos pasos pueden realizarse en paralelo.

Paso 1: Obtener apoyo y la "decisin de compra" por parte de la gerenciaNuestra experiencia muestra que sin la aprobacin y el apoyo gerencial, crear una capacidad efectiva de respuesta a incidentes puede ser extremadamente difcil y problemtico. Este apoyo debe ser mostrado de diferentes maneras, incluyendo la provisin de recursos, financiacin, y tiempo a la persona o grupo de personas que actuarn como el equipo del proyecto para la implementacin del CSIRT. Esto tambin incluye que ejecutivos y gerentes de empresa o departamento y su personal dediquen tiempo a participar en este proceso de planificacin, su aporte es esencial durante los trabajos de diseo.

Es importante obtener las expectativas y percepciones de la gerencia acerca de la funcin y responsabilidades del CSIRT. Sin esta informacin, se puede construir un equipo cuyos servicios y autoridad no sean comprendidos o usados apropiadamente por el resto de la organizacin.

Adems de obtener el apoyo gerencial para la planificacin e implementacin, es igualmente importante conseguir el compromiso gerencial para sostener las operaciones y la autoridad del CSIRT a largo plazo. Una vez que el equipo se ha establecido, cmo es mantenido y ampliado con presupuesto, personal y recursos de equipamiento? El rol y la autoridad del CSIRT seguirn siendo apoyados por la gerencia para todas las reas de cobertura u organizaciones de las que dependen? Sin este apoyo continuo, el xito a largo plazo del CSIRT puede estar en riesgo.