universidad tecnica de loja
TRANSCRIPT
CREACION DEL CSIRT - UTPL
1
UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA
ESCUELA DE CIENCIAS DE LA COMPUTACIÓN
“CREACION DE UN EQUIPO DE RESPUESTA
A INCIDENTES DE SEGURIDAD PARA LA
UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA
CSIRT-UTPL”
Tesis previa a la obtención del
Título de Ingeniero en Sistemas
Informáticos y Computación
Msc. María Paula Espinoza v.
DIRECTORA
REBECA ELIZABETH PILCO VIVANCO
AUTORA
Loja - Ecuador 2008
CREACION DEL CSIRT - UTPL
2
Loja, Agosto de 2008
Msc. María Paula. Espinoza V.
DIRECTORA DE TESIS
CERTIFICA:
Que la Señorita Rebeca Elizabeth Pilco Vivanco, autora de la tesis CREACIÓN DEL
EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA PARA
LA UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA – CSIRT-UTPL, ha cumplido
con los requisitos estipulados en el Reglamento General de la Universidad Técnica
Particular de Loja, la misma que ha sido coordinada y revisada durante todo el
proceso de desarrollo desde su inicio hasta la culminación, por lo cual autorizo su
presentación.
_________________________
Msc. María P. Espinoza V.
DIRECTORA DE TESIS
CREACION DEL CSIRT - UTPL
3
AUTORÍA
El presente proyecto de Tesis con cada una de sus observaciones, análisis, opiniones,
evaluaciones, recomendaciones y conclusiones emitidas; es de exclusiva
responsabilidad de la Autora. Además, es necesario mencionar que la información de
otros autores empleada en el presente trabajo, está debidamente especificada en
fuentes de referencia y apartados bibliográficos.
_________________________
Rebeca Elizabeth Pilco Vivanco
TESISTA
CREACION DEL CSIRT - UTPL
4
CESIÓN DE DERECHOS
Yo, Rebeca Elizabeth Pilco Vivanco, declaro conocer y estar en acuerdo con la
disposición del Estatuto Orgánico de la Universidad en su Art. 67, donde se enuncia
que: “Forman parte del patrimonio de la Universidad la propiedad intelectual de
investigaciones, trabajos científicos o técnicos y tesis de grado que se realicen a
través, o con el apoyo financiero académico o institucional (operativo) de la
Universidad”.
_________________________
Rebeca Elizabeth Pilco Vivanco
TESISTA
CREACION DEL CSIRT - UTPL
5
DEDICATORIA
Cuando trabajamos en algo que contribuye a nuestro desarrollo
personal y profesional siempre contamos con la ayuda de varias
personas que con sus consejos nos ayudan a cumplir nuestros
objetivos y metas, hoy quiero dedicar este trabajo a muchas
personas que me han brindado su apoyo…..
A mis padres Henry y Teresa, gracias por su esfuerzo, su
paciencia y por el apoyo que me han brindado en todas las
actividades que he realizado a lo largo de mi vida.
Mis hermanos Daniel y Caty, gracias por ser parte de mi vida y
sobre todo por su apoyo incondicional.
Mis amig@s que junto con mis hermanos me han demostrado el
valor de la amistad, gracias por los momentos bonitos que
hemos compartido.
Rebeca
CREACION DEL CSIRT - UTPL
6
AGRADECIMIENTO
Quiero primeramente dar gracias a Dios por ser
mi guía y mi fortaleza, gracias por haberme
concedido la vida y por la compañía y la amistad
de las personas que me rodean.
Gracias a mis padres y mis hermanos por su
esfuerzo, paciencia, apoyo constante y sobre
todo por brindarme grandes momentos que me
han enseñado el valor de la familia.
Gracias a la Universidad Técnica Particular de
Loja, a la Escuela de Ciencias de la
Computación y a sus docentes, por permitirme
formar parte de la universidad y prepararme en
el ámbito profesional y personal.
Finalmente a mi Directora de Tesis Ing. María
Paula, gracias por el tiempo dedicado para la
culminación de la presente tesis.
Rebeca
CREACION DEL CSIRT - UTPL
7
INDICE GENERAL
CERTIFICACIÓN.……………………………………………..………………………….....I
AUTORÍA…………………………………………...……………..………………………...II
CESIÓN DE DERECHOS…………………………… …………………………………...III
DEDICATORIA………….……………………………………………...………………….IV
AGRADECIMIENTO…………………………………………… ……………..………….V
INTRODUCCION…………………………………………………………… … …..……..…1
OBJETIVOS………………………………………………………………… ……...………..2
DESCRIPCION DELPROBLEMA…………………………………………………………..3
1. EQUIPOS DE RESPUESTA A EMERGENCIAS INFORMÁTICAS ………………..6
1.1. Antecedentes…………………………………………………………………….6
1.2. Definición…………………………………………………………….……..……7
1.3. SERVICIOS DE UN CSIRT…………………………….……..….……….…..8
1.3.1. Servicios Reactivos………………………………………………….…9
1.3.1.1. Alertas y Advertencias………………………………………...10
1.3.1.2. Manejo de Incidentes………………………………………….10
1.3.1.2.1. Análisis de Incidentes………………………………….10
1.3.1.2.2. Respuesta a Incidentes en el Lugar………………....11
1.3.1.2.3. Soporte a la Respuesta a Incidentes………………...11
1.3.1.2.4. Coordinación de la Respuesta a Incidentes……....11
1.3.1.3. Manejo de Vulnerabilidades………………………………...12
1.3.1.3.1. Análisis de las Vulnerabilidades……………………..12
1.3.1.3.2. Respuesta a las Vulnerabilidades…………………...12
1.3.1.3.3. Coordinación de Respuesta a
Vulnerabilidades………………………………………….12
1.3.1.4. Manejo de Artifact………………………………………...……13
CREACION DEL CSIRT - UTPL
8
1.3.1.4.1. Análisis de Artifact……………………………..……….13
1.3.1.4.2. Respuesta a Artifact…………………………..………..13
1.3.1.4.3. Coordinación de Respuesta a Artifact………………13
1.3.2. Servicios Proactivos………………………………..………………….13
1.3.2.1. Anuncios………………………………………………………...13
1.3.2.2. Observatorio de Tecnología……………………..…………..14
1.3.2.3. Evaluaciones o Auditorias de la Seguridad……………….14
1.3.2.4. Configuración y Mantenimiento de las
Herramientas, Aplicaciones, Infraestructuras
y Servicios de Seguridad…………………………………...14
1.3.2.5. Desarrollo de Herramientas de Seguridad………………...14
1.3.2.6. Servicios de Detección de Intrusiones…………………….14
1.3.2.7. Difusión de la Información Relacionada con la
Seguridad……………………………………………………….15
1.3.3. Servicios de Administración de Calidad de la
Seguridad………………………………………………………………..15
1.3.3.1. Análisis de Riesgos…………………………………………..15
1.3.3.2. Planificación de la Continuidad del Negocio y
Recuperación del Desastre…………………………………..15
1.3.3.3. Consultoría de Seguridad……………………………………16
1.3.3.4. Concientización……………………………………………….16
1.3.3.5. Educación /Capacitación…………………………………….16
1.3.3.6. Evaluación o Certificación de Productos…………………..16
1.4. Tipos de Equipos de Respuesta a Incidentes……………………………16
1.4.1. CSIRT del Sector Académico……………………………………...17
1.4.2. CSIRT del Sector Comercial……………………………………….17
1.4.3. CSIRT del Sector Publico…………………………………………….17
CREACION DEL CSIRT - UTPL
9
1.4.4. CSIRT del Sector Interno……………………………………………..17
1.4.5. CSIRT del Sector Militar………………………………………………18
1.4.6. CSIRT del Sector Nacional………………………………………...18
1.4.7. CSIRT del Sector de la Pequeña y Mediana Empresa………....18
1.4.8. CSIRT de Coordinación………………………………….…………18
1.5. Personal que conforma un CSIRT……--…………………………….………19
2. EQUIPOS CSIRT A NIVEL MUNDIAL …………………………………….………….28
2.1. FIRST………………………………………………………………….…………28
2.2. Equipos de Respuesta a Incidentes en América.……...……….………..29
2.3. Equipos de Respuesta a Incidentes en Europa…………………………..31
2.4. Equipos de Respuesta a Incidentes en Asia y Pacífico.………………...32
3. INCIDENTES ………………………………………………………………………...…..39
3.1.Definición………………………………………….…………………..…….….39
3.2. Manejo de Incidentes…………………………………………….….…...…..40
3.2.1. Modelo propuesto por NIST/SANS…………………………………..40
3.2.1.1. Preparación………………………………………………………41
3.2.1.2. Detección y Análisis…..………………………………..…….41
3.2.1.3. Contención, Resolución y Recuperación…………………..44
3.2.1.4. Actividades Posteriores…………….………………………..45
3.2.2. Modelo Propuesto por el CERT/CC………………………………….45
3.2.2.1. Función Triage…………………….……………………………46
3.2.2.2. Función Manejo..………………….……………………………47
3.2.2.3. Función de Anuncio…………………….……………………47
3.2.2.3. Función de Retroalimentación……………...……………….48
3.2.3. Metodología a usar en el CSIRT-UTPL………………………………49
CREACION DEL CSIRT - UTPL
10
3.3. Políticas y Procedimientos para la Respuesta a Incidente....................49
3.4. Norma ISO 17799…………………………………………..…………………..52
4. MODELO ORGANIZACIONAL DE UN CSIRT ……………………………………....56
4.1. Equipo de Seguridad…………………………………………...…..…..…….56
4.2. CSIRT Interno Distribuido…………………………………………………...58
4.3. CSIRT Interno Centralizado……………… ………………………………...60
4.4. CSIRT Interno Combinado…………………………………………………..62
4.5. CSIRT de Coordinación……… ………………………………….………….64
5. PASOS PARA LA CREACION DE UN CSIRT………………………………….…….70
5.1. Creating a Computer Security Incident Response Team…….…...........72
5.1.1.Oobtener Apoyo de la Organización…………………………….…….72
5.1.2. Determinar el Plan Estratégico del CSIRT……………………… .….72
5.1.3. Obtener Información Relevante………………………………..……..73
5.1.4. Diseñar la Visión del CSIRT…………………………………..……….74
5.1.4.1. Misión del Equipo…………………………………..….……..74
5.1.4.2. Contituency………………………………………..……….….75
5.1.4.3. Lugar en la Organización………………………..………......76
5.1.4.4. Relación con otros Equipos……………………..…………..76
5.1.5. Comunicar la Visión y Plan Operativo del CSIRT………..…………76
5.1.6. Comenzar la Implementación del CSIRT……………..………….....76
5.1.7. Anunciar que el CSIRT está en Funcionamiento….…………….....77
5.1.8. Evaluar la Efectividad del CSIRT…………………..…………..........78
5.2. Estructura del Documento RFC 2350……………………………..…….79
6. CREACION DEL CSIRT -UTPL …………………………………….………………....85
CREACION DEL CSIRT - UTPL
11
6.1.Propuesta………………………...………………………………………............85
6.2. Plan Estratégico…………………………………….………..……………….85
6.3. Información de la UTPL……………………………..…..…..……………....87
6.4. Situación Actual de la UTPL……………….……………....……………….88
6.5. Vision del CSIRT-UTPL………………………………….…………………..93
6.5.1. Misión CSIRT – UTPL………………………………….…….…………..93
6.5.2. Comunidad a la que el CSIRT va a Brindar Servicio……………....94
6.5.3. Lugar que ocupar el CSIRT en la UTPL…………….………………...94
6.5.4. Relación del CSIRT-UTPL con otros equipos...…….……………..94
6.6. Comunicar la Vision y Plan Operativo del CSIRT……………………….99
6.7. Implementacion del Equipo CSIRT – UTPL………..……...……………..99
6.7.1. Personal Requerido para el CSIRT – UTPL………...…………...…99
6.7.2. Equipos e Infraestructura…………………………………………….100
6.7.3. Servicios a Brindar…………………………………………………….101
6.7.3.1. Servicios Reactivos………………………………………….101
6.7.3.2. Servicios Proactivos…………………………………………102
6.7.3.3. Servicios de Gestión y Calidad de la Seguridad………102
6.7.4. Políticas y Procedimientos……………………………………………103
6.7.5. Formularios……………………………………………………………..104
6.7.6. Financiamiento y Presupuesto……………………………………….104
CONCLUSIONES………………………………………………………………………….110
RECOMENDACIONEs……………………………………………………………………113
ANEXOs…………………..………………………………………………….…...………..115
BIBLIOGRAFÍA…………….……………………………………………….….................167
REFERENCIAS…………….…………………………………………………….……....169
Plan Piloto para la Implementación del CSIRT-UTPL
CREACION DEL CSIRT - UTPL
12
Políticas del CSIRT-UTPL
INTRODUCCION
CREACION DEL CSIRT - UTPL
13
Constantemente a nivel mundial se presentan importantes avances científicos y
tecnológicos en las diferentes áreas de conocimiento, una de ellas son los continuos
avances en el tema de la Internet que si bien es cierto facilita la comunicación y envío
de recursos a través de grandes distancias, también algunas personas hacen uso de
esta para realizar otras actividades como ataques de spam, fraudes, etc., que ponen
en peligro la información que se maneja en diferentes organizaciones a nivel mundial.
Para algunas organizaciones el tema de seguridad de la información es indiferente, ya
que nunca han sido víctimas de ataques no consideran necesario realizar gastos
innecesarios en lo que concierna a seguridad de la información, sin embargo para
una gran mayoría de organizaciones a nivel mundial, la información que manejan es
considerada como parte de sus activos, y para esto han implementado algunas
estrategias de seguridad propuestas por organizaciones que trabajan constantemente
en la búsqueda de soluciones y estrategias que permitan mejorar la seguridad de la
información crítica que manejan, una de las estrategias que actualmente está siendo
muy utilizada es la creación de Equipos de Respuesta a Incidentes de Seguridad
(CSIRT), equipos que han sido implementados a nivel mundial y que han dado
grandes resultados, en lo que se refiere a la detección y respuesta de incidentes,
estos equipos se han convertido en una parte muy importante de las organizaciones
ya que se encargan de buscar las mejores estrategias para garantizar la protección de
la información y sobre todo de realizar actividades proactivas y reactivas para el
manejo de incidentes.
En la presente investigación se dan a conocer diferentes aspectos de un CSIRT, tales
como la definición, servicios que brinda, los modelos organizacionales que se aplican
y los pasos que se deben seguir para la implementación de un CSIRT.
De acuerdo a las características de la Universidad se elegirá el modelo organizacional
y los diferentes servicios que el CSIRT-UTPL brindará a la comunidad, la
implementación de un equipo de esta naturaleza permitirá realizar actividades
conjuntas con el equipo NOC/SOC que funciona actualmente en la Universidad y de
esta manera realizar exitosamente actividades de investigación y resolución de
incidentes.
OBJETIVOS
CREACION DEL CSIRT - UTPL
14
GENERAL
Definir el esquema y funcionamiento de un CSIRT, que permita operar un
Equipo de Respuesta de Incidentes Formales en la Universidad Técnica
Particular de Loja.
ESPECÍFICOS
Estudiar los diferentes tipos, funciones, estructura y la forma en la que están
constituidos los Equipos de Respuesta a Incidentes de Seguridad.
Estudiar los Equipos CSIRT a nivel mundial.
Definir los requerimientos de la UTPL para la creación de un CSIRT.
Elaborar políticas y procesos para el funcionamiento del CSIRT-UTPL
CREACION DEL CSIRT - UTPL
15
DESCRIPCIÓN DEL PROBLEMA
La Universidad Técnica Particular de Loja actualmente brinda una gran cantidad de
servicios tanto a estudiantes como público en general, la mayor parte de estos
servicios se realizan haciendo uso de diferentes medios, uno de ellos la Internet, a
través del cual autoridades, personal administrativo, profesores y alumnos realizan
varios trámites y operaciones muchos de los cuáles son de gran importancia para el
continuo funcionamiento y crecimiento de la Universidad, el constante avance de la
Internet a su vez que permite la facilidad de comunicación también abre puertas que
permiten que la información que se genera en la UTPL sea puesta en peligro debido al
mal manejo de recursos tanto por personal interno como externo y también por
actividades externas como ataques de hackers.
De acuerdo a la problemática actual de la universidad existen grupos que se encargan
de atender los diferentes incidentes los mismos que son atendidos cuando alguien los
reporta, pero no se llevan registros estadísticos de los incidentes atendidos, existen
políticas que deben ser conocidas y aplicadas en cada grupo, pero estas no son
aplicadas por los usuarios, no se tiene un área formal en la que se pueda realizar el
reporte de incidentes ni que se encarguen de realizar el seguimiento de los mismos.
Es importante que exista un grupo que se encargue de realizar actividades no
solamente de atención a incidentes cuando estos ocurren sino que realicen
actividades proactivas y de investigación, es decir un grupo que siempre esté atento a
los diferentes reportes de incidentes que son emitidos por otros Equipos CSIRTs a
nivel mundial para no solamente esperar cuando suceda un incidente de grandes
consecuencias, sino estar preparados para mitigar los posibles daños que un incidente
pueda causar y sobre todo trabajar en proyectos que contribuyan a mejorar la
seguridad de los sistemas e información que se maneja en la UTPL .
Ante esta situación se sugiere la creación de un Equipo de Respuesta a Incidentes de
Seguridad para la Universidad Técnica Particular de Loja (CSIRT-UTPL) que esté en
capacidad de:
Brindar servicios reactivos y proactivos en la atención de Incidentes de
Seguridad.
Trabajar en temas de investigación que contribuyan a mejorar la seguridad de
los sistemas de la UTPL.
CREACION DEL CSIRT - UTPL
16
Concientizar al personal de la UTPL sobre la importancia de conocer y utilizar
las políticas establecidas en la Universidad.
Brindar asesoría para la creación de Equipos CSIRT a nivel nacional
CREACION DEL CSIRT - UTPL
17
CREACION DEL CSIRT - UTPL
18
1. EQUIPO DE RESPUESTA A EMERGENCIAS INFORMÁTICAS CERT –
(Computer Emergency Response Team)
OBJETIVO
Conocer el inicio de los Equipos de Respuesta a incidentes, servicios que
brindan, personal que forma parte del equipo y beneficio que brinda el
implementar un CERT en una organización.
1.1. ANTECEDENTES
El 22 de noviembre de 1988, fue lanzado el primer virus informático [1] conocido como
“Gusano de Internet” (WORM) fue creado por Robert Morris, el programa en mención
fue lanzado desde un ordenador, su funcionamiento consistía en generar copias de sí
mismo y auto enviarse a otros ordenadores, este incidente afectó a muchos
computadores incluidos equipos de la Nasa, el Gobierno y Fuerza Aérea, destruyendo
importante información y ocasionando millonarias pérdidas.
A raíz de este acontecimiento la Agencia DARPA (Defense Advanced Research
Projects Agency) anunció la creación de un Equipo de Respuesta a Emergencias
Informáticas (CERT), conformado por un grupo de expertos encargados de enfrentar
emergencias de seguridad y trabajar en la prevención de futuros incidentes, además
de convertirse en un grupo que también brindaría asesoramiento en la formación de
equipos similares a nivel mundial.
En la actualidad el Centro de Coordinación CERT (CERT/CC) [2], se encuentra
ubicado en el Instituto de Ingeniería de Software (SEI-Software Engineering Institute)
de la Universidad de Carnegie Mellon en Pittsburg, Pensilvania. Las investigaciones
que se realizan en el CC/CERT son financiadas por el Gobierno Federal y el Centro de
Desarrollo (FFRDE) operado por la universidad.
CC/CERT es una marca que está registrada en los EEUU en la oficina de patentes y
marcas de la Universidad de Carnegie Mellon, es por eso que en algunos países y
para el desarrollo del presente proyecto utilizaremos el término CSIRT para referirnos
a los Equipos de Respuesta a Incidentes de Seguridad Informática.
CREACION DEL CSIRT - UTPL
19
1.2. DEFINICIÓN
Un CERT (Computer Emergency Response Team) es un Equipo de Respuesta a
Emergencias Informáticas. Está conformado por un grupo de personas que son
responsables de identificar y brindar soluciones a las diferentes amenazas1 y
vulnerabilidades2 que se presentan en los sistemas de información de una
organización, se encargan de reforzar y proteger la seguridad, brindan respuestas y
elaboran planes y estrategias para responder ante cualquier incidente3, vulnerabilidad
o ataque de terceros.
Los objetivos principales de un CSIRT son:
Minimizar los daños ante cualquier ataque o amenaza.
Proveer asistencia rápida y efectiva.
Ayudar a la prevención de futuros incidentes.
En un CSIRT se realizan varias funciones, entre ellas:
Supervisar los sistemas para evitar infracciones de seguridad.
Documentar los incidentes de seguridad.
Ofrecer servicios de consultoría de seguridad.
Sensibilizar a la organización en temas de seguridad a través de cursos y
manuales con las mejores prácticas.
Los servicios que brinda un CSIRT se clasifican en: reactivos, proactivos y servicios
de calidad. Los servicios agrupados dentro de cada una de las categorías son varios y
serán analizados más adelante, se debe recalcar que no importa si son pocos los
servicios que se ofrecen lo importante es brindarlos de la mejor manera.
A nivel mundial los CERT son conocidos con diferentes acrónimos tales como:
CSIRT : Equipo de Respuesta a Incidentes de Seguridad informática
1 Amenazas: Causa potencial de un incidente no-deseado, el cual puede resultar en daño a un
sistema u organización.
2 Vulnerabilidad: Es una debilidad en los procedimientos de seguridad, que puede ser
explotada accidental o intencionalmente, esto conlleva a la violación de las políticas de
seguridad, puede ser falta de mantenimiento, desactualización de los sistemas críticos.
3 Incidentes: Eventos que atentan contra la confidencialidad, disponibilidad y la integridad de la
información.
CREACION DEL CSIRT - UTPL
20
CIRC : Capacidad de Respuesta a Incidentes Informáticos
CIRT : Equipo de Respuesta a Incidentes Informáticos
IRC : Centro de Respuesta a Incidentes o Capacidad de Respuesta a
Incidentes
IRT : Equipo de Respuesta a Incidentes
SIRT : Equipo de Respuesta a Incidentes de Seguridad
1.3. SERVICIOS DE UN CSIRT
Los servicios que ofrece un CSIRT son establecidos de acuerdo a la misión y tipo de
organización que lo va a implementar, para que un equipo sea considerado como un
CSIRT debe brindar principalmente servicios de manejo de incidentes.
De acuerdo a [3] los servicios que brinda un CSIRT están agrupados en tres
categorías:
Servicios Reactivos
Servicios Proactivos
Servicios de Gestión de Calidad de la Seguridad
El detalle de cada categoría se detalla en la siguiente tabla:
Tabla 1: Servicios que Brinda un CSIRT
Servicios Reactivos Servicios Proactivos Servicios de Gestión de
Calidad de la Seguridad
Alertas y Advertencias
Manejo de Incidentes
o Análisis de
incidentes
o Respuesta al
incidente en el
lugar.
o Soporte de
Respuesta a
Anuncios
Observación de la
tecnología
Auditorías y
evaluaciones de
Seguridad.
Configuración y
Mantenimiento de
las Herramientas,
Aplicaciones,
Análisis de riesgo
Planificación de
continuidad del negocio y
recuperación de desastres.
Consultoría de Seguridad.
Concientización.
Educación / Capacitación.
Evaluación y/o certificación
de productos.
CREACION DEL CSIRT - UTPL
21
1.3.1. SERVICIOS REACTIVOS
Los servicios reactivos consisten en brindar respuesta, a cualquier solicitud de
asistencia y cualquier amenaza o ataque que hayan ocurrido en los sistemas, los
mismos pueden ser ocasionados por terceras personas o de manera accidental por el
personal de la organización, los servicios reactivos son las estrategias posteriores al
ataque.
4 Artifact: Código Malicioso encontrado en un sistema, pueden incluir virus a computadoras,
troyanos, gusanos, y herramientas de software o hardware.
incidentes.
o Coordinación de
Respuesta a
incidentes.
Manejo de
Vulnerabilidades
o Análisis de
vulnerabilidades
o Respuesta a
vulnerabilidades
o Coordinación de
Respuestas a
Vulnerabilidades.
Manejo de Artifacts
o Análisis de Artifacts
o Respuesta a
Artifacts
o Coordinación de la
respuesta a
Artifacts4
Infraestructuras y
Servicios de
Seguridad.
Desarrollo de
Herramientas de
Seguridad.
Servicios de
Detección de
Intrusión
Divulgación de
Información
CREACION DEL CSIRT - UTPL
22
Los servicios reactivos comprenden:
1.3.1.1. Alertas y Advertencias
Comprende el recibir y entregar información que describe reportes de nuevas
vulnerabilidades, alertas de intrusión, código malicioso y ataques de intrusos, estos
ataques pueden ser virus, gusanos, troyanos, robo de contraseñas por citar algunos.
Estos reportes también incluyen las acciones que se recomiendan para la resolución
de problemas en el menor tiempo posible.
Esta información puede ser generada por el propio CSIRT o puede ser recibida por
parte de organizaciones, o personas particulares. Existen algunas fuentes en donde
se puede encontrar información sobre vulnerabilidades, puede ser en internet, a través
de sitios públicos que brindan información sobre vulnerabilidades como el CERT/CC, y
otros equipos a nivel mundial.
1.3.1.2. Manejo de Incidentes
Comprende el análisis, clasificación y respuesta a todos los informes recibidos sobre
incidentes y vulnerabilidades.
Las actividades que incluyen al manejo de incidentes son:
Proteger los sistemas y redes afectados por acciones de intrusos.
Brindar soluciones y estrategias de mitigación a partir de alertas o
advertencias.
Filtrar el tráfico de la red.
Desarrollar estrategias de respuesta o workaround5.
El manejo de incidentes se clasifica en:
1.3.1.2.1. Análisis de Incidentes.
Consiste en la evaluación de toda la información que se ha recolectado acerca de un
incidente, con esta información se realiza una evaluación de los daños que el
incidente ha causado para comenzar a restaurarlos y determinar estrategias de
respuesta para mitigar en el menor tiempo posible los efectos de este ataque.
5 workaround: solución temporal a un problema en un sistema.
CREACION DEL CSIRT - UTPL
23
Dependiendo de los objetivos y la misión de un CSIRT existen otros procesos que se
pueden utilizar como complemento del análisis de incidentes:
Recolección de Evidencia Forense.
Consiste en la recolección de la documentación existente y realizar un análisis
de todas las pruebas de un sistema informático, esto se realiza con la finalidad
de determinar cambios en el sistema para reconstruir los eventos que han
ocurrido.
Estas pruebas incluyen, realizar una copia bit a bit del disco duro de los
sistemas afectados, la búsqueda de cambios en el sistema, como la instalación
de nuevos programas, archivos, etc.
Seguimiento o Rastreo
Consiste en realizar una revisión minuciosa de los sistemas afectados, realizar
un seguimiento para saber la hora en que el intruso tuvo acceso al sistema,
cómo ingreso al sistema, que redes utilizó para lograr el acceso, etc.
1.3.1.2.2. Respuesta a Incidentes en el Lugar
Consiste en proveer asistencia directa, no sólo a través de contacto telefónico, sino
que se traslada al lugar en donde se encuentran los destinatarios para brindarles
ayuda necesaria para que se recuperen de un incidente, algunas actividades que se
realizan son: revisar y analizar físicamente los sistemas afectados para llegar a la
reparación y recuperación de los sistemas.
1.3.1.2.3. Soporte a la Respuesta a Incidentes
Proporcionan ayuda a los equipos que han sufrido algún ataque ya sea enviando
documentación, realizando contactos telefónicos etc., a diferencia de la respuesta a
incidentes en el lugar estos no se trasladan hacia los clientes, sino recogen los datos y
realizan la interpretación de los mismos y orientan en cuanto a que estrategias tomar
para mitigar los riesgos.
1.3.1.2.4. Coordinación de la Respuesta a Incidentes
El CSIRT coordina las tareas de respuesta entre las partes involucradas en el
incidente, estas incluyen a la víctima del ataque, los sitios relacionados con el ataque,
incluye también a las partes que proporcionan apoyo de tecnologías de la víctima,
CREACION DEL CSIRT - UTPL
24
estos pueden ser proveedores de servicios de internet, otros CSIRTs, administradores
de sistemas y de redes.
El trabajo de coordinación consiste en reunir información del contacto, reunir
estadísticas acerca de la cantidad de sitios involucrados, y coordinar con otros CSIRT
con la finalidad de intercambiar información.
Dada la importancia de entender la gestión de incidentes, más adelante se dedicará
un capítulo a su estudio más detallado.
1.3.1.3. Manejo de Vulnerabilidades.
Involucra la recepción de información y reportes acerca de las vulnerabilidades de
software y hardware, se realiza un análisis de las causas y efectos de las
vulnerabilidades en los sistemas y se desarrolla estrategias para reparar las mismas.
El manejo de Vulnerabilidades comprende las siguientes etapas:
1.3.1.3.1. Análisis de las Vulnerabilidades
Consiste en buscar en donde se encuentran las vulnerabilidades y como pueden ser
explotadas, para esto se realizan exámenes técnicos tanto al hardware como al
software para determinar en donde están ubicadas las vulnerabilidades y cómo
pueden ser explotadas para disminuir las probabilidades de un nuevo ataque y el
funcionamiento de este.
El análisis puede incluir la revisión del código fuente, pueden usarse sistemas de
prueba para realizar simulaciones y evaluar los puntos en donde hay vulnerabilidades
para ajustar la seguridad en esos puntos.
1.3.1.3.2. Respuesta a las Vulnerabilidades
Consiste en determinar una respuesta apropiada para mitigar o reparar una
vulnerabilidad, esto implica que los miembros del equipo deben estar en constante
investigación y desarrollo de correcciones y soluciones provisionales como parches,
etc., también debe informar a los demás equipos las estrategias de mitigación
encontradas mediante avisos o alertas.
1.3.1.3.3. Coordinación de Respuesta a Vulnerabilidades.
El CSIRT notifica a la organización la vulnerabilidad encontrada y comparte toda la
información posible acerca de cómo reparar o mitigar la vulnerabilidad, la coordinación
CREACION DEL CSIRT - UTPL
25
de respuestas a vulnerabilidades incluye también comunicación con otros CSIRTs y
compartir información de estrategias de respuesta para solucionar vulnerabilidades.
1.3.1.4. Manejo de Artifact
El manejo de código malicioso incluye el recibir información y copias acerca de los
artifacts que se usan en los ataques de intrusos.
Una vez recibido el Artifact se procede a revisar y analizar su naturaleza y su
funcionamiento, posteriormente se desarrollan estrategias de respuesta para detectar,
remover y tomar medidas contra estos.
El manejo de Artifact se clasifican en:
1.3.1.4.1. Análisis de Artifact
Se realiza un examen técnico para identificar cualquier tipo de código malicioso, si se
encuentra alguno se compara con otros artefactos ya conocidos con la finalidad de
determinar las funciones que realiza.
1.3.1.4.2. Respuesta a Artifact
Implica el determinar acciones apropiadas para remover todo tipo de código malicioso
en un sistema, tomar acciones de prevención, esto puede implicar la creación de
firmas que pueden ser agregadas a un software antivirus.
1.3.1.4.3. Coordinación de Respuesta a Artifact
Este servicio comparte los resultados del análisis y las estrategias de respuesta que
pertenecen a una instancia, con otros CSIRTs, y expertos en seguridad.
1.3.2. SERVICIOS PROACTIVOS
Los servicios proactivos están diseñados para mejorar los procedimientos de
seguridad en la organización, los principales objetivos son evitar incidentes y reducir
su impacto cuando se produzcan.
Los servicios proactivos comprenden:
1.3.2.1. Anuncios
Incluyen alertas de intrusión, advertencia de vulnerabilidades, recomendaciones de
seguridad, entre otros. Permiten informar a otros grupos sobre las nuevas
CREACION DEL CSIRT - UTPL
26
vulnerabilidades, ataques y herramientas de intrusión que se han detectado,
facilitando que la comunidad esté alerta y tome medidas para proteger sus sistemas
de los problemas encontrados.
1.3.2.2. Observatorio de Tecnología
El CSIRT está siempre investigando los últimos avances en lo que se refiere a nuevas
formas de ataque, el cómo prevenirlas y evitarlas en un futuro, se mantienen en
contacto con otros CSIRTs que tienen experiencia para resolver incidentes, utilizan
también otro tipo de información como listas de correo, sitios web de seguridad y
artículos actuales en el campo de la tecnología.
1.3.2.3. Evaluaciones o Auditorías de la Seguridad
Esta tarea consiste en el conjunto de acciones que realiza el personal en áreas que
corresponden a la auditoría, con la finalidad de asegurar que todos los recursos
operen en un ambiente de seguridad y control eficiente, para evitar ataques y
vulnerabilidades a los sistemas de seguridad de la organización. Todas las
evaluaciones que se realizan son a nivel de seguridad lógica y física, deben establecer
políticas de seguridad, estrategias de continuidad, realizar pruebas a los sistemas
para ver que sistemas pueden ser más vulnerables.
1.3.2.4. Configuración y Mantenimiento de las Herramientas,
Aplicaciones, Infraestructuras y Servicios de Seguridad.
Consiste en realizar una guía de cómo configurar y mantener en forma segura las
herramientas, y aplicaciones que se usan en el CSIRT.
El CSIRT puede realizar configuraciones y mantenimiento de todos los equipos y
herramientas de seguridad, tanto de clientes externos como de la organización
tomando en cuenta todas las normas de seguridad.
1.3.2.5. Desarrollo de Herramientas de Seguridad
Esta actividad comprende el desarrollo de herramientas software. Estas pueden ser el
desarrollo de parches o de distribuciones seguras que puedan ser utilizados para
soluciones a problemas, estas herramientas son desarrolladas a medida que el CSIRT
las requiera.
1.3.2.6. Servicios de Detección de Intrusiones
CREACION DEL CSIRT - UTPL
27
Consiste en revisar los archivos de log de los sistemas de detección de intrusos, para
detectar alarmas o intentos de ataques a la red, y proceder a aplicar estrategias para
eliminarlos y minimizarlos, en algunos casos se requiere de herramientas o
conocimientos especializados para analizar e interpretar la información y así identificar
alarmas y posibles ataques a la red, luego del análisis se posteriormente se procede a
aplicar estrategias de respuesta adecuadas para minimizar posibles riesgos.
1.3.2.7. Difusión de Información Relacionada con la Seguridad.
La difusión de la información proporciona toda la información útil para mejorar la
seguridad, esta información es publicada por el CSIRT y puede incluir:
o Comunicados de alertas y vulnerabilidades
o Reportes de las mejores prácticas
o Asesoramiento sobre seguridad informática
o Desarrollo de actualizaciones correctivas
o Estadísticas actuales de los reportes de incidentes
La información a publicar puede incluir además reportes provenientes de fuentes
externas como otros CSIRTs o expertos en seguridad.
1.3.3. SERVICIOS DE ADMINISTRACION DE CALIDAD DE LA SEGURIDAD
Son servicios diseñados para mejorar la seguridad de la organización, realizando
evaluaciones de las experiencias obtenidas de la puesta en marcha de servicios
reactivos y proactivos.
1.3.3.1. Análisis de Riesgo
Comprende la capacidad de la organización de evaluar y analizar todas las amenazas
y riesgos que se presentan, la habilidad de la organización para asegurarse contra
amenazas reales.
Los equipos que prestan estos servicios ayudan a desarrollar actividades de análisis
de riesgo de la seguridad de la información de nuevos sistemas o evaluar amenazas
contra los sistemas de la comunidad atendida.
1.3.3.2. Planificación de la Continuidad del Negocio y Recuperación de
Desastres.
CREACION DEL CSIRT - UTPL
28
Se deben desarrollar planes de contingencia para determinar cómo conviene
responder a una emergencia, y así asegurar la continuidad de las operaciones, los
CSIRTs planifican como responder a incidentes y amenazas a la seguridad
informática.
1.3.3.3. Consultoría de Seguridad
Los miembros del equipo CSIRT se encargan de brindar asesoramiento a los
miembros de la organización o comunidad a la que van dirigidos los servicios de un
CSIRT en el campo de la seguridad de la información, la elaboración de políticas y
mejores prácticas de seguridad, asesoramiento en la instalación de aplicaciones, etc.
1.3.3.4. Concientización
Consiste en prestar servicios de orientación en cuanto al manejo de las políticas que
se deben seguir en una organización, esto es muy importante porque al lograr que el
personal que entienda la importancia del uso de políticas se va a lograr que todas los
procedimientos que ellos realicen sean seguros, se minimicen pérdidas y puedan
reportar de algún ataque, otra manera de concientizar es mediante la publicación de
artículos, boletines u otros recursos informativos que aconsejen sobre las
precauciones que conviene seguir, y así mantenerse informados sobre las nuevas
amenazas.
1.3.3.5. Educación / Capacitación
Realización de talleres, cursos y seminarios para proveer información acerca de las
actividades principales en el campo de la seguridad de la información, y todas las
herramientas que se pueden usar para responder ante un incidente.
1.3.3.6. Evaluación o Certificación de Productos.
Se pueden realizar evaluaciones de herramientas y otros servicios destinados a
garantizar la seguridad, el cumplimiento de las políticas y de los requerimientos del
CSIRT.
1.4. TIPOS DE EQUIPOS DE RESPUESTA A INCIDENTES (CSIRTs)
Los CSIRTs que existen en las diferentes organizaciones no están estructurados de la
misma manera, cada CSIRT es diferente de otro en aspectos como:
Misión y objetivos del equipo
CREACION DEL CSIRT - UTPL
29
Comunidad a la que brinda servicios
Los servicios que brinda a la organización
Los diferentes sectores en los que se ha implementado equipos CSIRT son:
1.4.1. CSIRT del Sector Académico
Prestan servicios a centros educativos, el grupo de clientes atendidos está
conformado por estudiantes y personal de universidades, colegios, etc., un ejemplo
de este tipo de CSIRT es el equipo de respuesta a incidentes de la Universidad de
México (UNAM-CERT), el Centro de Atención de Incidentes de Brasil (CAIS/RPN),
entre otros.
1.4.2. CSIRT del Sector Comercial
Como su nombre lo indica prestan servicios comerciales, a clientes profesionales que
pagan por este tipo de servicios, un ejemplo de este tipo de CSIRT es IBM-ERS que
es un equipo contratista comercial de servicios, provee servicios de respuesta de
incidentes, detección de intrusos, probando mensual y semanalmente
vulnerabilidades.
1.4.3. CSIRT del Sector Público
Brindan servicios a instituciones públicas en cualquier ciudad y país, se consideran
también puntos de apoyo de CSIRT nacionales, un ejemplo es el equipo de respuesta
a incidentes de Argentina (ArCERT) que brinda sus servicios al sector de la
administración pública, CCN-CERT que brinda servicios a la administración pública
de España, entre otros.
1.4.4. CSIRT del Sector Interno
Este tipo de CSIRT brinda servicios a organizaciones a las que pertenecen, por
ejemplo bancos, organizaciones de telecomunicaciones, generalmente no mantienen
sitios web públicos, solamente se puede mantener contacto con ellos por correo
electrónico, algunos ejemplos de organizaciones que poseen este tipo de CSIRT son:
ORACERT (Oracle global Secutiry Team): Este equipo brinda servicios
solamente a los clientes de ORACLE que se encuentran incluidos en sus
bases de datos.
CREACION DEL CSIRT - UTPL
30
MCERT (Motorola Cyber Emergency Response Team): Equipo que trabaja
solamente con el personal interno de Motorola y los equipos que desarrollan
sus productos, las actividades principales de este equipo son el brindad apoyo
a la infraestructura tecnológica de Motorola.
NABITSAR (National Australian Bank – IT Security Assessments and
Response): Grupo que pertenece al Banco Nacional de Australia, brinda
soporte y respuesta a todos sus stakeholders6.
NOKIA-NIRT (Nokia Incident Response Team): Brinda servicios al sector
industrial de NOKIA en países como Australia, China, Dinamarca.
1.4.5. CSIRT del sector Militar
Prestan servicios a instituciones militares, con fines de defensa, algunos de estos
equipos son el ACERT/CC (Army Computer Emergency Response Team Coordination
Center), NAVCISRT (Navy Computer incident Response Team).
1.4.6. CSIRT del sector Nacional
Los CSIRT nacionales, son los equipos que se convierten en puntos de contacto para
todo un país, entre sus actividades están el reducir el número de incidentes de
seguridad dirigidos a los sistemas de un país, proporcionan apoyo técnico para
detectar y prevenir vulnerabilidades, un ejemplo de este tipo de CSIRT son el SING-
CERT (Equipo de respuesta a incidentes de Singapur), el Centro de Coordinación del
CERT de Japón (JPCERT/CC), CCIRC (Canadian Cyber Incident Response Centre),
1.4.7. CSIRT del sector de la pequeña y mediana empresa.
Este tipo de equipos brindan servicios a pequeñas organizaciones, a grupos de
usuarios que poseen características similares como lo es el sector de la pequeña
empresa, un ejemplo de este tipo de CSIRT es el Centro Nacional de Respuesta a
Incidentes de Seguridad en Tecnologías de la Información para PYMES de INTECO
1.4.8. CSIRT de Coordinación
El trabajo de los CSIRTs de coordinación es el conocer las amenazas a la seguridad,
de la información a través de la coordinación con otros CSIRTs, proporcionan apoyo
6 Stakeholders: Es el público interesado, es decir cualquier persona o entidad que es afectada
por las actividades de una organización, estas personas pueden ser: accionistas, clientes, etc.
CREACION DEL CSIRT - UTPL
31
técnico a otros CSIRTs a través de actividades de manejo de incidentes, envían
información detallada sobre cómo prevenir y recuperarse de ataques. Un ejemplo de
este tipo de CSIRT es el CERT /CC.
1.5. PERSONAL QUE CONFORMA UN CSIRT
Dependiendo del tipo de CSIRT, estructura organizacional, misión, servicios y
comunidad a la que brinda servicios, el personal que formará parte del equipo debe
poseer algunas características, tanto personales como técnicas que permitan
responder adecuadamente a los incidentes.
Habilidades Personales
Técnicas de comunicación
Relaciones humanas.
Espíritu de Equipo.
Innovadores, analíticos e íntegros, son un equipo que trabaja dando
soluciones a problemas.
Capaces de tomar decisiones rápidas ante ataques y situaciones de
emergencias de manera que nada quede sin dar respuesta.
Capacidad de seguir políticas y procedimientos.
Habilidades técnicas.
Conocimientos de seguridad de la información.
Conocimiento de los sistemas operativos que utilizan en la organización.
Realizar la supervisión constante de los sistemas para evitar y localizar
infracciones en las seguridades.
Las labores que se realizan deberán servir para enviar informes de los
incidentes encontrados, con la finalidad de informar acerca de ese
incidente a los demás CSIRTs.
Conocimiento de aplicaciones y protocolos de internet.
Realizar auditorías a los sistemas tanto a nivel de software y hardware.
Brindar servicios de capacitación.
Adicionalmente de las características mencionadas, un equipo CSIRT está
conformado por diferentes áreas que deben ser cubiertas ya sea por personal de la
organización o personal nuevo. Si se trabaja con personal de la organización se deben
CREACION DEL CSIRT - UTPL
32
establecer horarios para que pueda realizar tanto las actividades del CSIRT y las
actividades del departamento en el que trabajan.
Algunos documentos [4] en cuanto a la elección del personal sugieren pero no se
limitan a:
Líder de equipo
Personal de hotline, HelpDesk, o clasificación de incidentes.
Equipo de Respuesta a incidentes y vulnerabilidades
Administradores de Redes
Desarrollador Web
Especialista en plataformas
Miembros Asociados al CSIRT.
Líder de Equipo.- Se encarga de coordinar las actividades y tareas del CSIRT, es
responsable de revisar todos los avances que realice el equipo, encargado de
representar al equipo ante otros CSIRTs o directivos de la organización, se
encarga de la asignación de tareas y de entrevistar a los nuevos miembros del
equipo.
Personal de hotline, HelpDesk o clasificación de incidentes.- Personal
encargado de atender las llamadas telefónicas que lleguen al CSIRT en las que se
reporten incidentes de seguridad, brindan asistencia inicial de acuerdo al tipo de
incidente que se reporte. La clasificación debe ser realizada de acuerdo a las
prioridades que se han establecido en el equipo.
Equipos de Repuesta a Incidentes y Vulnerabilidades.- El equipo de respuesta
tiene la responsabilidad del control y la respuesta de incidentes, vulnerabilidades
encontradas, de manera que al momento de ocurrir alguna amenaza o incidente el
equipo está preparado para controlarlos.
Otras funciones que cumple el personal encargado de la respuesta a incidentes
son:
Coordinar actividades que sean necesarias para llegar a la comunidad
objetivo, ya sea mediante la emisión de boletines, desarrollando manuales
que contengan buenas prácticas de seguridad, etc.
Difunden información sobre vulnerabilidades, amenazas y todo lo que se
relacione con incidentes.
CREACION DEL CSIRT - UTPL
33
Desarrolla manuales de capacitación para los miembros del equipo CSIRT.
Supervisar los sistemas de detección de intrusos
Realizar pruebas de penetración.
Analizar y realizar seguimientos de las vulnerabilidades y códigos
maliciosos encontrados.
Mantenerse en constante investigación en cuanto a temas de desarrollo de
soluciones o parches que ayuden a la solución de vulnerabilidades.
Difundir información sobre las vulnerabilidades encontradas, informar sobre
las soluciones, parches y demás recursos utilizados para su solución.
Administradores de Redes.- Profesionales que se encargan de todos los
aspectos que se relacionan con el área de redes, son encargados de mantener
la infraestructura de red del CSIRT, a través de servidores seguros, correo
electrónico seguro y cualquier requerimiento exigido por el CSIRT.
Desarrolladores Web.- Personas encargadas del mantener y crear el sitio
web del CSIRT, actualizar la aplicación con contenidos referentes al CSIRT.
Especialistas de Plataformas.- Son encargados de aportar conocimientos
específicos y apoyo en las diferentes plataformas, ayudan en el análisis,
respuestas y aporte de nuevos conocimientos en sistemas operativos como
Linux, Windows, Solaris, etc.,
Miembros Asociados al CSIRT.- A más de los profesionales que son parte
del equipo de respuesta a incidentes, los miembros asociados son
profesionales que se encargan de brindar soporte en áreas diferentes, los
miembros asociados pertenecen a otras áreas de la organización algunos
miembros asociados son:
Departamento Legal.- Equipo encargado de brindar el soporte legal al
momento de establecer políticas y planes de seguridad, brindar el
asesoramiento de que pasos seguir si se alguien viola estas políticas, se
encargan también de la revisión y elaboración de los acuerdos de no
revelación de la información.
Relaciones Públicas.- Este departamento se encarga de promocionar al
equipo, de realizar comunicaciones, solicitudes de información.
CREACION DEL CSIRT - UTPL
34
Representantes de Recursos Humanos.- Son encargados de desarrollar
la descripción de los perfiles para contratar el personal del CSIRT, de
desarrollar las políticas y procedimientos en el caso de remover a los
empleados internos que se encuentren comprometidos en una actividad
informática no autorizada o ilegal.
Una vez que se ha definido el personal que va a formar parte del CSIRT, se debe
definir la estructura organizativa del equipo. De acuerdo al manual publicado por
Enisa7 [5], algunos de los modelos son:
Modelo de Estructura Independiente.
Modelo Incrustado
Modelo Universitario
Modelo Voluntario
Modelo de Estructura Independiente
Figura.1: Modelo de Empresa Independiente
Este modelo es utilizado cuando el equipo es independiente de la organización,
está conformado por su propio personal.
De acuerdo al organigrama, este equipo está conformado por:
General Manager: Director General del Equipo
Technical Manager: Jefe de Equipo Técnico, técnicos del CSIRT e
investigadores.
Office Manager: director de la Oficina
Accountant: personal Contable
Legal Consultant: Asesor Jurídico
Communication Consultant: Consultores Externos
7 Agencia Europea de Seguridad de las Redes y de la Información
CREACION DEL CSIRT - UTPL
35
Modelo Incrustado
Figura 2: Modelo Organizativo Incrustado
Este modelo se utiliza si se va a implementar un CSIRT en una organización que
ya tiene un departamento de seguridad.
En este tipo de estructura el CSIRT está dirigido por un Jefe de Equipo que es
responsable de todas las actividades. Cuando se presentan incidentes el Jefe de
Equipo reúne a todos los técnicos necesarios para dar solución a los incidentes, de
ser necesario puede solicitar asistencia a los demás equipos de la organización.
Modelo universitario:
Este modelo es adoptado por los CSIRTs académicos y de investigación, la mayor
parte de las organizaciones académicas están formadas por diversas
universidades y campus con diferentes ubicaciones y que se extienden a lo largo
de todo un país, la mayoría de organizaciones son independientes entre sí y
poseen su propio CSIRT.
Estos CSIRTs se organizan en torno a un CSIRT central que los coordina y es el
único punto de contacto con otros equipos. El CSIRT central se encarga de
distribuir información sobre incidentes con otros CSIRTs.
A continuación se presenta un modelo de CSIRT Universitario.
CREACION DEL CSIRT - UTPL
36
Figura 3: Modelo Universitario
Modelo Voluntario:
Consiste en un grupo de personas que se reúnen para compartir información y
ayudarse mutuamente, actúan de forma espontánea y depende de la motivación
de los participantes.
DISCUSIÓN
Los equipos de respuesta a incidentes de seguridad informática (CSIRT) surgen a
finales de los años 80 con la finalidad de mitigar y brindar soluciones oportunas a los
diferentes tipos de incidentes y vulnerabilidades que se presentan en los sistemas de
información, actualmente la implementación de este tipo de equipos ha sido
considerada como una nueva estrategia de seguridad que ha sido tomada en cuenta
en diferentes organizaciones, la implementación de este tipo de equipos ha permitido
tomar medidas de prevención a posibles ataques, brindar soluciones oportunas a
incidentes ocurridos para mitigar un posible riesgo, llevar un registro de los principales
incidentes que se presentan en los sistemas críticos lo que ha permitido la generación
de reportes estadísticos y sobre todo la sensibilización a los usuarios sobre la
importancia de conocer y manejar las diferentes políticas de seguridad implementadas
en cada organización, lo que contribuye a mantener la confidencialidad, disponibilidad
e integridad de la información que se maneja.
CREACION DEL CSIRT - UTPL
37
Para crear un CSIRT es importante tomar en cuenta el sector en el cual va a ser
implementado, actualmente este tipo de equipos funcionan en sectores comerciales,
organismos públicos, privados, militares, gubernamentales, académicos y sectores de
la pequeña y mediana empresa, cada uno enfocando sus servicios a la comunidad
objetivo que representan, así mismo existen los CSIRTs de Coordinación, que son
equipos que se encargan de facilitar y coordinar la respuesta a incidentes entre varios
CSIRTs a nivel mundial.
El modelo a implementar en la UTPL es el modelo de CSIRT académico, modelo que
define como comunidad objetivo a estudiantes y personal que forma parte de la
universidad, los servicios que presta van enfocados de acuerdo a las actividades que
se realizan en el centro de estudios, existen varios equipos CSIRT implementados en
sectores académicos, como el CAIS/RPN de Brasil y el UNAM CERT de México los
servicios que brindan están orientados al tratamiento de incidentes, auditoría de
sistemas, capacitación, reportes estadísticos y sobre todo investigación, área que
actualmente en la UTPL es considerada como eje transversal en el desarrollo de las
actividades de cada CITTE.
Los servicios que brinda un CSIRT son varios, para escoger los servicios a brindar se
debe tomar en cuenta el tipo de organización en la cual van a ser implementados,
otros factores que se deben tomar en cuenta son: la situación actual de la
organización en el tema de seguridad y la comunidad objetivo a la cual se va a brindar
los servicios iniciales, de acuerdo a la experiencia de otros equipos CSIRT se sugiere
varios servicios iniciales como la emisión de alertas, comunicados y tratamiento de
incidentes.
El personal que forma parte de un CSIRT posee variedad de conocimientos y
habilidades tanto personales como técnicas, es importante recalcar que el personal
que trabaje en el CSIRT debe estar capacitado en temas referentes a los sistemas
que se manejan en la organización, políticas, procedimientos de seguridad, etc., se
debe establecer el horario de trabajo de los miembros del equipo, es decir definir si
van a brindar atención las 24 horas del día los siete días a la semana o solamente en
horario de oficina, se han descrito algunas estructuras organizacionales que deben ser
tomadas en cuenta al momento de definir el personal que trabajará en el CSIRT–
UTPL.
CREACION DEL CSIRT - UTPL
38
Tomando en cuenta los informes estadísticos publicados por el CSI/FBI8 durante el
año 2007 [6] el 59 % de los ataques que se reportaron en las organizaciones a nivel
mundial, fueron ocasionados por el personal interno que hace mal uso de los recursos
de la misma, otros indicadores se detallan a continuación:
Ataques de Virus 52 % - (65% en el año 2006)
25 % Denegación de Servicios
25% Acceso no Autorizado a la Información
61% de las organizaciones identifican al atacante y mejoran sus políticas.
Sabotaje 4%, entre otros.
Información más detallada de los Informes Anuales del CSI/ FBI.
Disponible en: <http://i.cmpnet.com/v2.gocsi.com/pdf/CSISurvey2007.pdf >
De acuerdo a las estadísticas la mayoría de organizaciones encuestadas están en la
capacidad de identificar al atacante, lo que nos señala que se están tomando medidas
para mejorar la seguridad. Si bien es cierto ninguna organización está libre de ser
víctima de las diversas formas de ataques que existen actualmente, pero si está en la
capacidad de tomar medidas de prevención que contribuyan a mitigar los posibles
daños causados, la implementación de un CSIRT no asegura que una organización
sea inmune a las diferentes formas de ataque, pero si garantiza que los integrantes
del equipo tomen medidas de prevención para la detección y resolución de incidentes,
un CSIRT se convierte en un punto de contacto para atender emergencias
informáticas y sobre todo para realizar actividades de investigación en los temas que
ayuden a mejorar la seguridad de los sistemas en las organizaciones y de manera
particular en la Universidad.
8 CSI/FBI: Computer Crime and Security Survey / http://www.gocsi.com
CREACION DEL CSIRT - UTPL
39
2. EQUIPOS CSIRT A NIVEL MUNDIAL
CREACION DEL CSIRT - UTPL
40
OBJETIVO
Estudiar los diferentes Equipos de Respuesta a Incidentes a nivel mundial,
organizaciones que los agrupan, servicios que brindan y la comunidad a la que
están enfocados.
2.1. FIRST
FIRST- Foro de Respuesta a Incidentes y Equipos de Seguridad [7] es la organización
que agrupa a todos los Equipos de Respuesta a Incidentes del mundo, su sede se
encuentra en los Estados Unidos, fue fundado en 1990.
Información más detallada disponible en < http://www.first.org>
El FIRST cuenta en la actualidad con más de 180 miembros distribuidos en países de
Europa, América, Asia y Oceanía, cada uno de los CSIRTs que conforman este foro
son de tipo gubernamental, educativo, empresarial y financiero.
Figura 4: CERTs afiliados al FIRST
El objetivo de esta organización: fomentar la cooperación y la coordinación en la
prevención de incidentes, promoviendo el intercambio de información y la colaboración
entre todos los equipos a nivel mundial.
Algunos de los beneficios de pertenecer al FIRST son:
Disponibilidad de comunicación a través de foros entre los miembros de los
diferentes CSIRTs a nivel mundial, lo que facilita la respuesta ante diferentes
CREACION DEL CSIRT - UTPL
41
incidentes, proporciona también diferentes mecanismos de asistencia y
comunicación de manera segura.
Anualmente se organiza la conferencia sobre Manejo de Incidentes de
Seguridad, conferencias que tienen como punto central el análisis de las
últimas estrategias utilizadas en la prevención y respuesta de incidentes,
análisis de vulnerabilidades y todo lo relacionado al tema de seguridad
informática, todas las conferencias son dirigidas al público en general.
Para los equipos que pertenecen al FIRST se establecen reuniones cada dos
años, las mismas que tienen como objetivo compartir información sobre el uso
de herramientas y aspectos que afectan las operaciones de respuestas a
incidentes.
Todos los equipos que pertenecen al FIRST reciben información de primera
mano, ante determinado incidentes obtienen todo el apoyo del FIRST para
resolverlo, brindan colaboración e intercambio de ideas.
Para ser parte del FIRST uno de los requisitos que se debe cumplir es el proceso de
auditoría, la misma que es realizada por un equipo que sea parte del FIRST, los
aspectos que se evalúan son: estructura del equipo, procedimientos de respuestas a
incidentes, conocimientos del personal que conforma el equipo en cuanto a
metodología y procesos utilizados, entre otros aspectos.
2.2. EQUIPOS DE RESPUESTA A INCIDENTES EN AMÉRICA
La Organización de Estados Americanos (OEA), en el año 2003 aprobó la resolución
AG/Res. 1939 (XXXIII-O/03), que consiste en el Desarrollo de una estrategia
interamericana para combatir las amenazas a la seguridad cibernética, la elaboración
de esta estrategia estuvo a cargo del CICTE (Comité Interamericano contra el
Terrorismo). [8]
La iniciativa surge ante la necesidad de incrementar la seguridad de las redes y
sistemas de información con la finalidad de dar solución a las vulnerabilidades y
proteger a los usuarios, y a la seguridad nacional de las constantes amenazas que se
pueden ocasionar.
El objetivo del proyecto es agrupar a los países que pertenecen a OEA para crear una
red de Equipos de Respuesta a Incidentes que funcione constantemente y que estén
CREACION DEL CSIRT - UTPL
42
en la capacidad de responder de la mejor manera a incidentes y amenazas a la
seguridad informática, para esto la secretaria del CICTE se encarga de brindar la
capacitación necesaria para su implementación, a través de entrenamiento al personal
encargado de las diferentes áreas que afectan la seguridad crítica de la
infraestructura.
Hasta junio de 1997 [9], 12 estados miembros de la OEA entre ellos Argentina,
Bahamas, Bolivia, Brasil, Canadá, Chile, Costa Rica, Estados Unidos, Guatemala,
México, Surinam y Uruguay han establecido un CSIRT Nacional, para combatir las
amenazas a la seguridad de sus sistemas computacionales, en la siguiente gráfica se
indican algunos de los países que poseen un CSIRT.
Figura 5: Países que perteneces a la OEA que poseen CSIRTs
Las primeras medidas que se tomaron en cuenta para la creación de la red
hemisférica fueron:
Identificación de organizaciones CSIRT existentes.
Establecer un modelo de servicio, los CSIRTs nacionales deberán ser
designados por sus gobiernos respectivos. Se deben establecer un conjunto de
normas para la cooperación y el intercambio de información entre los CSIRTs.
Es importante tomar en cuenta la confianza que debe existir entre los equipos,
ya que cada uno maneja información importante y exclusiva, para lograr la
confianza entre los equipos es necesario contar con una infraestructura segura
para el manejo de información delicada y con procedimientos de protección
contra la fuga de información.
Creación de Conciencia Pública: Los CSIRTs nacionales deben tener en
cuenta que el público sabe cómo notificar un incidente y a quién notificarlo.
CREACION DEL CSIRT - UTPL
43
2.3. EQUIPOS DE RESPUESTA A INCIDENTES EN EUROPA
TF-CSIRT [10] (Task Force – Collaboration of incident Response Teams), es una
organización europea cuyas actividades se centran en Europa y en países vecinos, en
cumplimiento con los términos aprobados por el comité técnico de TERENA
(Organización de las Redes Académicas Europeas) el 6 de junio de 2006.
Tiene como objetivo promocionar la colaboración entre equipos de respuesta a
incidentes europeos.
En el siguiente gráfico se puede observar geográficamente la distribución de los
CSIRTs Europeos:
TF-CSIRT proporciona un foro en donde los miembros de la comunidad puedan
intercambiar experiencias y conocimientos, promueve el uso de estándares y
procedimientos para responder a incidentes de seguridad informática, además
participa activamente brindando ayuda en la creación de nuevos equipos y
capacitación de los miembros de los equipos existentes en cuanto a técnicas y
herramientas para el manejo de incidentes.
Los primeros CERTs tuvieron su origen en el ámbito universitario en 1992, cada uno
de los equipos existentes cumple con tres objetivos básicos que son:
Informar sobre la importancia de la Seguridad.
Prevención de Incidentes
Figura 6: Equipos de Respuesta a incidentes en Europa
CREACION DEL CSIRT - UTPL
44
Respuesta a incidentes que ocurran en la comunidad.
2.4. EQUIPOS DE RESPUESTA A INCIDENTES EN ASIA Y PACÍFICO
APCERT [11] (Asia Pacific Computer Emergency Response Team), es un comité que
agrupa a todos los CERTs de Asia y el Pacífico, algunos de los países que forman
parte de APCERT son Japón, Corea, Hong-Kong, Taiwán, Tailandia, Malasia,
Singapur, Australia, Bruselas, China, Indonesia, Filipinas, Taipéi, India y Vietnam, son
aproximadamente 17 equipos que forman parte de APCERT.
En la gráfica se puede visualizar la distribución de los equipos que pertenecen al
APCERT:
Figura 7: Equipos que pertenecen al APCERT
Este comité tiene a su cargo:
Mantener una red de contactos con expertos en seguridad informática
Informar a los equipos de la región en todo lo que se refiere a incidentes de
seguridad informática a través del desarrollo de medidas para hacer frente a
los incidentes.
Facilitar el intercambio de información y de tecnologías entre los miembros.
Ayudar a los demás equipos a llevar a cabo de manera eficaz y eficiente la
respuesta a un incidente.
CREACION DEL CSIRT - UTPL
45
El APCERT está organizado bajo una directiva, la misma está compuesta por
Presidentes, Vicepresidentes, Comités de Gestión, Secretaría, Equipos Miembros y
los diferentes grupos de trabajo, cada una de estas dignidades está representada por
un CERT perteneciente a la región dependiendo de la dignidad que ocupe debe
cumplir con las responsabilidades inherentes al cargo.
En la Sección de Anexos, (Ver Anexo1: Equipos CSIRT a Nivel Mundial) se puede
encontrar información más detallada de cada Equipo de respuesta a incidentes en el
mundo.
Las tablas que se presentan a continuación contienen un breve resumen de los
principales servicios que brindan, se hace referencia a los Equipos CSIRT
Académicos, de Gobiernos y los equipos que brindan servicios a la Administración
Pública.
CSIRTs Públicos
Equipo CSIRT SERVICIOS
ArCERT
(Argentina)
Coordinación, análisis y respuesta a incidentes
Difusión de Información a través de listas de seguridad
Cursos de Capacitación
Concientización a través de jornadas de seguridad
Asistencia para el tratamiento de incidentes
Políticas de Seguridad de Información
Desarrollo de Productos y Servicios.
CCN-CERT
(España)
Capacitaciones
Inspecciones de Seguridad
Crear herramientas para Auditoría y guías de seguridad de
Equipos
Análisis de código malicioso
Investigación
Boletines sobre información técnica
Herramientas para valoración de riesgos
CNCERT/CC
CHINA
Manejo de Incidentes de Seguridad en Redes Públicas
Detección, prevención y respuesta a incidentes
CREACION DEL CSIRT - UTPL
46
CSIRTs Académicos
Equipo CSIRT SERVICIOS
CAIS /RPN
(Brasil)
Tratamiento de Incidentes
Divulgación de Información
Monitoreo y detección de intrusos
Auditoría de Sistemas
Educación y Entrenamiento
UNAM-CERT
(México)
Servicio de Respuesta a incidentes de seguridad
Realiza investigaciones para mejorar la seguridad de otros
sitios
Emitir boletines con reportes de vulnerabilidades
Coordinar con otros grupos de seguridad para lograr la
interconexión de las comunidades académicas de red clara
Portal del usuario casero, que proporciona herramientas para
proteger los sistemas, brindar información sobre riesgos y
amenazas existentes y cómo protegerse de estos.
Iris- CERT
(España)
Servicios de Respuesta a incidentes, que incluye el Triage de
los incidentes y la coordinación de los incidentes.
Servicios proactivos como : Servicios de información,
capacitación, auditorías y estadísticas.
CSIRTs Nacionales
Equipo CSIRT SERVICIOS
CL-CERT (Chile) Difusión de Alertas
Capacitación Tecnológica
Análisis de Mercado, focalizado en la generación de índices
Intercambio de información y coordinación de medidas con
organizaciones internacionales.
Recolectar información de eventos de seguridad
Capacitación en temas de seguridad
Consultoría
CREACION DEL CSIRT - UTPL
47
y monitoreo de aspectos de seguridad.
Asesoría a instituciones públicas en la toma de decisiones,
formulación de políticas y buenas prácticas.
CanCERT
Canadá
Recopilación, Análisis y difusión de información
Reporte de amenazas y vulnerabilidades.
Brindar respuesta a incidentes al gobierno de Canadá,
empresas y organismos académicos.
AusCERT
(Australia)
Emisión de Boletines
Capacitaciones
Reportes de incidentes
Gestión de incidentes
Coordinación y Manejo de incidentes
CTIR.GOV
(Brasil)
Recibir notificaciones de incidentes, seguidos por el análisis
de los casos concretos.
Elaboración de respuesta a los incidentes.
Análisis de los activos de información y de la estructura
tecnológica de la información de la administración pública
federal.
CERT.br (Brasil) Sirve de punto Central para coordinar la respuesta a
incidentes para los usuarios de internet.
Coordinas respuestas a los incidentes relacionados con las
redes brasileñas.
Establecer relaciones de colaboración con otras entidades
USCERT (EEUU) Analizar y reducir vulnerabilidades cibernéticas
Difusión de Información de Alertas
Coordinación de actividades de respuesta a incidentes
Reportes de incidentes y vulnerabilidades
Boletines
esCERT - UPC
(España)
Brinda servicios reactivos y preventivos a la UPC
Respuesta a incidentes
Servicio de Aviso de Vulnerabilidades
Capacitación
JPCERT/CC
(Japón)
Análisis y respuesta de incidentes
Alertas de Seguridad
CREACION DEL CSIRT - UTPL
48
Coordinación con otros CSIRTs
Educación
KrCERT/CC
(Korea)
Análisis de incidentes
Monitoreo de Red
Investigación de Técnicas de Hacking
Coordinación de Respuestas a incidentes
SingCERT –
Singapur
Servicios de Seguridad
Reporte de incidentes
Respuesta a incidentes
Discusión
A partir de los años 90 surge la iniciativa de crear un organismo que agrupe a todos
los equipos de respuesta a incidentes del mundo, surge el FIRST que como se ha
indicado anteriormente es un Foro que fomenta la cooperación entre CSIRTs,
iniciativas similares surgieron en Europa, en el año 1992 SURFnet9 crea el primer
CSIRT europeo, actualmente existen más de 100 equipos conformados que brindan
servicios a diferentes organizaciones europeas.
A nivel mundial existen varias organizaciones entre ellas empresas proveedoras de
servicios de internet, universidades, gobiernos y organizaciones privadas que han
implementado un Equipo de Respuesta a Incidentes de Seguridad (CSIRT), muchas
de las cuáles buscan un objetivo común, la atención y respuesta a incidentes,
independientemente del sector al que brinden servicios, de acuerdo a [12] existen
alrededor de 195 equipos distribuidos en 43 países, en Europa y Asia existen
alrededor de 118 equipos, Estados Unidos 61, Canadá 11 y América Latina 8 equipos,
todos pertenecen al FIRST, la mayoría de estos equipos brindan servicios al sector
privado, a proveedores de servicios de Internet, sector académico, de Gobierno,
financiero, militar y sectores industriales y comerciales, los servicios son varios
dependiendo de la organización.
En América latina algunos países que pertenecen a la OEA han implementado
equipos CSIRT la mayor parte de equipos pertenecen al FIRST, lo mismo ocurre en
otros sectores que no pertenecen al gobierno, tal es el caso de Perú que posee dos
9 http://cert.surfnet.nl/.
CREACION DEL CSIRT - UTPL
49
equipos de Respuesta a Incidentes para al sector privado, situación similar ocurre en
Paraguay, ambos países actualmente trabajan en la implementación de un CSIRT de
Gobierno.
Una iniciativa muy importante en la que es protagonista el Equipo de Respuesta a
Incidentes de la Universidad de México (UNAM-CERT) es el de promover varias
estrategias de seguridad para detectar y dar seguimiento a las diferentes actividades
en internet, desde hace algunos años colabora directamente en una propuesta
realizada por RedCLARA (Corporación Latinoamericana de Redes Avanzadas10) en la
que se propone crear un Grupo de Trabajo de Seguridad (GT - CSIRT) que cuente
con la participación de los diferentes equipos CSIRTs, con la finalidad de “ fomentar la
colaboración entre las redes académicas y promover una cultura de seguridad
informática en la región de América latina y el Caribe”, está propuesta incluye la
cooperación con otras iniciativas como TF-CSIRT (Equipos Europeos) y APCERT
(Equipos de Asia y Pacífico).
En Ecuador no hay propuestas de Equipos CSIRT, existen algunas empresas que
brindan servicios de manejo de incidentes y capacitación en temas de seguridad, las
mismas trabajan con empresas que contratan sus servicios pero en su mayoría
cuando son víctimas de ataques.
A nivel de gobierno no hay un sector que se encargue de la seguridad de los sistemas
críticos que se manejan, a nivel de país tampoco existen organizaciones que
publiquen registros estadísticos que indiquen los diferentes tipos de incidentes que
ocurren.
Uno de los objetivos que se pretende alcanzar con el presente proyecto es el que el
CSIRT-UTPL se convierta en un punto de apoyo para la creación de equipos similares
en Ecuador y de esta manera formar parte de las diferentes iniciativas que funcionan
actualmente en América Latina, pero sobre todo ser el punto de apoyo para la
creación de CSIRTs académicos en las diferentes universidades que existen en
nuestro país y así crear un CSIRT de gobierno lo que dará como resultado mejorar los
niveles de seguridad en los sistemas informáticos de nuestro país.
10
www.redclara.net
CREACION DEL CSIRT - UTPL
50
3. INCIDENTES
CREACION DEL CSIRT - UTPL
51
OBJETIVO
Realizar una descripción acerca de conceptos fundamentales, el manejo y los
diferentes tipos de incidentes.
Detallar las principales políticas que se utilizan para el manejo de incidentes.
3.1. DEFINICION
Se define como incidente [13] cualquier evento que comprometa la confidencialidad,
integridad y disponibilidad de la información de la organización, esto incluye la
violación a políticas de seguridad de la organización y mejores prácticas de seguridad.
Los eventos son sucesos observables en un sistema, existen eventos que no causan
daños tales como: acceso a una página web, envíos de correo electrónico, etc., pero
existen también otro tipo de eventos que son adversos a lo indicado y que causan
daño tales como: accesos no autorizados a un sistema, ataques a páginas web,
ejecución de código malicioso, etc.
Para que una organización pueda brindar respuestas ágiles ante un incidente es
importante mantener un plan o metodología para el manejo de los mismos, esta
metodología detalla un conjunto de pasos debidamente aprobados que se deben
seguir para reducir las pérdidas y los daños que un incidente puede causar.
Los incidentes pueden ser:
Uso inapropiado de los recursos de la red.
Intentos no autorizados al sistema (Robo, borrado y alteración de información).
Ataques de virus, gusanos, troyanos.
Mal uso de los recursos informáticos
Mal funcionamiento de software o hardware
Acceso a páginas de contenido restringido
Servicios internos inaccesibles
Violación de normas de acceso a internet
Mal uso de correo electrónico de la organización
Violación de políticas y procedimientos de seguridad, entre otros.
De acuerdo al tipo de incidentes, estos se clasifican por prioridades [14]:
CREACION DEL CSIRT - UTPL
52
Emergencia.- Se consideran como emergencia los incidentes que no admiten
demoras, todos los reportes de emergencia deben ser atendidos de manera
inmediata haciendo uso de todos los recursos disponibles, se pueden
considerar emergencias ataques a sistemas críticos, incidentes producidos en
equipos manejados por los directivos de la organización, ataques a las
infraestructuras de red, etc.
Prioridad Alta.- Son aquellos incidentes que requieren ser atendidos antes
que otros, así sean detectados posteriormente, son procesados antes que los
incidentes de prioridad inferior, por ejemplo accesos a cuentas privilegiadas,
ataques de denegación de servicios, sistemas críticos, etc.
Prioridad Normal.- Este tipo de incidentes son atendidos en orden de llegada,
si es que no existen incidentes de emergencia y alta prioridad, sino son
atendidos luego de un tiempo, por ejemplo acceso a un sistema ajeno,
sistemas de usuarios, etc.
Prioridad Baja.- Son atendidos en orden de llegada, afectan a recursos no tan
indispensables pueden ser atendidos luego de 4 días.
3.2. MANEJO DE INCIDENTES
De acuerdo a [15] se presentan dos criterios en cuanto al manejo de incidentes:
3.2.1. Modelo propuesto por NIST11 / SANS12
De acuerdo a [15], [16] y [17], este modelo presenta seis procesos importantes que
son:
Figura 8: Fases del Manejo de Incidentes
3.2.1.1. Preparación
Contempla las siguientes actividades:
11
NITS: Instituto Nacional de Estándares y Tecnología - http://www.nist.gov/
12 SANS: Organización líder en capacitación de seguridad informática. - http://www.sans.org/
Preparación
Detección y Análisis
Contención,
Resolución
Recuperación
Acciones
Posteriores al
cierre
CREACION DEL CSIRT - UTPL
53
Prepararse para el Manejo de Incidentes.- Consiste en tener presente todos los
recursos disponibles que sean de utilidad en el proceso del manejo de incidentes,
desarrollar políticas y procedimientos para gestionar todos los incidentes y
determinar los de mayor ocurrencia.
Prevención de Incidentes.- Consiste en realizar evaluaciones periódicas de los
sistemas y aplicaciones de la organización. Las evaluaciones que se realicen
permitirán minimizar los riesgos e identificar los recursos críticos de la
organización.
Algunas prácticas que se pueden realizar y que son recomendadas son:
o Seguridad en los Host.- Todos los host deben ser protegidos
adecuadamente, deben estar configurados con los servicios mínimos de
acuerdo a cada usuario.
o Seguridad de Red.- El perímetro de la red debe estar configurado para no
permitir el acceso a actividades no permitidas, solamente deben permitirse
las actividades que permitan el buen funcionamiento de la organización,
algunas actividades incluyen redes privadas virtuales (VPN), etc.
o Prevención de Código Malicioso.- Uso de software para detectar virus,
gusanos y caballos de troya en servidores, estaciones de trabajos,
sistemas operativos, aplicaciones a nivel de servidor y de clientes.
o Sensibilización a los usuarios.- Consiste en sensibilizar a todos los
usuarios sobre la importancia de entender y aplicar las políticas y
procedimientos en relación con el uso adecuado de redes, sistemas y
aplicaciones, el aplicar las políticas de la organización ayudará a reducir la
frecuencia de incidentes, especialmente los relacionados con código
malicioso.
3.2.1.2. Detección y Análisis
Esta etapa incluye las siguientes categorías:
Categorías de incidentes.- Consiste en detallar los posibles incidentes que
pueden suceder, algunas de las categorías de incidentes son:
Denegación de Servicios.- Ataques que impidan el uso autorizado de
redes, sistemas y aplicaciones.
Código Malicioso.- Virus, gusanos y troyanos.
CREACION DEL CSIRT - UTPL
54
Accesos no autorizados.- Accesos a sistemas, redes, aplicaciones, datos
u otros recursos sin contar con la debida autorización.
Señales de un incidente.- Para la mayoría de organizaciones es un poco
complicado el identificar un incidente y determinar que daños puede causar, las
señales de que un incidentes puede ocurrir se basan en dos categorías:
Indicadores.- Señales de que un incidente ha ocurrido o puede estar
ocurriendo ahora, por ejemplo.
o El software antivirus alerta cuando se detecta que un host está
siendo infectado por algún virus o gusano.
o Cuando el servidor web se bloquea
o Cuando los usuarios se quejan de la lentitud de los host para el
acceso a internet.
o Aviso de un usuario de robo de datos.
Precursores (Advertencias).- Son los signos de que un incidente puede
ocurrir en el futuro, algunos ejemplos de advertencias son:
o Los logs del servidor web muestran entradas de un escaneo de
vulnerabilidades.
o Anuncios de que una vulnerabilidad puede ser explotada en los
servidores de correo.
o Anuncio de exploit
o Alerta de IDS sobre escaneos de red.
Recursos para identificar Indicadores y Precursores.- La mayoría de
indicadores y precursores que se debe considerar son:
Sistemas de Detección de Intrusiones (IDS)
Software Antivirus
Sistemas de monitoreo de Red
Análisis de Registros de Auditoría (logs)
Información de vulnerabilidades
Información de Incidentes de otras organizaciones.
Análisis de Incidentes.- Cuando el equipo considera que ha ocurrido un
incidente lo primero que se debe realizar es un análisis para determinar el alcance
y lo que originó el incidente mediante el uso de las herramientas software que se
requieran, esto servirá para determinar las herramientas y métodos que se
CREACION DEL CSIRT - UTPL
55
utilizaron, vulnerabilidades explotadas y el impacto de las mismas en las
actividades de la organización.
El primer análisis servirá para llevar a cabo actividades de contención y de
posteriores análisis de los efectos causados por el incidente.
Documentación del Incidente.- Una vez que se ha descubierto un incidente es
importante realizar la documentación del mismo, en la documentación se incluyen
todos los antes y después del incidente, es decir, empezar documentando todos
los eventos del sistema y los cambios observados desde que se descubrió el
incidente hasta la resolución final.
Todos los documentos en los que se realice la documentación del mismo deben
ser firmados por el encargado de manejar los incidentes.
En estas tareas es recomendable que trabajen dos personas una para que se
encargue de realizar el registro de todos los eventos y otra para que se encargue
de realizar las tareas técnicas.
Se debe mantener los registros de cada uno de los incidentes en una base de
datos, de esta manera si el mismo incidente vuelve a ocurrir se sabe qué hacer, la
información que se debe incluir en la base de datos es la siguiente:
Resumen del incidente
Medidas adoptadas por los encargados de manejar los incidentes
Información de contacto para los interesados (administradores del sistema,
etc.)
Lista de pruebas realizadas durante la investigación.
Priorización del Incidente.- Es uno de los procesos más importante en el manejo
de incidente, los incidentes deben ser atendidos de acuerdo a prioridades, la
prioridad de un incidente se establece de acuerdo a dos factores:
Efectos técnicos y potenciales del Incidente.- Es decir no sólo
considerar los efectos técnicos del incidente en ese momento, sino
también los efectos futuros que este pueda causar.
Criticidad de los Recursos Afectados.- La criticidad de un recurso se
basa en sus datos o servicios y las relaciones de interdependencia con
otros recursos, por ejemplo si existe un problema con un servidor y al
mismo tiempo se reporta un incidente en la Dirección General, la
prioridad la tendrá el incidente que está ocurriendo en la Dirección
General.
CREACION DEL CSIRT - UTPL
56
Notificación del Incidente.- Cuando un incidente es analizado y priorizado se
debe notificar a la organización, en base a las políticas del equipo de respuesta a
incidentes en cuanto a la información que debe ser notificada y a quién debe ser
notificada.
Algunas de las personas que suelen ser notificadas incluyen:
Líder del Equipo.
Otros equipos de respuesta a incidentes.
Departamento legal (en el caso de incidentes con consecuencias
jurídicas).
3.2.1.3. Contención, Resolución y Recuperación
Contención.- Consiste en evitar la propagación del incidente, en esta fase es
importante la toma de decisiones, cuando previamente se han establecido
estrategias y procedimientos.
Debe determinarse distintas estrategias de contención para cada unos de los
incidentes, cada criterio debe ser claramente documentado para facilitar la
adecuada y rápida toma de decisiones.
Debe recoger evidencias de los incidentes con fines de análisis, las evidencias
pueden ser sistemas de información, etc.
Algunos criterios para determinar las estrategias adecuadas incluyen:
Daño potencial de recursos a causa de incidentes
Necesidad de preservar evidencia
Criticidad de los sistemas afectados
Por ejemplo:
Si ocurre un Acceso no Autorizado debido a varios intentos fallidos de login, la
estrategia de contención sería el bloqueo de la cuenta.
Resolución.- Eliminar las causas y componentes asociados al incidente, y otras
actividades que se consideren para resolver el incidente y prevenir futuras
ocurrencias.
Recuperación.- Los administradores del sistema restablecen el funcionamiento
normal para prevenir incidentes similares, algunas de las medidas pueden incluir
el restablecimiento del sistema desde cero, instalación de parches, cambio de
contraseñas, implementación de firewalls, listas de control de acceso, etc.
CREACION DEL CSIRT - UTPL
57
3.2.1.4. Actividades Posteriores
Aprender de los incidentes, a través de reuniones que se realizan luego de que ha
sucedido un incidente, ayuda a mejorar las medidas de seguridad y el proceso de
manejo de incidentes.
Otras de las actividades propuestas son:
Recolección de evidencia
Listas de comprobación de Manejo de incidentes
3.2.2. Modelo propuesto por el CERT/CC13
El modelo propuesto por el CERT/CC y descrito en [3] y [15] describe las siguientes
funciones clasificadas en las siguientes categorías:
Figura 10: Funciones del Manejo de Incidentes
Función de Triage.
Función de Manejo.
Función de anuncio.
Función de Retroalimentación.
3.2.2.1. Función Triage14
13
http://www.cert.org/
CREACION DEL CSIRT - UTPL
58
El objetivo de esta función es asegurar que toda la información destinada para el
manejo de incidentes sea canalizada a través de un único centro de coordinación
independientemente del medio (correo electrónico, fax, teléfono, etc.) que se utiliza
para enviar la información, para su apropiado manejo y distribución.
El Triage consiste en recibir la información, clasificarla y ordenarla con la finalidad de
determinar si el reporte que se recibe está relacionado con eventos pasados o son
nuevos eventos, luego se asigna una prioridad inicial que esté de acuerdo al esquema
de prioridades que se esté manejando.
Algunas alternativas que se pueden usar para mejorar la calidad de la información que
se envía son:
Uso del Número Secuencial.- Se debe utilizar un esquema de numeración
secuencial que pueda ser entendido por todos y al que se tiene acceso de
manera pública, este número se debe manejar en todas las comunicaciones
que tengan relación con algún evento. Los números de seguimiento son las
etiquetas que el sistema utiliza para ordenar y almacenar automáticamente la
información. Es aconsejable utilizar un prefijo para cada función así por
ejemplo e CERT/CC sugiere los siguientes prefijos:
CERT #: para el seguimiento de incidentes.
VU#: es el prefijo utilizado para el seguimiento de
vulnerabilidades.
INFO#: prefijo usado para la identificación de otro tipo de
información.
Utilización de formatos de Reporte Estándar.- Con el uso de reportes se
asegura de que la información sea completa, los formatos que se manejan
deben ser claros, concisos y de fácil acceso, para estos reportes se incluye el
siguiente tipo de información:
o Información de contacto de las personas que reportan el incidente.
o Nombre de los equipos y direcciones de red de los host involucrados en
el incidente.
o Información Relevante como logs, información de zonas horarias, etc.
14
Triage: La palabra triage proviene del término francés trier que significa “seleccionar o
escoger”, ”elegir o clasificar”.
CREACION DEL CSIRT - UTPL
59
o Números de secuencia que hayan sido asignados por otro CSIRT o por
el equipo de seguridad.
Pre-Registro de la Información de Contacto.- Este mecanismo consiste en
solicitar información acerca de:
o Puntos de contacto confiables
o Restricciones en la difusión de la información
o Claves para encriptar la información.
3.2.2.2. Función de Manejo
El objetivo de esta función es proporcionar respuesta y soporte a los informes
recibidos de la comunidad a la que brinda servicios.
Esta función proporciona algunos de los siguientes atributos:
Presentación de Informes.- Un lugar para la recepción de informes de
incidentes relacionados con la comunidad.
Análisis.- Examinar los sitios afectados, revisar los documentos y avisos
técnicos para proveer soporte técnico, y asistencia en el lugar del incidente.
Notificación.- Consiste en la adecuada respuesta y recuperación de la
información a la comunidad a la que el CSIRT brinda servicios., mediante la
notificación se mantiene comunicaciones con las personas afectadas por el
incidente.
3.2.2.3. Función de Anuncio
El propósito de la función de anuncio es generar información para la comunidad, el
objetivo de la función anuncio es la de revelar detalles de las amenazas actuales y de
las medidas que pueden ser adoptadas para mitigar estas amenazas.
Algunos tipos de anuncios son:
Titulares.- Usualmente toma la forma de un mensaje corto, el objetivo es
informar a la comunidad o a personas externas eventos que puedan ser
importantes en un futuro próximo.
Alertas.- Son avisos a corto plazo acerca de los acontecimientos críticos,
contienen información acerca de ataques recientes, nuevas vulnerabilidades,
etc.
CREACION DEL CSIRT - UTPL
60
Avisos.- Proporcionan a mediano o largo plazo información sobre los
problemas y las soluciones adecuadas para ayudar a evitar incidentes. Estos
contienen información acerca de las nuevas vulnerabilidades y pueden también
brindar información sobre las actividades de los intrusos.
Para su Información.- Son documentos parecidos a los avisos pero más
cortos y menos técnicos dirigidos a un público más general. Estos documentos
contienen información a manera de instructivos con temas relacionados a la
seguridad, pueden ser usados por personal no técnico.
Guías.- Son una secuencia de pasos que ayudan a ampliar los conocimientos
de la personas en temas de seguridad.
Procedimientos Técnico.- Son guías más completas, estas contienen más
detalles técnicos y son dirigidos a grupos de expertos.
3.2.2.4. Función de Retroalimentación
El manejo de incidentes es el objetivo de todo CSIRT pero también es necesario
atender otro tipo de requerimientos, esto es importante porque así no se afecta la
imagen del equipo en el sentido de que no brinda respuesta a otro tipo de solicitudes o
requerimientos que son distintos del manejo de incidentes, estos requerimientos
forman parte de las siguientes categorías:
Seguridad General de Computadores.- Búsqueda de información para
mejorar la seguridad y evitar incidentes a través de medidas de seguridad o la
manera de contactarse con el CSIRT en caso de ocurrir un incidente. De esta
manera el CSIRT ayuda a concientizar a la comunidad sobre la importancia de
tomar medidas de seguridad en los sistemas y evitar incidentes.
Requerimientos de los Medios.- Solicitudes de parte de los medios de
comunicación para los artículos relacionados con la seguridad de los sistemas,
el equipo debe estar preparado para manejar adecuadamente este tipo de
solicitudes por parte de los medios, garantizando así mismo que las políticas
del equipo en cuanto a la publicación de la información no sean violadas.
Otros Requerimientos.- Estos incluyen solicitudes enviadas al equipo para
dar conferencias, solicitudes para hacer uso de derechos de autor, etc.
Requerimientos fuera del Alcance.- No tienen que ver con los servicios
prestados por el CSIRT. Se puede hacer referencia a un enlace de preguntas
frecuentes (FAQ) que tengas respuesta a preguntas como: ¿Cómo conectarse
a internet?, ¿Qué herramientas de software puedo utilizar?, etc.
CREACION DEL CSIRT - UTPL
61
Para todos estos requerimientos se debe direccionar un archivo de preguntar
frecuentes (FAQ), interno sólo para los miembros del equipo en el que se describen
los procedimientos relacionados con la manipulación de los diferentes tipos de
solicitudes y el tipo de respuesta que se puede dar a cada una de ellas, y con
indicaciones sobre cómo establecer prioridades, por ejemplo si las solicitudes son los
gerentes de la organización deben ser asignados con mayor prioridad y luego deben
ser seguidas por los demás miembros de la comunidad.
Otro de los beneficios de de tener un FAQ interno es que este puede ser utilizado
como una herramienta de aprendizaje para nuevo personal que forme parte del
CSIRT.
3.2.3. Metodología a utilizar en el CSIRT-UTPL
Para el manejo de incidentes en la UTPL se utilizará la metodología diseñada para el
manejo de incidentes y vulnerabilidades [18], la misma se basa en el análisis de las
diferentes metodologías existentes para el manejo de incidentes y vulnerabilidades.
La metodología propuesta está estructurada de la siguiente manera:
Análisis de Vulnerabilidades.- La misma que está divida en tres fases:
Prevención, Identificación y Corrección.
Atención a Incidentes de Seguridad.- Basada también en tres fases:
Prevención, Identificación y Corrección.
La metodología citada propone formatos para el registro de incidentes y
vulnerabilidades, los mismos que serán adaptados a las necesidades del CSIRT-
UTPL.
3.3. POLÍTICAS Y PROCEDIMIENTOS PARA LA RESPUESTA A INCIDENTES
Las políticas consisten en un conjunto detallado de pasos que se deben seguir para
proteger todos los recursos importantes de una organización, cabe resaltar que entre
esos recursos se encuentra la información que se genera en cada una de las
organizaciones. Las políticas que se desarrollan deben garantizar la integridad,
confidencialidad y la disponibilidad de los datos, las políticas se desarrollan en base a
estándares15, procedimientos16 y los diferentes conjuntos de mejores prácticas17.
15
Estándares: Guías que especifican la implementación de las políticas.
16 Procedimientos: Pasos que especifican requerimientos para las políticas y estándares sean
CREACION DEL CSIRT - UTPL
62
Las políticas y procedimientos se definen de acuerdo a la organización en la que se
van a implementar, pero existen algunos elementos fundamentales como:
Declaración de compromiso de Gestión
Fines y objetivos de las políticas
Ámbito de aplicación de las políticas (A quién, para quién y en qué
circunstancias se aplican).
Definición de incidentes de seguridad
Estructura de la organización y delimitación de funciones
Medidas de ejecución
Presentación de informes y formularios.
Algunas políticas que se sugieren en [3] y [19] pero no son limitadas a las que se
presentan a continuación:
Política de Clasificación de la Información.
Política de Diseminación de Información.
Política de Medios de Comunicación.
Política de Seguridad.
Políticas de Errores Humanos
Política de Clasificación de la Información: En el equipo CSIRT se debe
mantener una política de clasificación de la información, el no mantener una
política de clasificación puede ocasionar que los miembros del equipo
clasifiquen la información de acuerdo a su percepción, en el mejor de los casos
la clasificarán correctamente, sino no la clasificarán, un ejemplo de esta
política en el caso más sencillo puede ser:
o Dividir la información en dos categorías: “información Sensible” y
“Todos los demás”, lo que se encuentre en Información Sensible debe
ser manejado con mucho cuidado, lo que se encuentre en Todos los
Demás debe considerarse como información pública.
aplicados.
17 Mejores Prácticas: Conjunto de reglas que sirven para dar cumplimiento a los estándares.
CREACION DEL CSIRT - UTPL
63
Política de Diseminación de la Información: Política que ayuda a determinar
la información que se debe dar, a quién y cuándo, a que llamadas y e-mails
debemos responder, etc.
La mayoría de los equipos trata la información que recibe de manera
confidencial, y no comparten la información sino solamente entre sus
miembros, la información es compartida únicamente en el caso en el que los
dueños de la información den su autorización, algunas excepciones de esta
políticas incluye el uso de la información solamente para generar reportes
estadísticos.
Se deben tomar en cuenta aspectos sobre el envío de información por parte
del CSIRT cuando se genera información sobre ataques o vulnerabilidades
encontradas, se debe determinar a quién se reporta, por ejemplo miembros del
CSIRT, comunidad, medios de comunicación, etc.
La información que se va a enviar se determina de acuerdo a la política de
categorización de la información.
Política de Medios de Comunicación: Los medios de comunicación son una
poderosa herramienta para dar a conocer la información del CSIRT, es
aconsejable disponer de personal que se encargue de ser el portavoz del
equipo, de esta manera terceras personas no tienen acceso a datos delicados.
La información que se da a los medios incluye reportes de alertas, boletines e
invitaciones a eventos, cursos, etc., que desarrolle el CSIRT.
Política de Seguridad: Toda organización cuenta con un manual de
seguridad en que se toman en cuenta todos los aspectos para la seguridad de
la misma, la política debe abarcar varios aspectos tales como:
o Seguridad Física
o Seguridad de la Red Local
o Manejo de Incidentes de Seguridad Local
o Seguridad de la información local
o Manejo de desastres y continuidad del negocio.
Política de Errores Humanos: Todos somos humanos y todos cometemos
errores, la política de errores humanos ayuda a minimizar los daños causados
por el personal, si algún funcionario comete un error se lo corrige de manera
constructiva. Las políticas de errores humanos no deben decir: “Cometa los
CREACION DEL CSIRT - UTPL
64
errores que quiera, nosotros siempre seremos amables con usted”, la política
debe indicar claramente :
o Si un funcionario comete un error que puede tener malos resultados,
debe informar lo antes posible al personal apropiado.
o Después de resuelto el problema el funcionario que cometió el error
debe reunirse con el líder del grupo y analizar las causas del error.
o Establecer métodos para que el error no vuelva a ocurrir, puede ser a
través de capacitaciones, etc.
o Si los errores persisten se debe tomar otras medidas
3.4. Norma ISO 17799
En el año 2005 esta norma es revisada y renombrada como ISO 17799:2005, en julio
de 2005 la Organización Internacional para la Estandarización (ISO) cambió la
denominación de la ISO 17799:2005 por 27002:2005, la norma no cambia el
contenido, está compuesta por 11 Dominios , 39 objetivos de control 18y 133
controles19 [20].
Esta norma hace referencia a las recomendaciones de las mejores prácticas en la
gestión de la seguridad de la información, el objetivo principal de esta norma es el de
proporcionar una base para desarrollar normas de seguridad que permitan establecer
transacciones y relaciones de confianza entre las organizaciones, a nivel general los
dominios por los que está compuesta esta norma son:
Tabla 3: Dominios y Controles Norma ISO 17799:2005
Dominios
N°
Controles
1. Política de Seguridad:
Proporciona directrices y recomendaciones para dar
soporte a la Gestión de la Seguridad de la
información
1
2. Organización de la Seguridad de la Información:
Gestión de varios aspectos, entre ellos: recursos,
tercerización etc., dentro de la organización.
2
18
Objetivos de Control: Resultados que se espera alcanzar, mediante la implementación de
controles.
19 Controles: Procedimientos que reducen el nivel de riesgo.
CREACION DEL CSIRT - UTPL
65
3. Gestión de Activos
Inventarios y nivel de protección de activos
2
4. Seguridad de Recursos Humanos
Reducir riesgos de errores humanos.
3
5. Seguridad Física y Ambiental
Evitar entre otras cosas accesos no autorizados a la
empresa y a datos.
2
6. Gestión de Comunicaciones y Operaciones:
Garantizar la operación y actividades del grupo a la
organización.
10
7. Control de Acceso.
Evitar el ingreso de personal no autorizado a los
sistemas críticos de la empresa,
7
8. Adquisición, Desarrollo y Mantenimiento de Sistemas
de Información:
Evitar pérdidas, asegurar que la seguridad está
incorporada a los sistemas de información.
6
9. Gestión de Incidentes de Seguridad de la
Información:
Gestionar los incidentes que afectan a la
organización.
2
10. Gestión de la Continuidad Comercial:
Saber qué hacer ante interrupciones de las
actividades de la organización, proteger los recursos
críticos frente a fallas, ataques o desastres.
1
11. Conformidad:
Evitar el incumplimiento de las leyes y
requerimientos de seguridad.
3
Todos los dominios son importantes, pero cada organización identifica los dominios
aplicables de acuerdo a su situación actual.
Para definir las políticas del Equipo CSIRT – UTPL tomaremos como base el dominio
9: Gestión de Incidentes de Seguridad de la Información (Ver: Anexo 2: Dominio
9), más adelante detallaremos los aspectos principales a tomar en cuenta para la
Elaboración de las Políticas para el CSIRT-UTPL.
Discusión
El personal que forma parte de un equipo CSIRT deben poseer un claro conocimiento
de lo que representa un incidente de seguridad y los diferentes mecanismos de
respuesta y manejo de los mismos, algunos puntos que se deben tomar en cuenta en
el manejo de incidentes son los procesos de triage (clasificación) de la información
CREACION DEL CSIRT - UTPL
66
recibida, estos procesos son definidos de acuerdo a las prioridades establecidas por
el equipo, es importante destacar el uso de metodologías de respuesta a incidentes
ya que garantiza una respuesta basada en un conjunto de pasos no solamente
empíricos sino pasos secuenciales y probados que ayuden a dar una adecuada
respuesta.
El llevar un adecuado registro de incidentes a través de formatos establecidos ayuda a
clasificar los reportes en información critica e información no crítica, la información que
sea concerniente a incidentes y su solución será guardada en repositorios de
información que será utilizada en futuros incidentes, la información obtenida debe ser
clasificada y publicada por el equipo de acuerdo a los medios que se utilicen, ya sea
por internet o boletines impresos.
Implementar la Norma ISO en las organizaciones ayuda a incrementar los niveles de
seguridad en los sistemas de información, se adopta una correcta planificación de la
seguridad y sobretodo una mejora de la imagen de la organización.
El adecuado uso y aplicación de políticas basadas en estándares proporciona guías
para una adecuada repuesta y contribuye al equipo en el cumplimiento de uno de los
requisitos de ingreso al FIRST el mismo que señala que las políticas deben ser
realizadas de acuerdo a la norma ISO, en el caso de la Universidad las políticas del
CSIRT-UTPL serán añadidas al Manual de Políticas de Seguridad existente en la
Universidad, que actualmente se encuentra en proceso de aprobación.
CREACION DEL CSIRT - UTPL
67
4. MODELO ORGANIZACIÓNAL DE UN CSIRT
OBJETIVO
CREACION DEL CSIRT - UTPL
68
Estudiar los diferentes modelos organizacionales de un Equipo de Respuesta a
Incidentes de Seguridad (CSIRT).
El documento [21] publicado por el CERT/CC, hacen referencia a los diferentes tipos
de modelos organizacionales que se deben revisar durante la implementación del
CSIRT, en cada uno de los modelos presentados se realiza primeramente una
descripción del modelo, que comprende la definición, comunidad a la que va dirigido,
servicios que presta y la infraestructura requerida.
Existen cinco modelos organizativos:
Equipo de Seguridad
CSIRT interno Distribuido
CSIRT interno Centralizado
CSIRT Interno Combinado (Centralizado y Distribuido)
CSIRT de Coordinación
En algunos de los modelos se utiliza el término interno porque el CSIRT se ubica en la
organización, centralizado que se encuentra cerca de la organización y distribuido
porque se encuentra ubicado en edificios, ciudades y regiones geográficas lejanas.
4.2. EQUIPO DE SEGURIDAD
Se encarga de la seguridad interna y externa de la organización, manejan problemas
de seguridad y tecnologías como firewalls, antivirus, detección de intrusiones, etc.
Su objetivo principal es configurar, proteger redes y sistemas, detectar anomalías y
de ser necesario dar respuesta a las anomalías identificadas, se realizan actividades
reactivas, la misión principal es que si hay fallas en un sistema buscar inmediatamente
todas las soluciones posibles para que el sistema funcione nuevamente.
Un equipo de Seguridad no se considera como un CSIRT porque no hay personal
establecido que se encargue de manera formal del manejo de incidentes ni de las
acciones que esto conlleva, es decir ser proactivos, estar preparados antes de que un
incidente ocurra y si este ocurre saber qué hacer.
Un equipo de seguridad puede ser implementado en organizaciones como
instituciones de gobierno, instituciones educativas y comercios que tengan una
necesidad de seguridad y esta por lo general comienza con equipos dedicados a la
CREACION DEL CSIRT - UTPL
69
seguridad central con componentes como firewalls, Redes privadas virtuales (VPN),
sistemas de detección de intrusos (IDS) y antivirus.
En este modelo no hay una infraestructura organizacional para el manejo de
incidentes, no se mantienen repositorios de datos sobre incidentes que pueden ser
utilizados por la organización.
Los servicios que brinda un equipo de Seguridad son:
Análisis de incidentes
Respuesta de incidentes en el Lugar
Coordinación de la Respuesta a incidentes
Respuesta a Artifacts y Vulnerabilidades
Configuración y mantenimiento de Herramientas de Seguridad, Aplicaciones e
Infraestructura.
Servicios de Detección de Intrusos
Los servicios adicionales que puede brindar son:
Alertas y peligros
Análisis de Vulnerabilidades y Artifacts
Coordinación de Respuesta de Vulnerabilidades y Artifacts
Desarrollo de Herramientas de Seguridad
Otros Servicios (Servicios Reactivos y Proactivos, anuncios, auditorias de
seguridad, etc.).
El lado negativo de implementar un equipo de seguridad en una empresa en lugar de
un CSIRT es que no se poseen patrones de las diferentes amenazas y por lo tanto no
se puede mitigar esas amenazas, esto se produce por la falta de un manejo
coordinado de los incidentes. Otro aspecto negativo es la presentación de informes
pues no hay una manera ordenada para la presentación, análisis y respuesta de los
mismos debido a que no hay un formato establecido para el registro de esa
información.
4.3. CSIRT INTERNO DISTRIBUIDO
Es interno porque está conformado por personal de la empresa, y distribuido porque el
personal del equipo se encuentra distribuido en todos los sectores geográficamente
separados de la organización.
CREACION DEL CSIRT - UTPL
70
La diferencia fundamental con el de seguridad es que en el equipo interno Distribuido
se encarga del manejo y respuesta de incidentes- de manera más formal, se basa en
el uso de políticas, procesos, procedimientos y establece métodos de comunicación
con otras organizaciones en temas de seguridad.
Este equipo cuenta con una oficina central en la organización a la que llegan todos los
reportes de las diferentes secciones de la misma, está dirigida por el líder del CSRIT
que se encarga también de la asignación y revisión de tareas.
Los miembros del equipo son escogidos de acuerdo a sus habilidades técnicas
relacionadas con el manejo de diferentes plataformas, tecnologías, aplicaciones y
prácticas de seguridad.
El líder o gerente del grupo tiene toda la autoridad para dar respuesta a los incidentes
que se producen, las medidas que se tomen deben contar con la aprobación del líder
del CSIRT y de la gerencia.
Este modelo se implementa en grandes organizaciones que se encuentran distribuidas
a lo largo de una región, en organizaciones gubernamentales e instituciones
educativas que se encuentren dispersas geográficamente.
Para proceder a la estructura e implementación se debe tomar en cuenta el tamaño de
la organización, el número de ubicaciones geográficas en donde funciona la empresa,
número de plataformas y sistemas de apoyo, la experiencia del personal y los
servicios que el CSIRT va a ofrecer.
Algunas de las funciones del un CSIRT Distribuido Interno son:
Ayudar al análisis de incidentes y vulnerabilidades
Fomentar la conciencia entre los miembros de la organización en temas de
seguridad.
Proporcionar una base de conocimientos de todos los sistemas de la empresa
Promover las mejores prácticas de seguridad.
Se puede asignar a cada departamento diferentes tareas, por ejemplo un grupo se
encarga de realizar la manipulación de incidentes en su departamento, otra puede ser
responsable del análisis de vulnerabilidades de un sistema operativo, los miembros
del equipo deben mantenerse en contacto constante a través de comunicaciones
CREACION DEL CSIRT - UTPL
71
seguras, como correo electrónico, reuniones a través de medios virtuales, y también
reuniones en las que todos estén presentes.
Para que este modelo tenga éxito en su implementación debe existir cooperación
entre todos los miembros de los diferentes equipos responsables, el gerente del
CSIRT debe tener un conocimiento claro de todas las actividades que se realizan en
los diferentes grupos, debe existir una comunicación constante, deben existir políticas
y procedimientos claros sobre el manejo de incidentes y vulnerabilidades, y
procedimientos de cómo responder ante los mismos.
Para que la implementación de este modelo sea exitosa se recomiendan algunos
pasos:
Debe existir el compromiso de la Gerencia para apoyar a las actividades del
CSIRT en cada una de las áreas en las que funciona.
El líder del equipo CSIRT debe conocer muy bien cada área del CSIRT para
poder asignar las tareas y acciones que permitan maximizar el éxito del
equipo.
Los miembros del equipo deben tener conocimientos y entender las diferentes
tecnologías.
Establecer políticas y procedimientos claros para el reporte de incidentes y
vulnerabilidades, como manejarlos, notificarlos y procedimientos de resolución
de los mismos.
Garantizar la infraestructura del equipo.
El personal que se sugiere para este modelo es:
Líder del equipo o Administrador del CSIRT
Personal de apoyo Administrativo
Analistas (depende de los servicios ofrecidos, ayudan a levantar estadísticas
de incidentes, datos de IDS, alertas de seguridad y documentos técnicos).
Miembros Distribuidos (Dependiendo del tamaño de la organización).
Personal del Departamento Jurídico, relaciones públicas, comunicaciones.
Expertos Técnicos (Administradores, conocedores de las diferentes
plataformas (Windows, Solaris, etc.)).
CREACION DEL CSIRT - UTPL
72
Los servicios a brindar se definen de acuerdo a la organización, se realiza un análisis
actual del sistema, red y administradores de seguridad de la organización y así poder
definir la situación real de la misma.
Las limitaciones de implementar este grupo es que si es implementado en diferentes
áreas de la organización es un inconveniente para que el CSIRT funcione como un
todo, el estar distribuido puede ocasionar algunos problemas logísticos tales como:
Conflictos al momento de estableces prioridades para los incidentes.
Personal con distintos niveles de experiencia que se reflejen negativamente al
momento de coordinar la información y aplicar los planes de respuesta a
incidentes.
4.4. CSIRT INTERNO CENTRALIZADO
En este tipo de modelo el CSIRT se ubica en la zona céntrica de la organización, se
encarga de las actividades de manipulación de incidentes, son el único punto de
contacto al que se reportan incidentes, vulnerabilidades y código malicioso; se
encargan del reporte análisis y respuesta de todos los incidentes que son reportados
en la organización, realizan el análisis de vulnerabilidades y desempeñan un papel
activo en la difusión de información sobre temas de seguridad, en algunos casos el
personal que trabaja en el grupo es al 100%, es decir solo trabaja para el CSIRT.
Este modelo es utilizado en organizaciones pequeñas, en las que el número de
edificios y sistemas pueden ser manipulados por un grupo CSIRT o por un
departamento de tecnologías de información.
Puede ser aplicado también en organizaciones grandes, pero la desventaja de aplicar
este tipo de equipo en una empresa es cuando se debe definir la autoridad del CSIRT,
y al existir varios grupos en diferentes sitios no se puede definir una sola autoridad.
El personal que forma parte del equipo debe estar compuesto por personal de
experiencia en las diferentes plataformas, si esto no es posible se puede trabajar en
estrecha colaboración con el equipo encargado de estas actividades.
Las actividades del CSIRT son controladas por un líder del equipo, quien también es
el encargado de representar al equipo en las juntas con los Directivos de la
organización.
CREACION DEL CSIRT - UTPL
73
Algunos de los servicios de este tipo de CSIRT es el de mantener un portal Web en el
que se proporciona información a la organización, puede estar compuesto de varias
secciones tales como: Preguntas frecuentes (FAQ), información de seguridad,
boletines, políticas, etc.
El modelo Centralizado proporciona a la organización:
Llevar una gestión proactiva, que permita proporcionar una visión más amplia
de las amenazas a las que puede estar expuesta la organización.
Una estructura estable para la construcción de un CSIRT y así lograr que los
incidentes sean manejables y previsibles.
En este modelo es muy importante la orientación al personal en temas de seguridad,
que cada miembro del equipo tenga bien entendido cuáles son las funciones que debe
realizar.
Debe tomar en cuenta métodos de clasificación de incidentes (triage), es importante
que todos lo que conforman la organización entiendan la importancia de reportar
ataques, virus y actividades anormales en los sistemas que manejan, todos deben
comprender y aplicar también todas las políticas y procedimientos de seguridad.
El personal del equipo debe dedicar el 100% de tiempo al trabajo del CSIRT y puede
estar conformado por:
Director o líder del equipo
Personal de apoyo administrativo
Personal Técnico (que depende del tamaño de la organización, recursos
disponibles, servicios que ofrece, se debe tomar en cuenta la cobertura que se
va a realizar es de 24*7*36520, pueden ser de 2 a 4 técnicos dependiendo de la
anteriormente indicado.
Administrador de Sistemas: provee apoyo en la infraestructura del equipo
CSIRT, esta puede ser una posición compartida con otro departamento.
Personal para el triage y hotline.
Desarrolladores Web
Recursos Humanos
20
24*7*365 : La cobertura que va a dar el CSIRT, las 24 horas del día, los siete días a la
semana, los 365 días del año.
CREACION DEL CSIRT - UTPL
74
Asistencia Legal
Investigadores
Expertos Técnicos (expertos en diferentes plataformas )
Los servicios se definen de acuerdo a la estructura y situación de la organización de
acuerdo a la clasificación indicada en la fase I.
Las limitaciones de este modelo es que si la organización es demasiado grande, con
diferentes sucursales, manejo de diversas plataformas, puede existir dificultades para
el manejo de los incidentes.
4.5. CSIRT INTERNO COMBINADO (CENTRALIZADO Y DISTRIBUIDO)
Este modelo corresponde a la unión de los equipos centralizado (proporciona alto nivel
de análisis y estrategias de mitigación, brinda apoyo a los miembros del equipo en la
respuesta a incidentes, vulnerabilidades y artifact) y distribuido (proporciona
conocimientos técnicos a cada una de las áreas de las que el grupo es responsable).
Este modelo funciona para las grandes organizaciones distribuidas físicamente, el
implementarlo en una organización pequeña no es necesario, en este caso se
recomienda implementar un modelo centralizado.
Este modelo maximiza la utilización del personal existente en lugares estratégicos de
la organización, junto a un centro de coordinación el equipo se dedica a brindar
respuestas a informes de todas las actividades anormales, participan en la respuesta
de incidentes, vulnerabilidades y artifacts, realizan evaluaciones de seguridad y
difunden información acerca de las mejores prácticas de seguridad que se deben
seguir en la organización, apoya a la organización en la gestión y asignación de
recursos en etapas de crisis.
El modelo ofrece un servicio centralizado que puede recopilar información de varias
organizaciones diferentes y la difunde a través de la empresa.
En lo referente a la estructura organizacional existen muchas alternativas que se
pueden tomar en cuenta:
Poseer un equipo centralizado que se encargue de las funciones de triage y
del análisis, y trabajar en equipo para aplicar las medidas de respuesta o
procedimientos en sus áreas específicas.
CREACION DEL CSIRT - UTPL
75
El equipo centralizado solamente recibe informes de incidentes y
posteriormente asigna el análisis y la respuesta a los miembros del equipo
distribuido basados en la ubicación geográfica.
Para la comunicación entre grupos se deben establecer mecanismos de comunicación
segura, como correo electrónico, intranet segura, etc.
En el modelo Centralizado – Distribuido el triage se realiza a través de dos estructuras
diferentes:
1. Todos los informes y solicitudes que ingresan a la oficina del CSIRT central,
se clasifican, ordenan y se establece una prioridad en la oficina central.
2. Los informes que se reciben en los equipos distribuidos, se realiza el triage en
cada oficina y los reportes o solicitudes que no pueden ser manipulados se
envían a la oficina central.
En ambos casos el equipo centralizado realiza un seguimiento de todos los informes,
tanto de las áreas distribuidas y centralizadas.
El personal que conforma este tipo de equipos es el siguiente:
Equipo Centralizado
Un administrador
Personal de apoyo administrativo y técnico
Personal de HelpDesk que se puede encargar también de actividades de
triage.
Equipo Distribuido
Personal distribuido en las áreas de la empresa
Redactores Técnicos
Instructores
Expertos Técnicos
El número de personal se determina de acuerdo al tamaño de la organización.
El modelo Centralizado - Distribuido proporciona a la organización un mecanismo
claro para la gestión proactiva, proporciona una visión más amplia de las diferentes
amenazas de seguridad que pueden ocurrir.
CREACION DEL CSIRT - UTPL
76
Las principales dificultades de este modelo es la implementación del equipo a través
de un área geográfica separada, que el personal trabaje de manera eficaz, la
aplicación de un mecanismo de retroalimentación, como se trabaja en áreas dispersas
pueden existir dificultades en cuanto a las políticas, leyes y zonas horarias.
4.6. CSIRT DE COORDINACIÓN
El modelo CSIRT de Coordinación se encarga de coordinar y facilitar el manejo de
incidentes en organizaciones tanto a nivel interno y externo, las diferentes actividades
también incluyen otros equipos CSIRT.
El objetivo principal de este tipo de CSIRT es la coordinación de las actividades
relacionadas con el manejo de incidentes y vulnerabilidades de diferentes
comunidades (Contituency), este tipo de equipos facilitan el intercambio de
información, técnica, herramientas y todo lo que proporcione ayuda estratégica para
una oportuna y adecuada respuesta a incidentes.
Un equipo de coordinación tiene alcances muy amplios, presta un conjunto muy
variado de servicios que ayudan a organizaciones que se dedican al manejo de
incidentes, por lo general este modelo no tiene autoridad sobre los miembros de la
comunidad a la que prestan servicios.
Un ejemplo de CSIRT de coordinación son: CERT/CC que es un equipo que dan
soporte a toda la comunidad de internet, no ejercen ninguna autoridad pero brindan
reportes y diversa información acerca de la atención a incidentes, otro grupo similar en
el JPCERT/CC que da soporte en la atención y respuesta a incidentes a todo un País,
esto incluye todos los CSIRTs de ese país.
La estructura organizacional de este modelo se resume en un Líder y una ubicación
central, comprende personal de experiencia en diferentes plataformas, personal para
triage y personal administrativo.
Las funciones principales de un CSIRT de coordinación es actuar de manera eficiente
y suministrar alertas, capacitación, políticas y procedimientos documentados para una
adecuada respuesta de incidentes a todas las organizaciones que componen la
comunidad.
Las principales limitaciones de este tipo de equipos son trabajar en una zona
geográfica con múltiples zonas horarias, a veces puede incluir diferencias en el
idioma, cultura, leyes, etc., esto puede dificultar la prestación adecuada de servicios.
CREACION DEL CSIRT - UTPL
77
Otro tipo de dificultad es que a veces las recomendaciones que brinda el CERT/CC a
determinada comunidad pueden no ser aplicadas en su totalidad porque el CERT/CC
no tiene autoridad sobre dicha comunidad.
Es importante cuidar mucho la trayectoria de servicios del CSIRT, deben ser un
equipo muy confiable.
Las fortalezas y debilidades de cada modelo organizacional presentado, se indican a
continuación:
CREACION DEL CSIRT - UTPL
78
FORTALEZAS Y DEBILIDADES DE LOS MODELOS ORGANIZACIONALES DE UN CSIRT
Modelo organizacional Fortalezas Debilidades
Equipo de Seguridad
Funciona en organizaciones en las que lo
más importante es proteger las redes y
sistemas de la organización.
No se llevan registros de las
vulnerabilidades encontradas ni de las
soluciones que se han dado para las
mismas.
Al momento de dar solución a alguna
amenaza en los sistemas solamente se
da solución al equipo que fallo y no se
toma en cuenta que existen otros equipos
o áreas que pueden estar expuestos al
mismo error.
No hay procesos formales para el manejo
de incidentes, no se toman medidas
preventivas.
Equipo Distribuido Interno
Existe una oficina central en la que se
lleva a cabo los servicios del CSIRT.
Existe personal capacitado que se
encarga de coordinar la notificación de
incidentes a la organización.
El personal que conforma el equipo
puede no ser parte del equipo a tiempo
completo.
Mantener comunicaciones oportunas a
través de grandes zonas geográficas
CREACION DEL CSIRT - UTPL
79
Se mantiene repositorios de los datos de
incidentes.
Con una buena organización del equipo
se pueden desarrollar políticas, prácticas
y procedimientos para el manejo de
incidentes.
puede resultar difícil.
Equipo Centralizado Interno
Este modelo permite mantener una
infraestructura que se dedica al manejo
de incidentes.
Proporciona personal capacitado para la
respuesta a incidentes.
Mantiene un repositorio de
vulnerabilidades e incidentes atendidos.
Si este modelo es implementado en
zonas separadas geográficamente,
pueden existir dificultades para la
coordinación de actividades.
Un equipo CSIRT se encarga de la
seguridad de la organización, pero
existirán algunas unidades operativas que
presumirán que el CSIRT se encargará
de todos los eventos de seguridad, y ellos
no se preocuparán de estos temas.
Dificultades para obtener financiamiento.
El equipo podrá no contar con el personal
necesario para las diferentes actividades.
Equipo Combinado
(Centralizado - Distribuido)
Proporciona un CSIRT compuesto de
profesionales y una red de unidades
operativas.
Dificultar para coordinar todas las
divisiones geográficas de la empresa.
Equipo centralizado puede parecer
CREACION DEL CSIRT - UTPL
80
Los miembros del equipo distribuido
proporcionan apoyo al equipo
centralizado en lo relacionado con los
sistemas locales.
El equipo que conforma el área
centralizada sintetiza la información para
poder realizar un análisis y brindar
respuestas a la organización.
Se mantienen repositorios de incidentes,
vulnerabilidades y artifacts.
aislado de la organización.
Dificultad para obtener presupuesto para
implementar cada área de la empresa
que forma parte del CSIRT.
Puede existir retraso en el envío de
información y de respuestas puesto que
existen áreas que son geográficamente
distantes.
Centro de Coordinación
Proporciona un equipo de profesionales
que se encargan de la coordinación y de
proporcionar estabilidad y experiencia en
el manejo de incidentes.
Proporciona un punto estable para la
coordinación de tareas.
Existe un punto central para el análisis de
información y determinar pautas para
toda la comunidad.
Es difícil coordinar actividades con todas
las comunidades que se encuentran
dispersas.
Es difícil asegurar que todas las
entidades dentro de la organización a la
que se presta servicios respondan a
informes de incidentes y
recomendaciones.
No se puede asegurar que las alertas de
seguridad y anuncios se distribuyan a las
organizaciones.
CREACION DEL CSIRT - UTPL
81
Discusión
El esquema organizacional es un punto importante que debe tomarse en cuenta
durante la fase de creación de un Equipo de Respuesta a Incidentes, todos los
modelos excepto el modelo de Equipo de Seguridad, son alternativas para ser
tomadas en cuenta en el proceso de creación de un CSIRT, cada modelo presenta
alternativas para la elección de servicios y personal que se deben tomar en cuenta.
EL modelo de Seguridad es el modelo que actualmente se encuentra implementado
en la UTPL, a través del Grupo de Seguridad (www.utpl.edu.ec/seguridad), se maneja
un portal web en el que constantemente se realiza la publicación de varios boletines
sobre notas de seguridad, e información de los diferentes proyectos que están siendo
realizados por docentes investigadores, tesistas y estudiantes de gestión productiva,
parte de las tareas del grupo de Seguridad –UTPL incluyen el analizar las diferentes
iniciativas de seguridad, planificación de eventos académicos, proyectos de
investigación, etc.
A pesar de que se cuenta con un Equipo de Seguridad no se ha implementado
actividades de atención y respuesta a incidentes de manera formal, como se ha dicho
anteriormente se realizan actividades de atención de incidentes de manera reactiva.
El modelo organizacional que se sugiere implementar en el Equipo CSIRT - UTPL, es
el modelo Centralizado Interno, inicialmente los servicios que brinde estarán dirigidos
principalmente a los funcionarios que laboran en el campus de la UTPL,
posteriormente el modelo a implementar será el Interno Distribuido por cuanto se
incluirá a los centros regionales a nivel de todo el país incluyendo también los centros
asociados.
CREACION DEL CSIRT - UTPL
82
CREACION DEL CSIRT - UTPL
83
5. PASOS PARA LA CREACIÓN DE UN CSIRT
OBJETIVO
Estudiar los diferentes documentos publicados sobre la creación de CSIRTs
que nos permitirá avanzar con la creación del CSIRT-UTPL.
Antes de detallar los pasos que se han propuesto en algunos documentos para la
creación de CSIRT primero se definirán los elementos que se debe tomar en cuenta
para implementar un CSIRT.
Para implementar un CSIRT, se deben responder a algunas interrogantes como:
¿Qué tipo de Estructura Organizativa se va a implementar para el CSIRT?
¿Qué tipo de CSIRT se va a implementar y los servicios va a ofrecer?
¿En qué lugar va a estar ubicado el CSIRT dentro de la organización?
No existe una manera definida que indique cómo crear un CSIRT, pero de acuerdo a
la experiencia de otros equipos la implementación depende del tipo de organización,
existen algunos documentos que presentan varias pautas que se deben tomar en
cuenta para lograr implementar de manera exitosa un CSIRT.
Algunos de los documentos publicados son:
Creating a Computer Security Incident Response Team: A process for
Getting Started [21] . - Documento publicado por el CERT/CC y el Instituto de
Software de la Universidad de Carnegie Mellon, hace referencia a ocho pasos
básicos de alto nivel que se deben tomar en cuenta al momento de diseñar un
CISRT.
Los pasos que se citan en este documento tienen como objetivo obtener
apoyo financiero de la organización, determinar el plan estratégico para definir
cómo va a funcionar el CSIRT, obtener toda la información relevante de la
organización y buscar la manera de hacer conocer la visión, servicios y
objetivos del CSIRT a otros equipos.
RFC 2350 Expectations for Computer Security Incident Response [22]. -
Documento que describe un conjunto de temas que se deben tomar en cuenta
CREACION DEL CSIRT - UTPL
84
para formar un CSIRT. Este documento detalla algunos de los servicios que
brinda un CSIRT uno relacionado con la respuesta y el soporte a incidentes,
con toda la información que se obtiene de la organización se levanta un
documento que proporciona toda la información del equipo como el nombre,
comunidad a la que está dirigido, el tipo de servicios que brinda, como reportar
incidentes al equipo, etc., este documento es enviado a los demás equipos
para dar a conocer el CSIRT que se ha creado en la organización.
Para la Creación del Equipo CSIRT – UTPL se estudiará el documento Creating a
Computer Security Incident Response Team: A process for Getting Started,
El RFC 2350 será utilizado para realizar la publicación del documento de presentación
del equipo CSIRT-UTPL.
5.1. CREATING A COMPUTER SECURITY INCIDENT RESPONSE TEAM:
A PROCESS FOR GETTING STARTED – CERT/CC
Los pasos que este documento describe y propone son:
Obtener el Apoyo de la Organización para la planificación e implantación del
CSIRT.
Determinar el plan estratégico del CSIRT.
Obtener Información Relevante.
Diseñar la Visión del CSIRT.
Comunicar la Visión y el Plan Operativo del CSIRT.
Comenzar la implementación del CSIRT
Anunciar que el CSIRT está en Funcionamiento.
Evaluar la Efectividad del CSIRT.
5.1.1. Obtener Apoyo de la Organización para la planificación e Implantación
del CSIRT.
Es importante contar con el apoyo de la gerencia tanto para la planificación y puesta
en marcha del CSIRT, el mismo que viene dado en la previsión de recursos y soporte
económico,.
5.1.2. Determinar el Plan Estratégico del CSIRT
CREACION DEL CSIRT - UTPL
85
Consiste en detallar todas las acciones que se llevaran a cabo para el cumplimiento
de las actividades de implementación del CSIRT, se toman en cuenta cuestiones
administrativas y de gestión del proyecto. Algunas de las actividades que consideran
son:
Definir un plazo de tiempo para el funcionamiento del CSIRT.
Que personas formarán parte del Equipo, (Administradores de sistemas,
responsables de redes y sistemas, recursos humanos, representantes del
departamento legal, etc.)
Que hacer para que la organización y otros equipos tengan conocimiento del
CSIRT, que servicios brinda, esto se puede a través de comunicados, etc.
5.1.3. Obtener Información Relevante
Consiste en identificar qué información se necesita para saber cómo implementar un
CSIRT, realizar entrevistas y reunirse con los interesados para discutir sobre las
expectativas sobre qué es y que hace un CSIRT. Las personas con las que se puede
mantener entrevistas pueden ser los gerentes de la organización, los representantes
del grupo de tecnologías de Información, departamento legal, y todas las personas
involucradas en la implementación del CSIRT.
Algunos recursos para la recolección de información son.
Organigramas y funciones específicas que se realizan en la organización.
Planes existentes de recuperación de desastres y continuidad del negocio.
Instrucciones existentes para notificar a la organización sobre el
incumplimiento de alguna política para la seguridad física.
Planes de respuesta a incidentes.
Políticas internas en la organización, y procedimientos de seguridad
existentes.
Recabar toda esta información proporciona una visión general de las políticas
existentes a las cuáles se puede incrementar las políticas del CSIRT, conocer los
aspectos críticos que se debe proteger, conocer también los problemas de seguridad
existentes, adicionalmente se puede investigar sobre otros equipos CSIRT a nivel
mundial. Si es posible se puede mantener contacto con ellos y conversar sobre cómo
se formó el equipo, es recomendable revisar los sitios web de otros equipos y así
revisar su estructura, su misión, objetivos, etc.
CREACION DEL CSIRT - UTPL
86
5.1.4. Diseñar la visión del CSIRT
Para diseñar la visión del CSIRT es importante que se haya revisado toda la
información de la organización, mientras se estudia toda la información se puede ir
estableciendo las metas, funciones y objetivos que se quiere alcanzar. En esta fase se
pueden también presentar nuevos requerimientos de información adicional, etc.
Para diseñar la visión del CSIRT se debe responder a algunas interrogantes como:
Qué Hacer, Para Quién, En qué entorno y en cooperación con Qué, todas estas
interrogantes resumen lo que constituye el plantearse la visión del CSIRT, que está
definida por los siguientes aspectos:
Misión del Equipo
Contituency21
Lugar en la organización
Relación con otros equipos
5.1.4.1. Misión del Equipo
En toda organización es importante definir una misión, sin esta sería imposible saber a
dónde quiere llegar. La misión consiste en proponerse metas altas, objetivos bien
definidos y conocer cuáles son los propósitos del equipo.
Figura 12: Estructura de la Misión de un CSIRT
21
Contituency: Comunidad a la que van dirigidos los servicios de un CSIRT
CREACION DEL CSIRT - UTPL
87
Como se aprecia en la figura de la Misión de un Equipo se derivan tres aspectos
esenciales: servicios, políticas y calidad, cada uno de estos puntos ayudan a cumplir el
propósito de la misión.
Servicios.- Son todos los métodos que se utilizan para llevar a cabo la misión
del equipo y de acuerdo a la clasificación de los mismos (Reactivos, Proactivos
y Servicios de Gestión de Calidad de la seguridad), son los que se brindan a la
organización de acuerdo a su situación actual.
Políticas.- Son los principios que rigen el funcionamiento del equipo y que son
aprobados por el equipo y por la organización. Las políticas deben ser
aplicables, claramente establecidas y comprendidas por todos los miembros de
la organización.
Procedimientos.- Son el detalle de cómo un equipo difunde las actividades que
realiza, los mismos que son basados en las políticas establecidas.
Calidad.- La calidad está basada en estándares, estos deben ser aplicados en
todas las actividades que realiza el CSIRT, comenzando por la misión, políticas,
servicios y procedimientos.
La misión del equipo no debe ser ambigua debe estar compuesta máxima de tres o
cuatro frases, puede servir de ayuda el revisar la misión de otros equipos CSIRT, por
ejemplo la misión del CLCERT (CERT de Chile) es:
“El CLCERT tiene como misión monitorear y analizar los problemas de seguridad de
los sistemas computacionales en Chile, y reducir la cantidad de incidentes de
seguridad perpetrados desde y hacia éstos.
Para ello, CLCERT se constituye como un punto nacional de encuentro, contacto y
coordinación entre instituciones y personas relacionadas del medio local.” [24]
5.1.4.2. Contituency
La Contituency comprende la comunidad a la que el CSIRT va a brindar sus servicios,
puede definirse de cualquier manera, puede orientarse solamente a los empleados de
la empresa, a usuarios de un determinado sistema operativo, etc., adicionalmente a
más de establecer los servicios que se va brindar se debe establecer cómo el CSIRT
se va a relacionar con la comunidad, esto se define de acuerdo a los siguientes
aspectos
CREACION DEL CSIRT - UTPL
88
Autoridad Completa.- Brinda servicios completos a la comunidad, si existe
alguna emergencia el CSIRT tiene toda la autoridad de tomar decisiones y
emprender las acciones que sean necesarias para resolverlo.
Autoridad Compartida.- Asesora a la comunidad y participa en la toma de
decisiones, ayuda a la coordinación y respuesta de incidentes. No
necesariamente se hace todo lo que sugiere el CSIRT.
Ninguna.- No tiene autoridad sobre la comunidad, sólo actúan como asesores.
Luego de definir estos aspectos se procede a dar a conocer a la comunidad el CSIRT
mediante comunicados, listas de correo, etc.
5.1.4.3. Lugar en la Organización
Luego de que se ha definido la misión del equipo y la comunidad a la que va a brindar
servicios, se procede a definir la estructura y modelo organizacional del CSIRT, la
estructura organizacional comprende el lugar que ocupará el CSIRT en el organigrama
de la organización, el modelo organizacional comprende la selección del modelo que
se adapta mejor a la organización, los mismos que se analizaron en el capítulo
anterior.
5.1.4.4. Relación con otros Equipos.
Brindar cooperación y establecer contactos con otros equipos, los CSIRT no pueden
trabajar solos, es importante la comunicación con otros equipos, independientemente
de los servicios que brindan y la comunidad a la que van dirigidos es importante que
se mantenga un contacto para compartir información, ya que el éxito de un CSIRT
está en hacerse conocer con otros equipos.
5.1.5. Comunicar la Visión y el Plan Operativo del CSIRT
Consiste en comunicar a toda la organización y a personas externas la visión y los
planes del CSIRT. Esto ayuda a que la información sea revisada, y en base a las
sugerencias recibidas realizar cambios en la forma de implementación, de recabar
información que se pasó por alto y así realizar ajustes en la estructura de un CSIRT.
5.1.6. Comenzar la Implementación del CSIRT
En esta etapa se debe comenzar con:
CREACION DEL CSIRT - UTPL
89
Contratación y capacitación del Personal, en este apartado se debe tomar en
cuenta si el personal que va a trabajar se ajusta a los servicios que brindará el
CSIRT o los servicios del CSIRT deben adaptarse al personal.
Comprar equipo y ver la infraestructura de red, es importante porque el equipo
CSIRT debe tener acceso a equipo básico de computo para desarrolla sus
funciones, la infraestructura para el funcionamiento del CSIRT debe ser un
lugar seguro físicamente en donde se puedan realizar reuniones con el equipo,
que posea un área de oficina y sobre todo que sea un área restringida por el
tipo de información que se maneja, aparte de tomar en cuenta las normas de
seguridad para el espacio físico se debe tomar en cuenta también normas para
el uso de los equipos, usar herramientas de seguridad como antivirus, firewalls,
programas anti espías, etc.
Establecer el tipo de servicios que va a brindar el CSIRT, que son servicios
reactivos, proactivos, de valor añadido, siempre tomando en cuenta que un
CSIRT brinda servicios relacionados con el manejo de incidentes.
Desarrollar políticas y procedimientos iniciales del CSIRT para respaldar sus
servicios. En la elaboración de las políticas se debe explicar el tipo de
incidentes, el soporte y el apoyo que se va a brindar a la comunidad, se debe
incluir la forma en cómo se va a comunicar la información y la cooperación que
se va a tener con otros equipos, la interacción que tiene un equipo con otros es
importante, por ejemplo si en una universidad existe un CSIRT este puede
relacionarse con el CISRT nacional de su país para mantener comunicación
con respecto a incidentes y este a su vez con un CSIRT de otra organización,
para compartir informes de incidentes a gran escala.
Desarrollar formularios para la información de incidentes, estos incluyen
información que describe el mecanismo de enviar los informes, este puede ser
por teléfono, correo electrónico, enviando un formulario web u otro
mecanismos. El procedo para informar un incidente incluye una descripción
detallada de los mecanismos para presentar los informes, indicando además la
existencia de llaves PGP cuando se realiza el envío de información mediante
correo electrónico.
5.1.7. Anunciar que el CSIRT está en funcionamiento.
CREACION DEL CSIRT - UTPL
90
En los anuncios de información debe incluir información de contacto; horarios de
funcionamiento del CSIRT, formularios para reportar incidentes, misión y objetivos del
equipo.
Para anunciar que el CSIRT está en funcionamiento se realizará la publicación de toda
la información referente al CSIRT basados en la norma RFC 2350, y que debe ser
recibida por la comunidad a la que se va a brindar servicios.
5.1.8. Evaluar la Efectividad del CSIRT
Es necesario evaluar si el equipo está cumpliendo con los objetivos por los cuáles fue
creado, algunas maneras de realizar la evaluación son:
Puntos de referencia para comparación con otros CSIRTs
A través de encuestas para los miembros de la organización, etc.
Aprender de la experiencia de otros CSIRTs
Antes de implementar el CSIRT es bueno tener documentación sobre los incidentes
que se reportan para luego con la implementación del CSIRT realizar una
comparación y demostrar el buen funcionamiento del CSIRT a través de la:
Información de la cantidad de Incidentes Reportados
El tiempo de respuesta o la vigencia de un incidente
Número de incidentes resueltos exitosamente.
Técnicas de prevención y prácticas de seguridad establecidas.
Aplicados todos estos pasos para la creación de un CSIRT es necesario tomar en
cuenta un punto importante que es el del financiamiento del equipo, el costo para
implementar un CSIRT varía dependiendo de los recursos, servicios, el tipo de
estructura del CSIRT, etc., inicialmente los CSIRTs cuentan con el apoyo de la
gerencia de la organización en la que va a ser implementado, pero luego de acuerdo a
como va pasando el tiempo es necesario ver otras formas de financiamiento, algunas
estrategias que se pueden aplicar son:
Ofrecer servicios con el pago de honorarios base.
Buscar patrocinio gubernamental, académico o de investigación.
Brindar capacitaciones, cursos de entrenamiento en seguridad de información,
etc.
CREACION DEL CSIRT - UTPL
91
5.2. ESTRUCTURA DEL DOCUMENTO RFC 2350
En esta apartado vamos a hacer referencia al documento RFC 2350, de acuerdo a
este documento se debe realizar la publicación de toda la información referente al
CSIRT y que debe ser recibida por la comunidad a la que se va a brindar servicios, el
documento presenta la siguiente estructura:
1. Información del Documento
1.1 Fecha de la última actualización
1.2 Listas de Distribución
1.3 Ubicación del documento
2. Información de contacto
2.1 Nombre del Equipo
2.2 Dirección
2.3 Zona horaria
2.4 Número de teléfono
2.5 Número de Fax
2.6 Otras Comunicaciones
2.7 Dirección de Correo Electrónico
2.8 Llaves públicas y encriptación de la información.
2.9 Miembros del Equipo
2.10 Horario Local
2.11 Puntos de Contacto para los clientes
3. Constitución
3.1 misión
3.2 Comunidad a la que va dirigido
3.3 Patrocinio / Afiliación
3.4 Autoridad
4. Políticas
4.1 Tipo de incidentes nivel de soporte
4.2 Cooperación, interacción y divulgación de la Información.
4.3 Comunicación y Autenticación
5. Servicios
5.1 Respuesta a Incidentes
CREACION DEL CSIRT - UTPL
92
5.1.1. Función Triage
5.1.2. Coordinación del incidente
5.1.3. Resolución del Incidente
5.2 Actividades Proactivas
6. Formulario para reportar incidentes
7. Disclaimer22
De manera general la información que se publica consiste en lo siguiente.
1. Información del Documento
Cuando se va a presentar el documento este debe incluir la fecha de las
últimas actualizaciones que se realizan al documento, incluye listas de
notificación de cualquier cambio que se realiza y de envío de información
actualizada a todas las personas que se encuentran en una lista de correo
específica del CSIRT finalmente se indica la dirección electrónica en donde se
puede encontrar el documento, para que este puede ser accesible en línea.
2. Información de Contacto
Hace referencia a los principales datos de la organización, tales como nombre
del equipo, dirección, número de teléfono, fax, dirección de correo electrónico,
la lista de nombres de los miembros que conforman el equipo, horarios de
atención, puntos de contacto, zona horaria y llaves públicas para encriptar la
información.
3. Constitución
Información acerca de la misión, la comunidad a la que van dirigidos los
servicios que presta, quien patrocina y auspicia al equipo y bajo que autoridad
se encuentran.
4. Políticas
22 Disclaimer: descargo de responsabilidad; nota; aclaración; advertencia; cláusula de
protección; cláusula de renuncia.
CREACION DEL CSIRT - UTPL
93
La definición de políticas en un CSIRT es muy importante, de estas depende el
buen funcionamiento del equipo, estas deben ser comunicadas a toda la
comunidad a la que el CSIRT brinda servicios.
Es importante tomar en cuenta en las políticas los métodos de comunicación
segura que se implementará, debe incluir claves públicas PGP u otros
mecanismos existentes.
5. Servicios
Los servicios que ofrece un CSIRT van de acuerdo a cómo se va a responder
a incidentes y las actividades proactivas que se van a implementar.
La respuesta a incidentes incluye algunas funciones como la evaluación de los
informes de incidentes y el seguimiento de los mismos, la coordinación de
incidentes y la notificación de incidentes y políticas a otros involucrados,
finalmente se considera la resolución de incidentes que consiste en brindar
asistencia total sobre cómo eliminar un incidente, la explotación de estas
vulnerabilidades y el estudio de los efectos que estas pueden causar, brinda
ayuda en la recuperación de los sistemas afectados.
Las actividades proactivas estudiadas anteriormente incluyen herramientas de
seguridad, la capacitación en la resolución de incidentes, etc.
6. Formulario para Reportar Incidentes
Es importante mantener un formulario para el reporte de incidentes, este
formulario contiene toda la información importante sobre los incidentes que se
han encontrado para poder hacer frente a los mismos de manera oportuna, y
prevenirlos en otros equipos.
El CERT/CC en uno de sus artículos publica una guía para Reportar Incidentes
[25], el objetivo de este documento es sugerir algunos pasos que se pueden
seguir para reportar incidentes.
Varios puntos que se deben tomar en cuenta son:
El tipo de actividad que puede reportar: en el informe se debe incluir
que tipo de incidentes los usuarios pueden reportar algunos incidentes
pueden ser: Acceso no autorizado a los sistemas, el uso no autorizado
de sistemas, cambios en el hardware o software, entre otros.
La Prioridad que se da a los incidentes: Existen ocasiones en las que
se incrementa el número de reportes de incidentes, para estos casos se
CREACION DEL CSIRT - UTPL
94
debe dar prioridad a los más urgentes, los reportes que pueden ser
considerados emergencias pueden ser: Ataque a la red de internet
entre estos Servidores de nombre de dominio, Puntos de acceso de
red, ataques a sitios de internet, etc., todo esto de acuerdo a los
servicios que brinda el equipo.
Es importante realizar reportes de vulnerabilidades porque de esa
manera se recibe ayudas técnicas por parte de otros CSIRTs, a través
de esta información se puede establecer contacto con otros equipos, es
importante tomar en cuenta que la relación con otros CSIRTs puede ser
de dos formas, ya sea trabajando de manera conjunta y así compartir
información, o simplemente mantener un contacto para que brinden
asesoramiento o información
Si se envía la información por correo electrónico la información se envía
utilizando métodos para asegurar la seguridad de la información
utilizando algoritmos de encriptación, tales como:
o Una llave pública PGP (Pretty Good Privacy), es una llave que
provee privacidad de la información que es enviada por la
organización y verifica la autenticación de los mensajes que son
enviados por el CSIRT.
o Otro método que se utiliza es el DES (Data encryption Standard)
permite establecer un canal de comunicación segura para el
intercambio de mensajes, esto se realiza mediante una llamada
telefónica.
7. Disclaimer
Es importante incluir cláusulas de renuncia de responsabilidades, existen
casos en los que realiza la traducción de documentos de otro idioma, esta
traducción debe llevar una cláusula de extensión de responsabilidad y un
enlace a la versión original del documento.
CREACION DEL CSIRT - UTPL
95
Discusión
Existen varios documentos que describen los pasos sugeridos para la creación de
CSIRTs, el número de pasos en otros documentos en menor, pero el resultado es el
mismo, con la ejecución de estos pasos se logra definir la misión, servicios, estructura
organizacional, comunidad a la que brinda servicios y el nivel de autoridad que va a
ejercer, la ejecución de cada uno de los pasos no cambia, lo que cambia es el tipo de
organización en el que es aplicado y por ende la información que maneja cada una.
En el transcurso del proceso de creación del CSIRT puede darse el caso que sea
necesario volver a revisar los pasos anteriores e incluir información que se pasó por
alto y que debe ser tomada en cuenta, una vez redactada la visión del equipo es
recomendable que se la presente a los miembros de la organización para su revisión y
aprobación, inicialmente se redactará una misión limitada, pero de acuerdo al avance
del equipo esta irá cambiando al igual que los servicios que brinde el Equipo.
Para algunas organizaciones el concepto de los Equipos CSIRT es nuevo, en la
mayoría de sectores se posee grupos de seguridad que se encargan de brindar
atención a incidentes, y otras actividades relacionadas a la seguridad de los sistemas,
pero como se había indicado anteriormente en un CSIRT se realizan actividades más
formales de atención a incidentes, es decir actividades proactivas y no solamente de
respuesta, sino que se preparan y están alertas para dar soluciones.
CREACION DEL CSIRT - UTPL
96
CREACION DEL CSIRT - UTPL
97
6. CREACIÓN DEL CSIRT – UTPL
Estudiada toda la información necesaria sobre los Equipos de Respuesta a Incidentes
la fase de creación del CSIRT-UTPL tomará como base los ocho pasos explicados
anteriormente, el primer paso a realizar consiste en realizar la propuesta de creación
del Equipo CSRIT-UTPL, luego se seguirá con los pasos que se indican a
continuación:
Plan estratégico de actividades.
Recolección de información Relevante de la UTPL.
Diseño de la Visión del CSIRT – UTPL
Comunicar la Visión y el Plan Operativo del CSIRT
Implementación del CSIRT – UTPL
Anunciar y Comenzar la operación del CSIRT - UTPL
Evaluar la efectividad del CSIRT – UTPL
6.1. PROPUESTA DE CREACIÓN DEL CSIRT-UTPL
Propuesta presentada como proyecto de Tesis, el mismo que fue aprobado por el Ing.
Nelson Piedra, Director de la Escuela de Ciencias de la Computación de la UTPL. (Ver
Anexo 2: Proyecto de Tesis)
6.2. PLAN ESTRATEGICO
Se ha realizado el plan estratégico con la finalidad de establecer las actividades que
se tomarán en cuenta para la creación de equipo, con cada una de las actividades que
se han planificado se pretende alcanzar varios objetivos, cada uno los cuáles será un
paso para alcanzar el objetivo final, definir los pasos de creación del CSIRT – UTPL.
Las primeras actividades tomadas en cuenta son relacionadas con el estudio teórico
de los conceptos fundamentales de los Equipos de Respuesta a Incidentes, se toma
en cuenta el análisis de los diferentes equipos CSIRT a nivel mundial, una vez
manejados los conceptos fundamentales se realizarán las siguientes actividades:
PLAN DE ACTIVIDADES
CREACION DEL CSIRT - UTPL
98
Aplicar encuestas a los Administradores de Servidores para conocer la
situación actual de los sistemas de la universidad.
Tarea que tiene como objetivo conocer el tipo de incidentes que se reportan con
mayor frecuencia en la UTPL y saber a quién se reportan.
La aplicación de encuestas servirá para poder definir los diferentes servicios que el
CSIRT-UTPL brindará al personal de la Universidad.
El formato de las encuestas aplicadas se encuentra en el Anexo 3: Formato de
Encuestas.
Redactar la visión del CSIRT
El objetivo de esta fase es la de formular la visión del CSIRT en este documento
se redactará la misión del equipo, la comunidad a la que va a brindar servicios, el
modelo organizacional, el financiamiento y la forma de comunicar la existencia del
equipo a otros grupos.
Definir los Servicios del CSIRT
El objetivo de esta actividad es establecer los servicios que se van a brindar en el
Equipo CISRT – UTPL.
Personas que formarán parte del Equipo.
Definir de acuerdo a las necesidades del CSIRT, el equipo de personas que
formarán parte del equipo de trabajo, a más de las características que se
mencionan en la Fase I, los miembros del equipo deben formar parte de diferentes
áreas que serán definidas dentro del equipo.
Definición de Políticas.
El objetivo de esta actividad será la definición de las políticas que se tomarán en
cuenta para el adecuado funcionamiento del CSIRT-UTPL.
Implementación
Todas las actividades señalas anteriormente contribuirán a la implementación del
Equipo CSIRT-UTPL, para cumplirla se deberá realizar una propuesta que será
entregada al Gerente de Proyectos de la UTPL para su revisión y posterior
aprobación, en esta fase de debe elaborar un proyecto piloto para la
implementación del CSIRT-UTPL.
CREACION DEL CSIRT - UTPL
99
CRONOGRAMA DE ACTIVIDADES
6.3. INFORMACION DE LA UTPL
La información que se presenta a continuación acerca de la UTPL fue tomada de la
revista Institucional [26] en la que se describe detalladamente la Historia, Estructura y
los diferentes CITTES por los que está conformada la UTPL.
La Universidad Técnica Particular de Loja (UTPL) fue fundada el 3 de mayo de 1973,
es administrada actualmente por la Comunidad de Misioneros y Misioneras Identes.
Mediante decreto publicado en el Registro oficial se constituye como persona jurídica
autónoma con finalidad social y pública, pudiendo impartir enseñanza, desarrollar
investigaciones científico – administrativas, participar en los planes de desarrollo del
país, otorgar, reconocer y validar grados académicos y títulos profesionales y, en
general realizar las actividades propias para la consecución de sus fines.
Desde el año 2002 la UTPL se aprueba su nuevo estatuto que rige hasta la actualidad,
este establece que la UTPL brinda educación superior de pre y postgrado a través de
las modalidades de estudio Presencial, Abierta y a Distancia, con sus variantes: a
distancia tradicional, Semipresencial y Virtual.
Visión
Meses
Actividades
Feb. Mar. Abr. May. Jul. Ago.
Recopilación de Información relativa a los CSIRTs
X X X
Estudio de los diferentes Equipos CSIRTs a nivel mundial
X X
Realizar Encuestas a Administradores de Servidores
X
Estructura de la Visión del CSIRT-UTPL
X
Definición de los Servicios y personal que formará parte del CSIRT-UTPL
X
Definición de Políticas CSIRT-UTPL
X
X
CREACION DEL CSIRT - UTPL
100
Se basa en el Humanismo Cristiano que propugna una universidad potenciadora,
conforme a la dignidad que el ser humano tiene como “Hijo de Dios”, que hace que
la universidad acoja, defienda y promueva en la sociedad, el producto y la reflexión
de toda experiencia humana.
Misión
“Buscar la verdad y formar al hombre, a través de la ciencia para que sirva a la
sociedad”
Valores institucionales de la UTPL:
Asumir con fidelidad la misión y la visión
Espíritu de Equipo
Actitud de Gestión y Liderazgo
Flexibilidad Operativa
Humildad Socrática
La UTPL ha puesto en marcha los Centros de Transferencia de Tecnología, Extensión
y Servicio CITTES, su función es el servicio a la sociedad y se encuentran agrupados
de la siguiente manera:
Figura 13: Estructura de los CITTES-UTPL
6.4. SITUACION ACTUAL - UTPL
Físicamente la UTPL cuenta con un campus universitario, en el que se encuentran
distribuidos todos los CITTES y dependencias de la universidad.
CREACION DEL CSIRT - UTPL
101
El personal de la UTPL está clasificado de acuerdo a diferentes roles y funciones, en
Autoridades, Administradores, Departamento Financiero, Secretarias, Directores,
Docentes y Estudiantes.
La diversidad de usuarios y servicios constituye un riesgo, por un lado están los
usuarios como clientes de los sistemas y por otro lado los estudiantes y docentes
como investigadores o generadores de información, lo que limita las políticas y
controles a implementar ocasionando que una gran parte de la información pueda
estar en riesgo.
De acuerdo a las encuestas realizadas a los administradores de servidores de:
Sistema Financiero
Redes
Servidor Web
Antivirus
Base de Datos
Sistema Académico
NOC/SOC
Se pudo conocer los siguientes aspectos que se han clasificado de la siguiente
manera, a nivel general:
La mayoría de incidentes son de origen interno, en el caso de los
administradores del Servidor WEB también son de origen externos mediante la
ejecución de código malicioso.
En lo relativo a:
Análisis de Seguridad
En todos los servidores se realizan análisis de seguridad de la siguiente manera:
Verificación de respaldos, procesamiento de transacciones del sistema
académico y monitoreo de claves.
En el NOC/SOC se realiza escaneo de vulnerabilidades cuando se detecta
alguna anomalía.
Uso de las Herramientas OSIM y OSIRIS.
CREACION DEL CSIRT - UTPL
102
Se realizan tareas de protección como actualización de IDS en equipos que
soporten encriptación y configuraciones como: cierre de puertos, permisos
a diferentes redes, y uso de ACL. (administrador de Red).
En los servidores de bases de datos se realizan análisis a nivel de cuentas
de base de datos y de sistema operativo.
Reporte de Incidentes de Usuarios
Los incidentes que se reportan a nivel de administradores de servidores en
su mayoría son relacionados a problemas red, modificación de páginas
web, denegación de servicios, ataques de virus y errores en entrada de
datos, de acuerdo al cuadro que se indica a continuación:
Figura 14: Incidentes Reportados en la UTPL
Los incidentes que ocurren en el Sistema financiero son reportados al
Administrador de BAAN y Proveedores del Software Novatech.
Los incidentes que se dan en el servidor de base de datos se reportan a los
encargados del sistema de gestión académica.
A nivel de usuario final la mayoría de incidentes que se reportan especialmente
a los grupos de Soporte Técnico y Telecomunicaciones son: Ataques de Virus,
problemas de red y correo electrónico.
Incidentes de Seguridad
32,26
1,075
35,48
26,88
4,3
Problemas de Red
Modificación de páginas web
Denegación de Servicios
Ataques de Virus Errores en entrada de datos
o de programación
(base de datos)
Incidentes Reportados
CREACION DEL CSIRT - UTPL
103
En el año 2007 el servidor WEB de la universidad fue hackeado cuatro veces,
las causas fueron errores a nivel de programación y fallas en la red en cuanto a
permisos y algunos puertos habilitados.
Uso de Políticas
De acuerdo a las encuestas aplicadas a los administradores de servidores de
la UTPL, se pudo conocer que se aplican políticas de contraseñas, respaldos,
planes de contingencia, entre otras, de acuerdo al cuadro que se indica a
continuación.
Figura 15: Políticas aplicadas actualmente en la UTPL
De manera detallada en cada grupo se aplican las siguientes políticas:
En el grupo de Telecomunicaciones se han definido políticas de uso de
recursos y de seguridad para los usuarios, las mismas que están en proceso
de aprobación, se han definido también políticas para los administradores pero
estas carecen de mecanismos de control.
En el grupo de Soporte Técnico manejan políticas para:
Manejo de contraseñas tanto de red como del equipo.
Políticas de respaldo de información.
Políticas de antivirus.
86%
29%
43%
14%
29% 29% 29%
CREACION DEL CSIRT - UTPL
104
El servidor del Sistema Financiero (BAAN) no tiene en la actualidad problemas
de virus por cuanto es un servidor con sistemas UNIX AIX.
Existen políticas que han sido realizadas en base a la norma ISO 17799 para
que sean aplicadas en toda la universidad pero actualmente se encuentran en
proceso de aprobación.
La mayoría de políticas que se manejan internamente en los grupos son
conocidas pero lamentablemente no son aplicadas por falta de auspicio o por
descuido de los usuarios.
Herramientas para el reporte de incidentes
El grupo de Soporte Técnico maneja un HELPDESK para llevar el registro
de incidencias diarias pero actualmente no está en funcionamiento.
El grupo de Telecomunicaciones utiliza la herramienta OSSIM, la misma
que está compuesta por un grupo de herramientas de tráfico y monitoreo
de seguridad.
Administrador del Sistema Financiero, si los incidentes que ocurren son de
la aplicación se reportan al proveedor a través del portal web de los
mismos.
Administrador de Base de Datos, mantienen una bitácora para obtener
respaldos y si sucede algún incidente se registra en esta bitácora.
A nivel de Administradores las herramientas que se utilizan son:
o Firewalls
o Sistema de detección de intrusiones
o Herramientas de Monitoreo
o Herramienta OSIRIS
Planes de Contingencia
Administrador de Servidor de base de Datos: no mantienen un plan
documentado pero se conoce las acciones que deben tomar en caso de
suceder un incidente.
Los administradores del Sistema financiero cuentan con un servidor para el
respaldo de datos.
Actualmente se están implementado planes de contingencia y detección de
vulnerabilidades (Adm. de Sistema BAAN).
Estadísticas
CREACION DEL CSIRT - UTPL
105
A nivel general no se llevan estadísticas de los incidentes que ocurren en la
universidad en ningún nivel.
No hay un departamento que se encargue de recolectar todas los
incidentes de los demás grupos y de llevar un registro general de los
sucesos de la universidad.
Cabe indicar que al no tener registros tampoco se puede hacer un
seguimiento total de lo que ocurre, además no hay un área formal para
reportarlos.
6.5. VISION DEL CSIRT – UTPL
Para definir la visión del CSIRT tomaremos en cuenta principalmente la situación
actual de la universidad, en este apartado definiremos:
Misión, objetivos y metas del Equipo
Comunidad a la que el CSIRT – UTPL va a brindar servicios
El lugar que va a ocupar el CSIRT – UTPL en la organización
La relación del CSIRT – UTPL con otros equipos.
6.5.1. Misión CSIRT – UTPL
“Promover la investigación en temas de seguridad, para de esta manera tomar
medidas preventivas, establecer procesos de respuesta que sean eficientes para
mitigar los posibles daños que cualquier incidente ocasione en los sistemas de
información de la UTPL.”
Funciones
Realizar actividades preventivas tales como: Capacitación, difusión de alertas
recibidas por informes de otros CSIRT, implementación de políticas de
seguridad de la información.
Recibir reportes de los diferentes incidentes que ocurran en los departamentos
de la universidad.
Facilitar respuestas inmediatas para solucionar el problema.
Llevar un grupo formal de investigación que aporte al equipo en la
identificación y solución de problemas.
Atención de incidentes.
CREACION DEL CSIRT - UTPL
106
Objetivos
Formar parte del Forum of Incident Response and Security Teams (FIRST)
Incrementar los niveles de seguridad en la UTPL, mediante el uso de políticas
que sean conocidas y aplicadas por todos los usuarios.
Convertirnos en un punto de apoyo para la creación de nuevos CSIRTs en
nuestro país.
Conformar un grupo de investigación en temas de seguridad de la información.
6.5.2. Comunidad a la que el CSIRT va a brindar Servicios
Principalmente el CSIRT – UTPL brindará servicios al personal docente y
administrativo de la Universidad, posteriormente extenderá sus servicios a los alumnos
y a las diferentes extensiones y centros asociados de nuestro país.
6.5.3. Lugar que ocupará el CSIRT – UTPL en la Estructura Organizacional
Para definir la estructura organizacional definiremos también los siguientes aspectos:
Modelo organizacional
El modelo organizacional será el Interno Centralizado, lo que significa que el
equipo tendrá plena responsabilidad del manejo de los incidentes y
vulnerabilidades que se presentan en la organización, tiene la responsabilidad de
buscar soluciones y emitir informes de los incidentes y vulnerabilidades
encontradas, realizando trabajos conjuntos con e equipo NOC/SOC.
El personal del CSIRT se encarga de evaluar la seguridad de la organización, y de
brindar asesoría en temas de seguridad a todas las personas que son parte de la
misma.
Autoridad del CSIRT
La autoridad será compartida con la dirección de la UPSI, es decir la toma de
decisiones se realizará mediante un trabajo conjunto entre el Equipo CSIRT y la
Dirección. El CSIRT-UTPL coordinará las respuestas y brindará la asesoría
adecuada para la toma de decisiones.
Lugar que ocupará el CSIRT – UTPL en la Estructura Organizacional
CREACION DEL CSIRT - UTPL
107
De acuerdo al diagrama estructural el Equipo CSIRT-UTPL será considerado
como un nuevo departamento que se ubicará muy cerca de la Dirección de la
UPSI, el CSIRT-UTPL realizará trabajos conjuntos con el grupo NOC/SOC.
Cada CITTE y los diferentes grupos por los que está conformado deben trabajar de
acuerdo a los siguientes ejes:
Gestión de IT: Área que cubre los diferentes servicios que brinda cada
grupo.
Oficina de Proyectos: Área que comprende los proyectos que se
desarrollan en cada una de las unidades por las que está conformado cada
CITTE.
Investigación: Conformada por todos los proyectos de tesis, doctorados,
etc.
Figura 16: Diagrama Organizacional CSIRT-UTPL
De acuerdo a lo citado el esquema del Equipo CSIRT-UTPL está compuesto por
dos grupos:
Laboratorio.- Las actividades que se realizarán en el laboratorio CSIRT
serán en temas de investigación y proyectos.
Equipo NOC/SOC.- Se encarga servicios reactivos, proactivos y del
envío de información acerca de incidentes y vulnerabilidades al
NOC/SOC
DIRECCIÓN
UPSI
ATENCION AL
CLIENTE SECRETARIA
GRUPO
Telecomunic.
SIG GESE GDS SOPORTE
TECNICO
EQUIPO
CSIRT
CREACION DEL CSIRT - UTPL
108
Laboratorio CSIRT-UTPL, de acuerdo a lo que se indica en la siguiente
figura:
ESQUEMA DE FUNCIONAMIENTO CSIRT-UTPL
Figura 17: Esquema de Funcionamiento CSIRT-UTPL
6.5.4. Relación del CSIRT – UTPL con otros equipos
A nivel de la mundial existen varios Equipos de Respuesta a Incidentes, la relación
con los equipos existentes es importante porque mediante la misma se puede solicitar
que un equipo CSIRT ya establecido formalmente sea Sponsor para que el CSIRT de
la Universidad pueda ingresar al FIRST, por el momento se ha establecido
comunicaciones con CSIRT-ANTEL (Equipo de Respuesta a Incidentes - ANTEL) de
Uruguay.
Otra forma de mantener comunicaciones con el resto de equipos será mediante la
emisión de reportes de alertas e incidentes, así como también el envío de
comunicados en el que se indique información sobre el CSIRT-UTPL, finalmente otra
de las actividades será la de mantener un portal Web en donde se publique toda la
información relacionada con el manejo de incidentes, alertas, vulnerabilidades, etc.
Dentro de la visión del equipo adicionalmente se han definido algunos aspectos que
permitirán comprobar el avance del equipo:
Alcance Del Proyecto
o Difusión de Alertas
CREACION DEL CSIRT - UTPL
109
o Análisis y Manejo de Incidentes y vulnerabilidades haciendo uso de las
diferentes herramientas diseñadas para estos fines.
o Conformar un grupo de investigación que aporte al equipo en la
identificación y solución de problemas.
o Definir políticas y procedimientos para el funcionamiento interno del
CSIRT-UTPL.
Metas
o Formar parte del Forum of Incidente Response and Security Teams
(FIRST)
o Conformar un grupo de Respuesta a Incidentes formal que se encargue
de analizar, identificar y brindar soluciones a los incidentes que se
presenten en la UTPL, haciendo uso de políticas y metodologías de
resolución de incidentes permitiendo así brindar de una mejor manera
diferentes tipos de servicios a la UTPL.
o Convertirnos en un grupo proactivo, que siempre esté preparado para
dar soluciones en el momento oportuno y con las soluciones adecuada.
o Crear conciencia en los diferentes usuarios acerca de la importancia de
implementar un CSIRT en la organización.
Resultados
o Equipo de personas capacitado para responder a incidentes, realizando
trabajos conjuntos con el grupo NOC/SOC, haciendo uso de
metodologías para el manejo de incidentes y políticas internas para el
grupo.
o Mantener un portal WEB en el que conste un formulario para realizar un
correcto reporte de incidentes y en el que se realice la publicación de
las mejores prácticas de seguridad.
o Conseguir un sponsor que nos auspicie en ingreso al FIRST.
Una vez implementado el proyecto se obtendrá algunos beneficios como:
Coordinación de respuesta a incidentes de manera efectiva.
Establecer canales de comunicación entre el CSIRT y todas las dependencias
de la universidad para un adecuado reporte y respuesta a incidentes.
CREACION DEL CSIRT - UTPL
110
Compartir información entre diferentes equipos de Respuesta a incidentes a
nivel mundial.
Índices de Medición
Metas Resultados Índices de Medición
Creación formal del Equipo CSIRT
Equipo de personas capacitado para responder a incidentes realizando trabajos conjuntos con el grupo NOC/SOC, haciendo uso de metodologías para el manejo de incidentes y políticas internas para el grupo.
Servicios brindados: Servicios Reactivos NOC/SOC: Servicios Proactivos Laboratorio CSIRT Servicios de Gestión de Calidad de la Seguridad. NOC/SOC: Laboratorio CSIRT Indicador: Servicios brindados en el transcurso de los primeros seis meses de implementación, número de servicios proactivos frente a los servicios reactivos.
Establecer comunicación directa con todas las áreas de la universidad para el reporte de incidentes.
Portal WEB en el que conste un formulario para realizar los reporte de incidentes.
Cantidad de reportes manejados en el grupo CSIRT. Indicador: Reportes coordinados de manera efectiva, porcentaje de servicios prestados frente a los reportes recibidos.
Alianzas estratégicas con otros CSIRTs.
Encontrar un sponsor que nos auspicie el ingreso al FIRST
Auditorías y visitas realizadas por otros equipos a nivel de Latinoamérica. Indicador: Al menos una auditoría en el año.
Crear recursos de investigación en temas de seguridad del a información
Contar con herramientas adecuadas de estudio de tráfico, análisis de vulnerabilidades y estudio de patrones
Reportes del malware en el campus, clasificado por tipo, vulnerabilidad, método de propagación, etc., porcentaje de mitigación de malware. Patrones de comportamiento de tráfico UTPL y anomalías
CREACION DEL CSIRT - UTPL
111
6.6. COMUNICAR LA VISION Y PLAN OPERATIVO DEL CSIRT
Para comunicar los servicios y estructura del CSIRT-UTPL a la universidad y terceras
personas se realizará la emisión de un documento informativo de acuerdo a los
lineamientos que establece la norma RFC 2350.
El documento que servirá para comunicar los servicios del CSIRT-UTPL se encuentra
en la sección de Anexos (Ver Anexo 5: Descripción de Servicios Equipo CSIRT-
UTPL).
Además de este documento en la página Web del Portal del CSIRT se va a disponer
de una Sección de Preguntas Frecuentes en la que se describa la Visión y los
servicios del CSIRT-UTPL.
6.7. IMPLEMENTACION DEL EQUIPO CSIRT-UTPL
Una vez que se ha completado los puntos anteriores para la organización del CSIRT-
UTPL definiremos los aspectos requeridos para proceder con la implementación del
Equipo, los aspectos que tomaremos en cuenta son:
Personal que trabajará en el grupo CSIRT-UTPL
El equipo e Infraestructura requerida
Establecer el tipo de servicios que va a brindar el CSIRT.
Desarrollo de políticas y procedimientos del CSIRT-UTPL.
Formularios para el reporte de incidentes
Presupuesto.
6.7.1. Personal requerido para el CSIRT-UTPL
Tomando en cuenta las características mencionadas anteriormente (habilidades
técnicas y personales), el personal requerido para el CSIRT-UTPL es el siguiente:
Personal requerido para el CSIRT – UTPL
Personal de hotline, HelpDesk o clasificación de incidentes: NOC/SOC
y Soporte Técnico
Desarrollador WEB, encargado de administrar el portal del CSIRT y las
estadísticas de los eventos generados. (Gestión Productiva)
Equipo para el desarrollo de proyectos de investigación
CREACION DEL CSIRT - UTPL
112
Coordinador
Proyecto IDS
Proyecto Malware
Gestión de Información de seguridad
Las actividades que se realicen en el equipo CSIRT-UTPL estarán coordinadas por el
Líder de Equipo CSIRT.
Adicionalmente se contará con la colaboración de personal de otras áreas como:
Departamento Legal (Gestión Legal - UTPL)
Relaciones Públicas (Vía Comunicaciones)
Recursos Humanos.
Por lo tanto el Equipo CSIRT-UTPL trabajará de acuerdo al organigrama que se indica
a continuación:
Estará conformado por:
Líder de Grupo
Equipo NOC/SOC y Soporte Técnico (HelpDesk)
Desarrollador Web
Equipo de Investigación.
Figura 18: Organigrama CSIRT-UTPL
6.7.2. Equipos e Infraestructura
CSIRT-UTPL
LIDER DE
GRUPO
NOC/SOC
HelpDesk
DESARROLLADOR
WEB
INVESTIGACIÓN
CREACION DEL CSIRT - UTPL
113
Para su funcionamiento el CSIRT requiere de un espacio físico propio, además del
equipo de oficina, material de escritorio, teléfonos, respectivamente.
Para la infraestructura física se tomarán en cuenta normas referentes a seguridad
física, planes de recuperación ante desastres, de acuerdo con las normas
establecidas en la UTPL.
En cuanto a infraestructura se requiere:
Espacio físico propio para el funcionamiento del CSIRT.
Material de escritorio y oficina
Repositorio23 para el manejo de la información relacionada con incidentes.
Bibliografía
En cuanto a equipos se requiere:
Equipo de Cómputo (4 computadores)
Firewalls24
Protección contra ataques de virus.
6.7.3. Servicios a Brindar
El grupo NOC/SOC se encargará de brindar servicios reactivos, es decir de brindar
respuestas a los incidentes que se reporten, los servicios proactivos serán realizados
por el área de Laboratorio en la que se desarrollarán temas de investigación.
6.7.3.1. Servicios Reactivos
Alertas y Advertencias que serán emitidas a partir de la información de los
reportes recibidos, la información recibida será enviada al área de Laboratorio
para su respectiva investigación.
Manejo de Incidentes que incluye el análisis (primer nivel), repuesta, soporte y
la coordinación de los incidentes a través del uso de metodologías para tratar
los mismos.
23
Repositorio: Depósito o Archivo en un sitio centralizado donde se almacena y mantiene
información digital.[27]
24 Firewalls: Elemento de Hardware o Software utilizado en una red de computadores que sirve
para controlar las comunicaciones permitiéndolas o denegándolas según las políticas de red
que se hayan definido en la organización [28].
CREACION DEL CSIRT - UTPL
114
Manejo de Vulnerabilidades que incluye el análisis, respuesta, soporte y
coordinación de vulnerabilidades, igualmente basados en los reportes que
generan en el NOC/SOC.
Manejo de artifacts: Es decir manejo de código malicioso con el uso de
herramientas como antivirus, firewall, escaneo de puertos, etc.
Reportes estadísticos.
6.7.3.2. Servicios Proactivos
Servicios de Detección de intrusiones.
Implementación y Configuración de las Herramientas, Aplicaciones,
Infraestructuras y Servicios de Seguridad.
Estudio de tráfico malicioso
Estudio de vulnerabilidades, patrones de ataque
Investigación sobre las nuevas formas de ataques, como prevenirlas y como
evitarlas en un futuro.
Definición de nuevas políticas de seguridad.
Observatorio de Tecnología de la que se encargará el área de investigación, la
misma que se encargará del desarrollo de proyectos que serán realizados por
Tesistas y estudiantes de gestión productiva.
Algunas alternativas de proyectos pueden incluir:
1. Sistemas de detección de intrusos:
Honeypots y Honeynets.
2. Estudio de Malware
Código malicioso, virus, gusanos.
Botnets25.
3. Seguridad de Protocolos
Seguridad de protocolos existentes: vulnerabilidades y
ataques
Identificación y autenticación, Confidencialidad y Privacidad,
e Integridad
4. Seguridad en Sistemas Distribuidos
Grids
25
Botnets: Colección de software robots, que se ejecutan de manera autónoma (ejemplo: Un
gusano que corre en un servidor infectado con la capacidad de infectar a otros servidores).
CREACION DEL CSIRT - UTPL
115
P2P
“PKI”
5. Modelos de confianza
Control de Acceso y autenticación
Administración de identificad y autenticación
Web Semántica aplicada a seguridad
PKI
6. Seguridad en computación móvil
Sistemas wireless
7. Análisis forense
Diagnóstico de seguridad
Técnicas utilizadas para la investigación forense
6.7.3.3. Servicios de Gestión y Calidad de la Seguridad
Concientización
Educación y Capacitación
6.7.4. Políticas y Procedimientos
Las políticas y procedimientos desarrollados para el Equipo de Respuesta a Incidentes
de la Universidad (CSIRT-UTPL) fueron realizados de acuerdo a lo que propone el
Dominio 9 de la Norma ISO 17799:2005 y se listan a continuación:
Políticas
Clasificación de la Información
Diseminación de la Información
Política de Seguridad
Manejo de Incidentes de Seguridad Local
Para la definición de las políticas del CSIRT-UTPL en lo concerniente a políticas de
Seguridad Física, de Red, y de Manejo de Desastres y Continuidad del Negocio
hemos tomado las políticas descritas en el Manual de Seguridad de la UTPL [29],
hemos definido una nueva norma que es referente al Reporte, Clasificación y
respuesta de incidentes y Vulnerabilidades (Ver: Políticas para el CSIRT-UTPL).
Los procedimientos que se han desarrollado son:
CREACION DEL CSIRT - UTPL
116
Reporte de incidentes
Reporte de Vulnerabilidades
Clasificación de la Información
6.7.5. Formularios
Se trabajará con los siguientes formularios:
Formulario de Reporte de Incidentes y Vulnerabilidades – Para usuarios
Finales y terceros, que se encuentran detallados en las políticas del CSIRT-
UTPL.
Se utilizará formatos de reporte de incidentes y vulnerabilidades que serán
utilizados por el personal del Equipo CSIRT-UTPL, los mismos se encuentran
detallados en las políticas que implementará el CSIRT-UTPL.
6.7.6. Financiamiento y Presupuesto
Durante la fase inicial se requiere el apoyo financiero total por parte de la Universidad
hasta que el CSIRT-UTPL se implemente de manera completa.
Una vez implementado el CSIRT realizará algunas actividades para su
autofinanciamiento.
Las actividades propuestas son:
Brindar servicios al público en general, mediante la contratación de servicios.
Capacitación en temas de seguridad
Organización de Eventos
El presupuesto para la implementación del CSIRT-UTPL se presenta a continuación:
Costos Iniciales: ________$ 9760,00_______________________
Costos Incrementales: ____$8500,00_______________________
CREACION DEL CSIRT - UTPL
117
PRESUPUESTO CSIRT – UTPL
Los pasos indicados constituyen la creación del Equipo de Respuesta a Incidentes
para la Universidad Técnica Particular de Loja, se ha realizado una propuesta (Ver
Anexo 6: Propuesta para la Creación del CSIRT-UTPL) que será presentada al Líder
de Proyectos de la UPSI (Ing. Daniel Plascencia) y al Director General de CITTES
(Blgo. Juan Pablo Suárez) para su revisión, aprobado el proyecto de creación del
CSIRT-UTPL se procede con la implementación tomando en cuenta los pasos
faltantes que se indican a continuación:
Anunciar y Comenzar la operación del CSIRT-UTPL.- Fase que consiste en
ejecutar cada uno de los pasos propuestos, comenzar a brindar los servicios
definidos y difundir las actividades del CSIRT a equipos similares a través de
boletines, a través del portal del Equipo, etc.
Evaluar la Efectividad del CSIRT-UTPL.- Último de los pasos a ejecutar, es el
indicativo de que las funciones para las que el CSIRT fue creado se están
cumpliendo de manera exitosa, esta fase es un inicio importante para
prepararse para el ingreso al FIRST, que de acuerdo a [29] incluye varios
aspectos que el CSIRT-UTPL debe cumplir en cuanto a su organización,
servicios que brinda y principalmente la visita que debe realizar el CSIRT
sponsor con el objetivo de verificar que el equipo aspirante cumpla con los
requisitos mínimos, pero sobre todo los mecanismos utilizados para la
Costos Iniciales Proyecto
Personal Interno 700$
Servicios Profesionales (personal externo)
- asesorias 2.000$
Licenciamiento de Software 500$
Hardware & Equipamiento 6.560$
Total Costos Iniciales 9.760$
Costos de Capital (Activos Fijos)
Hardware & Equipamiento 6.560$
Total de Costos de Capital 6.560$
Costos Incrementales
Mantenimiento de Proveedores 500$
Licenciamiento de Software 2.000$
Costos de Infraestructura Tecnológica 2.000$
Costos de Recursos Humanos 1.000$
Otros 3.000$
Total Costos Incrementales 8.500$
CREACION DEL CSIRT - UTPL
118
manipulación y protección de la información generada y la que posteriormente
será enviada por el FIRST, de acuerdo a los índices de medición propuestos se
realizará también la evaluación del equipo de acuerdo a las metas propuestas.
VALIDACIÓN
Los pasos a revisar por el Equipo sponsor se detallan en la siguiente tabla.
Aspectos a Considerar
Definidos en UTPL
En Proceso
Definición de Contituency X
Estructura de la Misión del Equipo X
Documento de Creación X
Definición y comunicación de los servicios
prestados por el CSIRT
X
X
Financiamiento X
POLÏTICAS:
Clasificación de la Información
Protección de la Información
Destrucción de la Información
Difusión de la Información
Reporte y manipulación de incidentes
Cooperación con otros equipos
Uso apropiado de los Recursos del CSIRT
Otras políticas
X
X
X
X
X
X
X
X
Lugar de Trabajo
Equipo (PC, teléfonos)
Uso de PGP
Seguridad Física
Rastreo de incidentes
X
X
X
X
Manejo de Incidentes X
Difusión de la Información X
Desarrollo Profesional X
Conferencias x
CREACION DEL CSIRT - UTPL
119
El proceso de implementación y el adecuado funcionamiento del CSIRT-UTPL
requiere tiempo, de acuerdo a la tabla indicada algunos literales se encuentran
definidos en el presente trabajo, los demás que se encuentran señalados en la
columna “En Proceso” se irán implementando de acuerdo a las necesidades y
crecimiento del grupo lo que en un futuro permitirá que el CSIRT-UTPL se convierta
en candidato a ser miembro del FIRST.
Para iniciar con la implementación del equipo se ha diseñado un proyecto piloto (Ver
Anexo 7: Proyecto Piloto de Implementación del Equipo CSIRT) de Implementación
del CSIRT-UTPL, el mismo que se implementará para una comunidad objetivo inicial
durante un período de tiempo, el mismo que permitirá comprobar la efectividad de
implementar un CSIRT en la universidad.
DISCUSIÓN
De acuerdo a [31] el IrisCERT durante el año 2007 atendió 2949 incidentes, un
66.32% más que el año 2006, lo propio ocurre en América latina de acuerdo a [32] el
CERT de Brasil (CERT.br) publica que hasta septiembre de 2008 se han reportado
108.293 incidentes, predominando en su mayoría los worm (5284), ataques a
servidores web (1024), escaneo de puertos (1140), fraudes (15561) entre otros, con
estos resultados podemos darnos cuenta que un equipos de respuesta a incidentes es
tomado como un único punto de apoyo en el sector que sea implementado
permitiendo de esta manera levantar estadísticas de los principales incidentes
ocurridos, lo que conlleva al desarrollo de herramientas, y sobre todo la capacitación y
sensibilización a los funcionarios de la organización.
A nivel general en nuestro país y particularmente en la UTPL el concepto de los
equipos CSIRT es bastante nuevo, y para la mayoría de organizaciones que no han
implementado este tipo de equipos el invertir en herramientas y alternativas de
seguridad es considerado como un gasto innecesario, es decir algunas manejan el
concepto de que “si mi empresa no ha sufrido ningún ataque, no es necesario realizar
gastos en temas de seguridad”, pero se ha comprobado que la implementación de
equipos CSIRT en países tanto de América Latina y Europa ha servido para reducir en
gran cantidad los ataques a sistemas críticos, ha elevado los niveles de investigación
al punto de que gran parte de equipos desarrollan sus propias herramientas para la
CREACION DEL CSIRT - UTPL
120
detección de incidentes, un claro ejemplo es el CSIRT de Argentina26 que ha
desarrollado herramientas para detectar vulnerabilidades en servidores, herramientas
para el análisis de servidores y dominios, etc.
En el caso de la UPTL no se realiza un trabajo investigativo real que signifique un
aporte para el desarrollo a nivel de la región, aún no generamos soluciones, sino las
adquirimos o adoptamos de terceros.
Tomando en cuenta todos los aspectos indicados se propone la implementación del
CSIRT-UTPL, lo que permitirá convertirnos en el punto de partida para la creación de
iniciativas similares en nuestro país, el tiempo que toma la implementación de estos
equipos es de seis meses a un año, la mayoría de equipos tiene problemas de
financiamiento que son superados realizando actividades de capacitación, etc.
26
ArCERT: http://www.arcert.gov.ar
CREACION DEL CSIRT - UTPL
121
CREACION DEL CSIRT - UTPL
122
Conclusiones
Los equipos CSIRT son considerados como la nueva estrategia de seguridad,
y han sido implementados para incrementar los niveles de seguridad, tomar
medidas proactivas, concientizar a los usuarios en tema de políticas de
seguridad y sobre todo ser el único punto de contacto para el reporte y
atención de incidentes en la organización en la que son implementados.
El trabajo de un CSIRT es de gran importancia ya que brindan información de
primera mano sobre los incidentes ocurridos y la solución de los mismos,
contribuyen a la difusión de mejores prácticas de seguridad, realizan el
desarrollo de varias herramientas, etc., además son de gran ayuda cuando
determinados incidentes conllevan a repercusiones legales dentro de una
organización en el sentido de contribuir con diferentes pruebas y evidencias del
ataque realizado, los CSIRTs han permitido generar nuevas soluciones esto
mediante el trabajo conjunto con otros equipos.
Iniciativas a nivel de Ecuador y como parte de un proyecto de la Organización
de estados Americanos (OEA) se está planteando la creación de un CSIRT
nacionales que velen por la seguridad de la información crítica de nuestro país
y de países que pertenecen a este organismo, a nivel académico la propuesta
de la UTPL puede decirse que es una de las primeras realizadas en este
campo, y tomando como base que los CSIRTs europeos surgieron en base a
equipos universitarios, puede decirse que la implementación del CSIRT-UTPL
servirá como punto de referencia para la creación de un CSIRT Nacional y
también permitirá colaborar con las diversas iniciativas encabezadas por el
UNAM-CERT que en conjunto con RedClara impulsan la creación de equipos
CSIRT con el objetivo de crear conciencia sobre la importancia de la seguridad.
La UTPL está en el camino de la implementación de un CSIRT, como paso
inicial se registra el trabajo realizado por el Equipo de Seguridad de la
Universidad, como se indico antes se realizan varias actividades pero no de
manera formal, el grupo de Seguridad es el inicio de lo que puede ser
considerado en un futuro cercano el CSIRT-UTPL, el mismo que concentre en
un solo departamento el recurso humano y técnico que trabaje en la atención
de incidentes, investigación y temas concernientes a la seguridad de la
información.
CREACION DEL CSIRT - UTPL
123
Actualmente en la universidad no se realiza un trabajo formal de registro de
incidentes lo que impide generar estadísticas de los sucesos que ocurren en
los sistemas críticos de la universidad, no se han implementado aún las
políticas desarrolladas para la universidad y en general hasta el momento no
se aplica ninguna metodología para el manejo de los incidentes, tomando en
cuenta estos y otros aspectos se ha visto la necesidad de proponer la creación
de un Equipo de Respuesta a Incidentes que se convierta en el punto de
contacto para la atención a incidentes, el mismo que trabaje en temas de
investigación y sensibilización a los usuarios en el que se implementen las
políticas propuestas para el CSIRT-UTPL y del Manual de políticas para la
UTPL, se utilice metodologías para el manejo de incidentes y vulnerabilidades,
y se utilice los diferentes modelos de reporte de incidentes.
Parte de los servicios definidos para el CSIRIT-UTPL está el de Investigación
(Observatorio de Tecnología), eje importante dentro de la universidad,
mediante este servicio se logrará la ejecución y propuesta de varios proyectos
investigativos que contribuirán al desarrollo de la universidad y sobre todo a ir
afianzando los niveles de seguridad de los sistemas de información.
Con el desarrollo del presente trabajo se estableció comunicación con Equipos
similares a nivel de América latina específicamente con el CSIRT-ANTEL de
Uruguay, el implementar el equipo CSIRT-UTPL nos permitirá colaborar con los
diferentes equipos a nivel de la región en las diferentes iniciativas
implementadas y sentar las bases para la implementación de equipos similares
en nuestro país.
Se ha realizado una propuesta para la implementación de un proyecto piloto, el
mismo que está orientado a un sector de la comunidad objetivo que es el de
los administradores de servidores, el plan a implementar debe ser aplicado por
un período de tiempo y luego ser evaluado en base a los parámetros sugeridos
en el documento.
La implementación de un proyecto piloto es una medida favorable, por cuanto
durante un lapso de tiempo determinado se aplican todos los aspectos
definidos para la creación del CSIRT-UTPL, lo que permite realizar una
evaluación al personal involucrado en cuanto a la forma de funcionamiento del
equipo, esta retroalimentación permite definir de manera más precisa los
CREACION DEL CSIRT - UTPL
124
servicios a prestar y de ser necesario realizar cambios a nivel de estructura
organizacional del equipo.
CREACION DEL CSIRT - UTPL
125
RECOMENDACIONES
Implementar el plan piloto del CSIRT-UTPL, el mismo que permitirá dar
atención a los principales incidentes que se reporten los sectores de la
universidad, en el transcurso de la implementación se recomienda revisar
constantemente el proceso de ejecución de cada uno de los servicios
propuestos y realizar los cambios que se requieran de acuerdo a la situación
actual de la universidad.
Realizar jornadas de capacitación a los futuros integrantes del CSIRT-UTPL en
cuanto a las diferentes herramientas y sistemas que se utilizan en la
universidad y que serán utilizados en el equipo, el conocimiento y la
capacitación acerca de las políticas y metodologías realizadas para el manejo
de incidentes y vulnerabilidades también debe ser tomado en cuenta para el
correcto funcionamiento del CSIRT-UTPL.
El personal que forma parte del CSIRT-UTPL debe tomar en cuenta las fechas
dedicadas al día de la Seguridad, se recomienda realizar eventos que
incentiven a los usuarios a hacer uso de políticas, mecanismos de seguridad,
etc., que permitirán ir preparando el camino para incrementar la comunidad
objetivo del CSIRT que abarca a toda la comunidad universitaria.
Fortalecer la comunicación con Equipos de Respuesta a Incidentes a nivel
mundial, para contribuir con las diferentes propuestas realizadas por
organizaciones como RedClara.
Difundir la iniciativa de creación de equipos CSIRT en universidades y
organismos públicos tanto nivel local y nacional, algunas de las actividades que
se pueden realizar para la difusión del equipo es la publicación de los
principales incidentes que se reportan en los equipos, vulnerabilidades
encontradas y consejos de seguridad.
Fortalecer la comunicación con Equipos de Respuesta a Incidentes a nivel
mundial, para contribuir con las diferentes propuestas realizadas por
organizaciones como RedClara.
CREACION DEL CSIRT - UTPL
126
Mantener la comunicación establecida con el CSIRT-ANTEL lo que permitirá
conseguir un sponsor para el ingreso al FIRST, de esta manera se crearán
vínculos de comunicación con equipos similares a nivel mundial y la obtención
de información de primera mano en las nuevas técnicas y herramientas para la
respuesta a incidentes.
Proponer el modelo de creación de un CSIRT en un entorno universitario a las
universidades del país y así crear una estructura de CSIRTs académicos, lo
que será un paso para la creación de un CSIRT Nacional, además enviar el
proyecto de creación de CSIRTs académicos a CEDIA (Consorcio Ecuatoriano
para el Desarrollo de Internet Avanzado).
Impulsar nuevos proyectos que contribuyan a mejorar los niveles de seguridad
de la universidad y continuar con la implementacion de los proyectos en
desarrollo como la Infraestructura de clave pública PKI, Honeynet, etc., lo que
permitirá mejorar los servicios que brinde el CSIRT-UTPL.
Implementar el equipo CSIRT para la UTPL extendiendo los servicios a todos
las áreas de la universidad, el trabajo constante permitirá consolidad el CSIRT-
UTPL para cumplir con uno de los objetivos del CSIRT-UTPL que es el de
ingresar al FIRST.
CREACION DEL CSIRT - UTPL
127
CREACION DEL CSIRT - UTPL
128
Anexo 1: EQUIPOS CSIRTs a Nivel Mundial
Equipos de Respuesta a incidentes informáticos en América
NORTE AMÉRICA
CERT-CC
Fundado en 1988 a raíz del incidente del gusano Morris, por el instituto de ingeniería
de Software, fue conformado por un grupo de expertos en seguridad que se
encargarían de coordinar las actividades que permitan brindar respuestas, realizar
acciones durante situaciones de emergencia y ayudar a prevenir futuros incidentes,
este centro fue nombrado Centro de Coordinación CERT (CERT/CC).
Junto al rápido crecimiento de internet se han incrementado también las formas de
intrusión, se ha dificultado la forma de detectar ataques y sobre todo lo captura de
estos atacantes, para mejorar y hacer frente a estos nuevos cambios el CERT/CC
forma parte del programa más grande del CERT, que desarrolla y promueve el uso de
tecnologías apropiadas y de mejores prácticas para resistir los ataques a los sistemas,
para limitar los daños y garantizar la continuidad de los servicios.
CERT/CC es miembro de las siguientes organizaciones:
FIRST, miembro fundador.
Internet Engineering Task Force (IETF) - La IETF es una organización
internacional que trabaja en el desarrollo de estándares de Internet.
Comité Consultivo de seguridad de Telecomunicaciones – intercambio de
Información de Seguridad de Red (NSTAC – NSIE) que trabaja para reducir
Las vulnerabilidades en las infraestructuras críticas.
En el portal web del CC/CERT (http://www.cert.org/ ) puede encontrar todo tipo de
información como estadísticas, manuales, reporte de incidentes, etc.
US-CERT
US-CERT - United States Computer Emergency Readiness Team, es un grupo que
surgió gracias a la colaboración del Departamento de Seguridad y de los sectores
públicos y privados, fue establecido en el año 2003 para proteger la infraestructura de
CREACION DEL CSIRT - UTPL
129
internet de la nación, realiza la coordinación de respuestas ante cualquier ataque a
través de la red, se encuentra ubicado en el área metropolitana de Washington D.C. y
actualmente pertenece al FIRST.
Este equipo es responsable de:
Realizar análisis y reducción de amenazas y vulnerabilidades.
Difundir la información de amenazas y alertas.
Coordinar actividades para dar respuestas a incidentes.
US-CERT realiza un trabajo conjunto con agencias federales, comunidades científicas,
gobiernos locales, y otros para poder realizar la difusión de la información sobre
amenazas e incidentes al público en general.
Para realizar el reporte de incidentes se debe llenar un formulario que se encuentra en
el portal web de US-CERT.
Pare reportar algún incidente el usuario debe llenar un formulario en el que se incluye
toda la información sobre la empresa y los incidentes o vulnerabilidades que se
descubrieron.
La información que se envía en este formulario es confidencial y es publicada sólo con
la autorización de las organizaciones que envían la información.
El portal web de US-CERT ( http://www.us-cert.gov/ ) a más de brindar el servicio de
reporte de incidentes proporciona también información sobre alertas de nuevas
amenazas, reportes de vulnerabilidades, capacitaciones a través de cursos,
conferencias, etc.
CanCERT
El CanCERT ( http://www.ewa-canada.com/cancert/index.php ) es un equipo de
respuesta a incidentes nacional, operado por EWA-Canadá desde 1998 Ltd.
Es un centro dedicado a la recopilación, análisis y difusión de información, reporte de
amenazas, vulnerabilidades y brindar respuesta a incidentes al gobierno de Canadá,
empresas y organizaciones académicas.
Los objetivos de este equipo son:
Proporcionar información oportuna, confiable sobre la seguridad para
CanCERT.
CREACION DEL CSIRT - UTPL
130
Proporcionar estadísticas sobre los ataques ocurridos en Canadá.
Brindar ayuda para la respuesta a incidentes.
Aplicar mejores prácticas en materia de seguridad de la información.
MEXICO
En el año 2001 se creó el primer Equipo de Respuesta a incidentes de Seguridad en
Cómputo en América Latina para el sector académico27, está localizado en el
Departamento de Seguridad en Cómputo de la UNAM, el UNAM-CERT.
UNAM-CERT es el equipo encargado de analizar los problemas de mayor impacto en
los sistemas de cómputo, emitir boletines reportando vulnerabilidades, brindando
capacitación en seguridad informática, auditoría, análisis forense, etc.
En UNAM-CERT colabora con algunas organizaciones mexicanas, entre ellas el
Gobierno, sectores públicos, privados, financieros y sectores educativos.
Otro de los servicios que brinda a través del Departamento de Seguridad en Computo
y la UNAM-CERT es el portal del usuario casero que está dirigido a todo tipo de
usuarios y tiene como finalidad proporcionar de manera dinámica las herramientas
básicas para proteger sus sistemas de información, brindar una enseñanza sobre los
términos y conceptos complejos para los especialistas en seguridad informática, a
través de este servicio todas las personas conocerán los principales riesgos y
amenazas que existen en la red y sobre todo la forma de protegerse.
Se encarga también de proveer el servicio de respuesta a incidentes de seguridad en
cómputo a sitios que han sido víctimas de algún ataque, realizar investigaciones y
ayudar a mejorar la seguridad de los sitios.
El equipo de la UNAM-CERT a través de su director es el coordinador del GT
Seguridad o GT-CSIRT de la Red CLARA (Cooperación Latinoamericana de Redes
Avanzadas), la labor que realiza la Red CLARA es la de interconectar a las
comunidades académicas y de investigación de los países de América Latina.
Su misión es la de “Promover la cultura de la seguridad informática en la región de
América Latina y el Caribe”.
El GT Seguridad tiene como objetivos:
27
Fuente de Referencia: http://www.bsecure.com.mx / Febrero de 2008
CREACION DEL CSIRT - UTPL
131
Formar un marco de seguridad para los países Asociados
Promover la creación de nuevos CSIRTS en la región.
A través de foros promover el intercambio de experiencias, conocimientos e
información sobre cómo hacer frente a nuevos incidentes.
Promover el intercambio de información sobre el manejo de incidentes.
Promover la pronta y coordinada respuesta a los incidentes de seguridad que
ocurran en cualquier infraestructura de los países asociados.
Realizar guías de mejores prácticas para le seguridad de la información.
Colaborar con organizaciones de CSIRTs en otros países como el TF-CSIRT
en Europa y el AP-CERT en Asia.
PERU
En Perú existen dos Equipos de respuesta a incidentes, ambos equipos son miembros
del FIRST, estos son:
TERIS
TESIRT
TERIS (Telefónica Equipo de Respuesta a Incidentes de Seguridad)
El TERIS ( http://tonapa.cgrc.telefonica.com.pe/blog) es un equipo de
profesionales que se encarga de la detección y prevención de incidentes
que generen un riesgo para las redes y plataformas de Telefónica, así
mismo debe brindar soluciones a los incidentes que se presenten y de
elaborar, promover y difundir prácticas de seguridad en redes.
Telefónica permanentemente aumenta el número de soluciones de
seguridad, tiene desarrollados servicios de Seguridad Gestionada que es
un servicio de seguridad perimetral, incluye la gestión y monitoreo
centralizado y remoto desde el Security Operation Center de Telefónica, el
hardware y software necesario para el control de acceso a la red interna de
los clientes, otro de los servicios que brinda es el Antiphishing que es una
solución que Telefónica pone a disposición de sus clientes, para afrontar
los problemas de fraudes electrónicos.
TESIRT (TELMEX Equipo de Respuesta a Incidentes de Seguridad)
CREACION DEL CSIRT - UTPL
132
Pertenece a la empresa Telmex (www.telmex.com/pe/home_peru.html ),
los objetivos principales son los de proteger la privacidad y seguridad, los
sistemas de redes de sus clientes así como fomentar el uso responsable de
los recursos de Telmex y proveedores de servicios de internet.
TELMEX maneja políticas que los clientes de servicios IP y usuarios de la
red IP de TELMEX deben seguir, estas políticas contemplan aspectos en
cuanto a actividades ilegales, violaciones de seguridad, amenazas, material
ofensivo, spam, acceso indirecto, en caso de que se realice un
procedimiento que vaya en contra de estas políticas TELMEX de acuerdo a
procedimientos tomará decisiones.
Para realizar el reporte de algún incidente se divide en dos categorías la
primera es de uso exclusivo para clientes de acceso dedicado a internet,
para reportar incidentes se debe incluir evidencia que ayude a investigar y
resolver el incidente, esta evidencia puede ser registros de sistemas, etc.
La segunda categoría es para las personas que no son clientes deben
reportar el abuso enviando un correo electrónico a [email protected].
CLCERT - CHILE
CLCERT (http://www.clcert.cl/ ), su nombre es la unión de dos siglas CL en referencia
a Chile y CERT en referencia al “Grupo de respuesta a incidentes de seguridad
computacional.”
El CLCERT surge ante la iniciativa de la Universidad de Chile en octubre de año 2001,
la misión de este equipo es monitorear y analizar los problemas de seguridad de los
sistemas informáticos chilenos, y reducir la cantidad de incidentes de seguridad que
pueden suceder a estos sistemas. Se encuentra en funcionamiento desde el año
2001.
Los principales objetivos del CLCERT son:
Entregar de forma oportuna información sobre vulnerabilidades de seguridad y
amenazas.
Poner a disposición de la comunidad información que permita prevenir y dar
solución a los incidentes de seguridad.
Educar a la comunidad sobre temas de seguridad promoviendo el uso de
políticas que permitan su implementación.
CREACION DEL CSIRT - UTPL
133
Los servicios que brinda el CLCERT son:
Difusión de alertas, estudios, incidentes y editoriales.
Capacitación
Análisis de mercado, focalizado en la generación de índices y monitoreo de
aspectos de seguridad pertinentes a las TIC.
Asesoría y apoyo a instituciones públicas en la toma de decisiones,
formulación de políticas.
El CLCERT se maneja con políticas para el adecuado uso de la información, está
política consiste en mantener la confidencialidad de la información recibida, a menos
que se tenga el permiso de parte de la persona o empresa para dar a conocer la
información que se ha recibido.
Para el reporte de los incidentes se manejan con el uso de formularios en los que se
incluyen los datos principales de la organización y las características de los equipos
afectados y una breve descripción del incidente, incluyendo herramientas utilizadas,
detalles de las vulnerabilidades y cualquier información relevante.
Entre los principales logros del CLCERT está:
Brindar capacitación a nivel académico
Realizar asesorías sobre la elaboración de políticas de seguridad
Son miembros del FIRST desde Abril del 2003.
Durante sus inicios el CLCERT fue financiado por el Departamento de Ciencias de
Computación y el Centro de Modelamiento Matemático de la universidad de Chile,
actualmente se autofinancia con actividades de capacitación, asesorías al sector
público y empresas privadas.
ArCERT - ARGENTINA
El ArCERT (Coordinación de Emergencias en Redes Teleinformáticas de la
Administración Pública Argentina - http://www.arcert.gov.ar ) fue creado en Julio de
1999 mediante disposición de la Subsecretaria de la Gestión Pública de la Jefatura de
Gabinete de Ministros, ArCERT es una unidad de respuesta a incidentes de seguridad
que afecten los recursos informáticos de la Administración Pública Nacional.
Los principales objetivos que tiene el ArCERT son:
Actividades Preventivas que incluyen:
CREACION DEL CSIRT - UTPL
134
Capacitación
Difusión de Alertas de información con la finalidad de neutralizar incidentes
Promover la coordinación entre organismos para prevenir, detectar y
manejar incidentes de seguridad.
Políticas de Seguridad: Estas políticas son planteadas con el objetivo de
proteger la información que está en poder del Estado, de establecer un
marco normativo para gestionar la seguridad de la información.
Productos y Servicios: Entre estos se encuentran algunas herramientas
como:
Firewall: que son basados es software de libre distribución
SiMos: Sistema de monitoreo Remoto de Seguridad, que es usado
para detectar vulnerabilidades en servidores que brindan servicios
en internet.
DNSar: Sistema de Análisis de Servidores y Dominios DNS, es
usado para detectar y alertar sobre las falencias en los servidores
DNS.
En la actualidad se encuentran en desarrollo dos herramientas mas
que son el CAL que es un sistema de Sensores y el RAM que sevirá
para la recolección y Análisis de Malware.
ArCERT está conformado por un grupo de especialistas con conocimientos sólidos y
gran experiencia en tecnologías informáticas, seguridad de internet, detección de
intrusos, elaboración de políticas y procedimientos de seguridad, este grupo está
dedicado a la investigación de incidentes, herramientas de protección, detección, etc.
Una de las características principales del ArCERT es la de mantener la
confidencialidad de la información sobre los organismos implicados en los incidentes
de seguridad.
Algunas casos que ha tratado ArCERT son la sustitución de páginas web, phishing,
código malicioso, ataques de DDOS, los resultados que ha alcanzado son más de 870
incidentes de seguridad atendidos, se han brindado cursos de capacitación y existen
más de 1800 suscriptores a las listas de seguridad.
El ArCERT es miembro del FIRST desde abril de 2004.
URUGUAY – CSIRT ANTEL
CREACION DEL CSIRT - UTPL
135
La comunidad objetivo definida es: ANTEL (corporación, subsidiarias y unidades de
negocio) y los clientes más importantes de ANTEL, ANTELDATA y ANCEL
(http://www.csirt-antel.com.uy/main/what-csirt-does.php ).
Los servicios que brinda son:
Alertas y manejo de incidentes.
Anuncios, detección de incidentes, desarrollo de técnicas y herramientas,
elaboración de políticas y buenas prácticas.
Capacitación y entrenamiento, análisis de riesgo, consultoría, concientización
de la comunidad en seguridad informática y telecomunicaciones.
Para el reporte de incidentes se los debe hacer mediante el envío de un correo
electrónico utilizando texto plano, la información debe estar cifrada, oportunamente el
CSIRT de ANTEL pondrá a su disposición un servidor FTP anónimo, este servidor se
utilizará en coordinación con el técnico asignado respetando todas las normas
establecidas, los archivos deben ser enviados utilizando el siguiente formato:
incidente-XX.ext.[gpg], en donde “XX” corresponde la número del incidente, “ext”
corresponde a la extensión del programa de compresión utilizado y “gpg” sufijo
opcional utilizado en el caso de que el archivo sea cifrado.
Toda la información que es recibida es confidencial.
El CSIRT de ANTEL es miembro del FIRST desde Abril de 2007.
BRASIL
El primer CERT que existió en Brasil fue creado en Junio de 1997 para ofrecer
servicios de coordinación de respuesta a incidentes para los usuarios de internet de
Brasil en sus inicios se llamó NBSO/Brazilian CERT, luego pasó a llamarse CERT.br
(http://www.cert.br/index-en.html ),este equipo es una organización de servicios que se
encarga de recibir, revisar y dar respuesta a informes de incidentes de seguridad y de
actividades relacionadas con las redes conectadas a la Internet de Brasil.
CERT.br trabaja en la concientización de la importancia de la seguridad de la
información en la comunidad, y brinda ayuda en la formación de nuevos CSIRTs,
algunos de los servicios que presta son:
Proporcionar un punto focal para informar sobre incidentes relacionados
con la red Brasileña.
Proporcionar apoyo en el campo de la respuesta a incidentes.
CREACION DEL CSIRT - UTPL
136
Establecer relaciones de colaboración con otras entidades, como
proveedores de servicios y compañías telefónicas.
Apoyo a la localización de actividades de intrusos.
Para realizar el reporte de incidentes se envía la información por correo electrónico,
para enviar la información de manera segura se envía la información cifrada utilizando
una clave que se encuentra disponible en el portal del CERT.br, la información que se
envía al igual que los otros CSIRTs incluye los datos principales de la empresa, la
descripción de los equipos afectados y una descripción detallada de los incidentes
reportados.
Desde el año 1997 existen dos equipos más el CAIS/RPN que pertenece a la red de
investigación de Brasil y el CERT-RS creado para las redes académicas del estado de
Río Grande do Sul.
En el año 2004 se crea el CTIR-GOV que trabaja con las redes del Gobierno Federal
de Brasil.
Actualmente existen alrededor de 20 equipos CSIRT en Brasil, pero son muy pocos
los equipos que pertenecen al FIRST, solamente pertenecen a este organismo el
CERT.br y el CAIS-RPN
CAIS/RPN
El CAIS - Centro de Atención a Incidentes de Seguridad (http://www.rnp.br/cais/),
actúa en la detección, resolución y prevención de incidentes de seguridad en la red
académica brasileña, así como de desarrollar, promover y difundir prácticas de
seguridad en redes.
La comunidad a la que van dirigidos sus servicios es principalmente la académica y de
investigación, son cerca de 300 instituciones entre universidades, laboratorios,
museos, etc.
Los servicios que brida el CASI /RPN son:
Tratamiento de incidentes
Divulgación de Información
Monitoreo y Detección de intrusos
Auditoría de sistemas
Educación y entrenamiento.
El CAIS es miembro del FIRST desde septiembre del 2001, ha sido patrocinador del
ArCERT y del CLCERT para que ingresen al FIRST.
CREACION DEL CSIRT - UTPL
137
Para realizar el envío de información debe utilizarse la clave pública PGP del CAIS.
Equipos de Respuesta a incidentes informáticos en Europa
esCERT
El esCERT-UPC (Equipo de Seguridad para la Coordinación de Emergencias en
Redes Telemáticas - http://escert.upc.edu/) fue creado a finales de 1994, como un
centro dedicado a asesorar en temas de seguridad informática y la gestión de
incidentes en redes telemáticas28.
esCERT tiene como objetivos el de informar sobre vulnerabilidades y amenazas de
seguridad, así como también la de brindar información a la comunidad que permita
prevenir y resolver incidentes de seguridad.
El esCERT funciona en la Universidad Politécnica de Catalunya en España. Entre las
organizaciones a las que pertenece el esCERT están el TF-CSIRT y FIRST.
Los servicios que brinda esCERT a Universidad Politécnica de Catalunya (UPC) son:
Soporte Preventivo: Tiene como objetivo ayudar a los administradores de la UPC a
mejorar la seguridad de sus sistemas, las medidas preventivas tienen como
objetivo informar de las vulnerabilidades potenciales o reales a sus sistemas y las
soluciones para su prevención.
Algunas de las actividades preventivas son:
o Avisos de vulnerabilidades por e-mail, que consiste en la monitorización,
filtrado, organización y traducción de información de avisos de seguridad.
o Consultas de Vulnerabilidades vía Web: Los administradores tienen a su
disposición una interfaz web para consultar los diferentes avisos de
seguridad emitidos hasta la fecha, obteniendo así informes actualizados.
o Soporte telefónico y por correo electrónico
o Auditorías Web: Los webmasters pueden solicitar la realización de
auditorías de sus páginas web.
28
Red Telemática: es un conjunto de ordenadores conectados entre sí, estableciendo un
instrumento integrado de medios y de aspectos lógicos soportados en los nuevos canales con
los cuales podemos establecer una comunicación bidireccional entre cada uno de los
elementos integrados. Los sistemas que forman parte de una red telemática son nodos de red,
sistemas operativos, software básico, metodologías y lenguajes para el desarrollo de software.
CREACION DEL CSIRT - UTPL
138
Los servicios reactivos que prestan son:
Soporte Reactivo: Consiste en la gestión de incidencias los servicios son:
o Comunicación y Gestión de incidencias: esCERT recoge todos los
avisos de actividades sospechosas, comunica las incidencias a los
administradores de los sistemas afectados.
o Detección y comunicación de incidencias a organizaciones externas: Si
los incidentes provienen del exterior de UPC, el esCERT se encarga de
comunicar el incidente a los organismos adecuados.
o Informes y estadísticas
o Soporte Telefónico
o Coordinación de Emergencias: En las incidencias graves, esCERT
actúa como Centro de Coordinación de Emergencias, dando un
tratamiento global al problema.
o Análisis Forense de sistemas Comprometidos: El esCERT realizará
análisis forense al encontrarse sistemas comprometidos, a fin de
conocer la vía de entrada del intruso, su procedencia y las acciones
llevadas a cabo.
esCERT ofrece a la comunidad servicios de respuesta a incidentes, definición de
políticas de seguridad y formación, más detalladamente estos servicios son los
siguientes:
Respuesta a incidentes: Para dar soluciones a incidentes debe enviar un
formulario detallando toda la información relevante del incidente al correo del
esCERT, el formulario contiene información de contacto de la organización que
envía la información, la información que se recibe es confidencial.
Servicio de Avisos de Vulnerabilidades (Altair): El objetivo es mantener
informados a los administradores de sistemas sobre nuevas vulnerabilidades
con la finalidad de ayudar a prevenir las intrusiones en sus sistemas
informáticos.
Formación: Incluye cursos de capacitación relacionados con la seguridad de la
información.
El ámbito de actuación es todo el territorio del Estado Español. El esCERT-UPC basa
su actuación en el análisis, recomendación, formación y asistencia a emergencias.
Estos servicios están personalizados y sujetos al secreto profesional.
CREACION DEL CSIRT - UTPL
139
IRIS-CERT
Organización creada en el año de 1994, está orientado a la comunidad científica y
depende del Ministerio de Ciencia y tecnología. (http://www.rediris.es/cert )
Brinda servicios a la comunidad de la red Iris y también brinda servicios limitados a
todos los que conformen el dominio *.es.
Tiene como finalidad la detección de problemas que afecten a la seguridad de las
redes de centros de RedIris, así como la actuación coordinada con dichos centros
para dar solución a estos problemas.
De acuerdo al RFC 2350, los servicios que brinda el IRIS-CERT son:
Respuesta a Incidentes: que consiste en brindar asistencia en la investigación
del cómo ocurrieron los incidentes y determinar los daños que este puede
causar, incluye también la coordinación de los incidentes para hacer reportes
para otros CSIRTs, mantener un contacto con la comunidad afectada y de ser
necesario elaborar políticas.
Servicios Proactivos: tales como Servicios de información que consiste en el
enviar información disponible mediante listas de correo, el servicio de
entrenamiento que consiste en la capacitación que brindan los miembros del
equipo al público sobre temas de seguridad de la información, los servicios de
auditoría que son solamente para las instituciones afiliadas, y finalmente
reportes estadísticos.
IRIS-CERT es miembro del FIRST desde el 11 de Febrero de 1997, y participa
activamente en el Task Force auspiciado por Terena, TF-CSIRT , con el objetivo de
promover la colaboración entre los CSIRTs de Europa.
CCN-CERT
Equipo de Respuesta a incidentes de seguridad del Centro Criptológico Nacional
(www.ccn-cert.cni.es), depende del Centro Nacional de inteligencia, este equipo vela
por la seguridad de la Administración Pública, es un grupo que comenzó a trabajar
desde el año 2004 formado por profesionales en el campo de la seguridad informática,
entre los servicios que realiza está el de brindar capacitaciones, realizar inspecciones
de seguridad, crear herramientas para auditorías y guías de seguridad de equipos.
CREACION DEL CSIRT - UTPL
140
Su misión es “Ser el Centro de Alerta y Respuesta de incidentes de Seguridad,
ayudando a las Administraciones públicas, ayudando a responder de formas más
rápida y eficiente ante las amenazas de seguridad que afecten a sus sistemas de
información.”
Las funciones que cumple CCN-CERT son:
Ser el centro de alerta y respuesta de incidentes de seguridad, ofreciendo
información sobre vulnerabilidades, alertas y avisos de nuevas amenazas.
Ayudar a responder de forma más rápida y eficiente ante las amenazas de
seguridad que afecta a los sistemas de información, a través del soporte ante
incidentes mediante servicios de apoyo técnico.
Labores de investigación, formación y divulgación de seguridad de la
información a través de cursos de capacitación, desarrollo de normas técnicas,
guías y recomendaciones de configuración segura para diferentes tecnologías,
desarrollo de herramientas de seguridad, detección de instrucciones, etc.
Entre los logros alcanzados por el CCN-CERT de acuerdo a sus líneas de trabajo se
encuentran:
Diseño de plataformas de servicios en internet.
Mantenimiento del portal web en el que se ofrece información actualizada
sobre todas las vulnerabilidades, herramientas de seguridad, cursos de
formación, mejores prácticas de seguridad o formularios de comunicación de
incidentes.
Puesta en marcha del laboratorio de investigación y respuesta a incidentes.
Integración en organismos internaciones, tanto a nivel europeo como
internacional
Publicación y envío de estadísticas, noticias, boletines de vulnerabilidades.
Desarrollo de políticas y procedimientos operativos
Auditoría y revisión periódica de las políticas y procedimientos.
Desarrollo del Plan de Respuesta a incidentes
CNN-CERT es miembro del FIRST, esto le permite mantener un contacto directo con
otros equipos para compartir información fiable en caso de ataques, este grupo
mantiene un portal web que le permite ofrecer información actualizada sobre
amenazas, vulnerabilidades, cursos de formación, formularios para reportar incidentes
CREACION DEL CSIRT - UTPL
141
de seguridad y estadísticas actualizadas sobre las vulnerabilidades semanales,
mensuales y anuales que han sido reportadas.
INTECO – CERT
Centro de Respuesta a incidentes para PYMES y ciudadanos
(http://www.inteco.es/Seguridad/INTECOCERT/Acerca_de/Servicios_1), creado en el
año 2006 fue promovido por el Ministerio de Industria, Turismo y Comercio. Es un
equipo que sirve de apoyo para el desarrollo industrial de España, brinda soluciones
reactivas a incidentes informáticos, servicios de prevención frente a amenazas
realizando catálogos gratuitos y actualizaciones de software y servicios de información
tales como boletines, alertas, avisos de seguridad, noticias y eventos de relevancia,
formación y concientización en materia de seguridad para pequeñas empresas y todos
los ciudadanos españoles.
De acuerdo a estadísticas 94% de las empresas españolas pertenecen al sector de
las pequeñas y medianas empresas, en términos económicos los gastos que ocasiona
el combatir ataques informáticos en las PYMES cada año es de 22000 millones de
euros.
Entre los objetivos de este grupo están:
Proporcionar información referente a temas tecnológicos
Concienciar a las PYMES y ciudadanos sobre la importancia de la seguridad
informática.
Proporcionar guías de buenas prácticas para mejorar la seguridad.
El CERT de INTECO presta servicios sin fines de lucro a todas la comunidad que
forma parte de las pequeñas y medianas empresas.
INTECO realiza algunas recomendaciones a la comunidad a la que brinda servicios,
algunas son:
Instalar Software legal y de fuentes fiables.
Mantener actualizado el Software del equipo con los parches de seguridad.
Desconfiar de correos sospechosos.
Hacer “auditorías” periódicas del equipo: puertos, registro, actividad del
sistema, etc.
CREACION DEL CSIRT - UTPL
142
Utilizar herramientas de seguridad como: antivirus, cortafuegos, escaneadores
de puertos y test de velocidad.
Equipos de Respuesta a incidentes informáticos en Oceanía y
el Lejano oriente
MYCERT – MALASIA
MyCERT( Malaysian Computer Emergency Response Team -
http://www.mycert.org.my ), comenzó a funcionar en marzo de 1997, en el parque
tecnológico de Malasia, este equipo proporciona un punto de referencia para la
comunidad de internet de Malasia, las funciones principales de MyCERT son:
Centralizar la presentación de informes de incidentes de seguridad y facilitar la
comunicación para la resolución de los mismos.
Difundir toda la información referente a todas las vulnerabilidades, estrategias y
mecanismos de defensa.
Proporcionar estadísticas sobre todos los abusos y vulnerabilidades
reportadas.
Desempeña un papel educativo con respecto a la seguridad informática de
Malasia.
MyCERT brinda dos servicios principales:
El entrenamiento de seguridad en donde los oficiales de seguridad y
administradores de sistemas, aprenden los pasos básicos a tener en cuenta en
la seguridad de los sistemas.
MyCERT's Free Security Scannings, es otro de los servicios brindados que
tiene como objetivo asistir a organizaciones y brindar ayuda después de que
hayan sido víctimas de algún ataque a sus sistemas de seguridad.
Para realizar el reporte de incidentes MYCERT se lo puede hacer mediante fax, correo
electrónico, informes en línea, sms y por teléfono, para informar sobre algún incidente
debe proporcionarse toda la información referente al incidente, y la información
principal de la organización.
AusCERT - AUSTRALIA
CREACION DEL CSIRT - UTPL
143
AusCERT (Australian Computer Emergency Response Team -
http://www.auscert.org.au/index.html ), es un equipo que brinda todo tipo de
información en cuanto a la seguridad de la información, al público australiano
incluyendo también al sector educativo, este equipo es un punto de contacto para
todos los incidentes que involucran a las redes australianas.
AusCERT realiza la emisión de boletines que contienen información acerca de cómo
mitigar las vulnerabilidades y estrategias de prevención.
AusCERT provee un mecanismo para reportar incidentes que afecte a las redes
australianas, los datos obtenidos son analizados y en algunos casos con el
consentimiento de las organizaciones que los reportan estos incidentes son
publicados con la finalidad de informar al público acerca de los nuevos ataques a la
red computacional.
Las organizaciones que forman parte de AusCERT pueden accedes a los siguientes
servicios, si se reciben reportes de personas u organizaciones que no pertenecen al
AusCERT también les proporcionan ayuda pero siempre la prioridad la tiene las
organizaciones del AusCERT.
Acceso al contenido de su portal web
Envió de boletines electrónicos de seguridad.
Acceso al foro del AusCERT
Servicio de gestión de incidentes que incluye el Manejo y la coordinación de los
mismos.
Evaluación y asesoramiento ante amenazas de seguridad.
La gestión de incidentes consiste en:
Brindar asistencia y conocimientos para ayudar a detectar, interpretar y
responder a ataques en sitios en todo el mundo. Se reciben reportes de otras
organizaciones, esta información es manejada con absoluta confidencialidad.
Coordinación de incidentes: El objetivo principal es compartir información
pertinente acerca de un incidente a las partes afectadas con la finalidad de que
ellos mismos puedan resolver o manejar el incidente, para recibir este servicio
CREACION DEL CSIRT - UTPL
144
se debe llenar un formulario con la información de los incidentes encontrados y
ser enviado al AusCERT de acuerdo a los reglas que maneja este equipo.
Manejo de incidentes: AusCERT proporciona el este servicio las 24 horas al
día los 7 días a la semana, este servicio consiste en brindar ayuda con los
reportes recibidos, identificar la naturaleza del incidente, mitigar los daños que
este puede causar. AusCERT asiste a los sitios involucrados realizando
análisis de código malicioso, ataques de virus, etc., para determinar las causas
y desarrollar estrategias para solucionarlo.
Para reportar incidentes se debe llenar un formulario que se encuentra en el portal de
AusCERT (https://www.auscert.org.au ) en el que envía información referente a la
empresa y al incidente, antes se debe escoger una opción en la que se indica si se
desea publicar la información o no.
AusCERT es miembro del FIRST y forma parte activa del APCERT, mantiene también
una red de contacto con equipos de América del norte, reino unido, europa y asia.
JPCERT / CC - JAPON
Japan Computer Emergency Response Team / Coordination Center
(http://www.jpcert.or.jp/english/about )
Es el primer CSIRT establecido en Japón, esta organización coordina con proveedores
de servicios de internet, agencias del gobierno e industrias.
JPCERT/CC es miembro del APCERT y del FIRST.
Los objetivos de JPCERT/CC son :
Proveer respuestas ante los incidentes de seguridad
Coordinar actividades con CSIRTs de otras organizaciones
Proveer información técnica de cómo actuar ante incidentes, las nuevas
vulnerabilidades encontradas, realizar reportes sobre alertas y peligros
encontrados.
Investigar sobre nuevas herramientas y tecnologías
Las actividades que realiza este equipo son:
CREACION DEL CSIRT - UTPL
145
Análisis y Respuesta a incidentes: JPCERT/CC provee soporte técnico para
responder a los problemas de seguridad basados en la información que es
facilitada por los sitos afectados, JPCERT/CC en base a esta información evalúa el
daño, identifica las vulnerabilidades y provee información técnica relevante, la
información relevante es enviada por correo electrónico y diferentes informes de
vulnerabilidades son publicadas en su portal de internet.
Alertas de Seguridad: JPCERT/CC recoge toda la información referente a la
seguridad informática, provee alertas de seguridad, publica reportes semanales
que contienes todas las amenazas potenciales, mensajes de alertas y la forma de
cómo minimizar los daños causados por incidentes y vulnerabilidades.
Coordinación con otros CSIRTs: Establecer relaciones no solamente con los
CSIRTs que son miembros del APCERT sino también con equipos alrededor del
mundo.
Educación: JPCERT/CC brinda entrenamiento y educación en el campo de la
seguridad de las redes, vulnerabilidades y en cuanto a temas sobre como
incrementar los servicios de seguridad, todo esto a través de seminarios,
workshops, etc.
Investigación y Análisis: Cada vez es más difícil identificar incidentes,
JPCERT/CC se ocupa de la investigación y el análisis en la prevención de ataques
y en la manera de evitar daños que ese ataque pueda causar.
SINGAPUR
SingCERT - Singapore Computer Emergency Response Team
Creado en 1997 como programa del IDA (Infocomm Development Authority of
Singapore), en colaboración con la Universidad Nacional de Singapur, para facilitar la
detección, resolución y prevención de incidentes de seguridad relacionados con
internet de Singapur
SingCERT proporciona asistencia técnica y coordina las respuestas de seguridad,
identifica las tendencias de actividades de hacking, trabaja con organismos de
seguridad para resolver los incidentes de seguridad informática, difunde información
oportuna al público en general sobre alertar y los últimos ataques a los sistemas de
seguridad.
CREACION DEL CSIRT - UTPL
146
La misión del SingCERT es muy clara y se basa en puntos principales como:
Convertirse en un punto de contacto que ayude a la prevención, detección y
resolución de incidentes de seguridad en sectores públicos, privados, y redes
de internet como Singapur ONE.
Proporcionar valor agregado a los servicios de seguridad a través de
programas de consultoría.
Los servicios que brinda SingCERT son:
Servicios de Seguridad
Resolución de incidentes, consultas sobre seguridad ya sea mediante vía
telefónica, correo electrónico, fax, mediante su página web puede estar
informado sobre nuevas alertas y acceder a archivos anteriores de las alertas
que se han encontrado.
Reporte de incidentes
Para reportar incidentes debe llenar un formulario que incluya información
acerca de la organización o usuario que envía el reporte, enviar informes del
Sistema, Red y el administrador de seguridad, información sobre la plataforma
en la que trabaja y como descubrió la intrusión, incluir además los logs del
sistema.
Respuesta a Incidentes
La respuesta ante algún incidente puede ser inmediata si se trata de incidentes
ya conocidos, si las alertas o incidentes son nuevas se da soluciones
provisionales. Toda la información que se ha reportado es manejada con
absoluta confidencialidad.
SingCERT es miembro del FIRST desde 1998, es miembro del APCERT y mantiene
contactos con los CSIRTs a nivel del mundo.
En el portal web del SingCERT ( http://www.singcert.org.sg) se pueden encontrar
reportes de nuevas alertas, información de contactos y capacitaciones.
Lista de Equipos CSIRTs a nivel Mundial, de acuerdo al registro del
FIRST.
CREACION DEL CSIRT - UTPL
147
Team Official Team name
ARCcert The American Red Cross Computer Emergency Response Team
ASEC AhnLab Security E-response Center
AT&T AT&T
AboveSecCERT Above Security Computer Emergency Response Team
Apple Apple Computer
ArCERT Computer Emergency Response Team of the Argentine Public
Administration
AusCERT Australian Computer Emergency Response Team
Avaya-GCERT Avaya Global Computer Emergency Response Team
BCERT Boeing CERT
BELNET CERT BELNET CERT
BMO ISIRT BMO InfoSec Incident Response Team
BP DSAC BP Digital Security Alert Centre
BTCERTCC British Telecommunications CERT Co-ordination Centre
BadgIRT University of Wisconsin-Madison
Bell IPCR Bell Canada Information Protection Centre (IPC) Response
Bunker The Bunker Security Team
CAIS/RNP Brazilian Academic and Research Network CSIRT
CARNet CERT CARNet CERT
CC-SEC Cablecom Security Team
CCIRC Canadian Cyber Incident Response Centre
CCN-CERT CCN-CERT (Spanish Governmental National Cryptology Center -
Computer Security Incident Response Team)
CERT POLSKA Computer Emergency Response Team Polska
CERT-Bund CERT-Bund
CERT-FI CERT-FI
CERT-Hungary Hungarian governmental Computer Emergency Response Team
CERT-IT CERT Italiano
CERT-In Indian Computer Emergency Response Team
CERT-Renater CERT-Renater
CERT-TCC Computer Emergency Response Team Tunisian Coordination
Center
CERT-VW CERT-VW
CERT.br Computer Emergency Response Team Brazil
CERT/CC CERT Coordination Center
CERTA CERT-Administration
CERTBw Computer Emergency Response Team Bundeswehr
CREACION DEL CSIRT - UTPL
148
CFC Cyber Force Center
CGI CIRT CGI Computer Incident Response Team
CIAC US Department of Energy's Computer Incident Advisory Capability
CLCERT Chilean Computer Emergency Response Team
CMCERT/CC China Mobile Computer Network Emergency Response Technical
Team /Coordination Center
CNCERT/CC National Computer Network Emergency Response Technical
Team / Coordination Center of China
CSIRT ANTEL ANTEL's Computer and Telecommunications Security Incident
Response Centre
CSIRT.DK Danish Computer Security Incident Repsonse Team
CSIRTUK CSIRTUK
Cert-IST CERT France Industries, Services & Tertiaire
Cisco PSIRT Cisco Systems Product Security Incident Response Team
Cisco Systems Cisco Systems CSIRT
Citi CIRT Citigroup CIRT
ComCERT Commerzbank CERT
CyberCIRT Cyberklix Computer Incident Response Team
DANTE Delivery of Advanced Network Technology to Europe Limited
DCSIRT Diageo CSIRT
DFN-CERT DFN-CERT
DIRT DePaul Incident Response Team
DK-CERT Danish Computer Emergency Repsonse Team
E-CERT Energis Computer Emergency Response Team
EDS EDS
ESACERT ESA Computer and Communications Emergency Response Team
ETISALAT-CERT ETISALAT Computer Emergency Response
EWA-
Canada/CanCERT
EWA-Canada / Canadian Computer Emergency Response Team
EYCIRT Ernst & Young Computer Incident Response Team
EnCIRT EnCase Computer Incident Response Team
Ericsson PSIRT Ericsson Product Security Incident Response Team
FSC-CERT CERT of Fujitsu-Siemens Computers
FSLabs F-Secure Security Labs
Funet CERT Funet CERT
GD-AIS General Dynamics - AIS
GIST Google Information Security Team
GNS-Cert GNS-Cert
CREACION DEL CSIRT - UTPL
149
GOVCERT.NL GOVCERT.NL
GTCERT Georgia Institute of Technology CERT
Goldman Sachs Goldman, Sachs and Company
GovCertUK CESGs Government Computer Emergency Response Team
HIRT Hitachi Incident Response Team
HKCERT Hong Kong Computer Emergency Response Team Coordination
Centre
HP SSRT HP Software Security Response Team
IIJ-SECT IIJ Group Security Coordination Team
ILAN-CERT Israeli Academic CERT
ILGOV-CERT Israel governmental computer emergency response team
ING Global CIRT ING Global CIRT
IP+ CERT IP-Plus CERT
IRIS-CERT IRIS-CERT
IRS CSIRC IRS (Internal Revenue Service) Computer Security Incident
Response Team
ISS IBM ISS
IU-CERT Indiana University CERT
Infosec-CERT Infosec Computer Emergency Response Team
Intel FIRST Team Intel FIRST Team
JANET CSIRT JANET CSIRT
JPCERT/CC JPCERT Coordination Center
JPMC CIRT JPMorgan Chase Computer Incident Response Team
JSOC Japan Security Operation Center
Juniper SIRT Juniper Networks Security Incident Response team
KMD IAC KMD Internet Alarm Center
KN-CERT Korea National Computer Emergency Response Team
KPN-CERT Computer Emergency Response Team of KPN
KrCERT/CC KrCERT/CC
LITNET CERT LITNET CERT
MCERT Motorola Cyber Emergency Response Team
MCI MCI, Inc.
MCIRT Metavante Computer Incident Response Team
MFCIRT McAfee Computer Incident Response Team
MIT Network
Security
Massachusetts Institute of Technology Network Security Team
MLCIRT Merrill Lynch Computer Security Incident Response Team
MODCERT MOD Computer Emergency Response Team
CREACION DEL CSIRT - UTPL
150
MSCERT Microsoft Product Support Services Security Team
Micro-BIT Micro-BIT Virus Center
MyCERT Malaysian Computer Emergency Response Team
NAB ITSAR National Australia Bank - IT Security Assessments and Response
NASIRC NASA Incident Response Center
NCIRC CC NATO Computer Incident Response Capability - Coordination
Center
NCSA-IRST National Center for Supercomputing Applications IRST
NCSIRT NRI SecureTechnologies Computer Security Incident Response
Team
NGFIRST Northrop Grumman Corporation FIRST
NIHIRT NIH Incident Response Team
NISC National Information Security Center
NIST NIST IT Security
NN FIRST Team Nortel FIRST Team
NORDUnet NORDUnet
NTT-CERT NTT Computer Security Incident Response and Readiness
Coordination Team
NU-CERT Northwestern University
NUSCERT NUS Computer Emergency Response Team
Nokia-NIRT Nokia Incident Response Team
NorCERT Norwegian Computer Emergency Response Team
ORACERT Oracle Global Security Team
OS-CIRT Open Systems AG Computer Incident Response Team
OSU-IRT The Ohio State University Incident Response Team
OxCERT Oxford University IT Security Team
PRE-CERT PRE-CERT
PSU Pennsylvania State University
Pentest Pentest Security Team
Q-CERT Qatar CERT
Q-CIRT QinetiQ Computer Incident Response Team
RBC FG CSIRT RBC Financial Group CSIRT
RBSG Royal Bank of Scotland, Investigation and Threat Management
RM CSIRT ROYAL MAIL CSIRT CC
RU-CERT Computer Security Incident Response Team RU-CERT
RUS-CERT Stabsstelle DV-Sicherheit der Universitaet Stuttgart
Ricoh PSIRT Ricoh Product Security Incident Response Team
S-CERT CERT of the German Savings Banks Organization
CREACION DEL CSIRT - UTPL
151
SAFCERT Singapore Armed Forces Computer Emergency Response Team
SAIC-IRT Science Applications International Corporation - Incident Response
Team
SAP CERT SAP AG CERT
SBB-SIRT Softbank BB Security Incident Response Team
SBS BT Global Services
SGI Silicon Graphics, Inc.
SI-CERT Slovenian CERT
SIRCC Security Incident Response Control Center
SITIC Swedish IT Incident Centre
SKY-CERT Skype Computer Emergency Response Team
SUNet-CERT SUNet-CERT
SURFcert SURFcert
SWAT A.P.Moller-Maersk Group IT-Security SWAT
SWITCH-CERT Swiss Education and Research Network CERT
SWRX CERT SecureWorks Computer Emergency Response Team
Secunia Research Secunia Research
Siemens-CERT Siemens-CERT
SingCERT Singapore CERT
Sprint Sprint
Stanford Stanford University Information Security Services
Sun Sun Microsystems, Inc.
SymCERT Symantec Computer Emergency Response Team
TDBFG CSIRT TDBFG Computer Security Incident Response Team
TERIS Telefonica del Peru Computer Security Incidents Response Team
TESIRT TELMEX Security Incident Response Team
TS-CERT TeliaSoneraCERT CC
TS/ICSA FIRST TruSecure Corporation
TWCERT/CC Taiwan Computer Emergency Response Team/Coordination
Center
TWNCERT Taiwan National Computer Emergency Response Team
Team Cymru Team Cymru
Telekom-CERT Telekom-CERT
ThaiCERT Thai Computer Emergency Response Team
UB-First UB-First
UCERT Unisys CERT
UGaCIRT The University of Georgia Computer Incident Response Team
UM-CERT University of Michigan CERT
CREACION DEL CSIRT - UTPL
152
UNAM-CERT UNAM-CERT
UNINETT CERT UNINETT CERT
US-CERT United States Computer Emergency Readiness Center
Uchicago Network
Security
The University of Chicago Network Security Center
VISA-CIRT VISA-CIRT
VeriSign VeriSign
YIRD Yahoo Incident Response Division
dCERT debis Computer Emergency Response Team
dbCERT Deutsche Bank Computer Emergency Response Team
e-Cop e-Cop Pte Ltd
e-LC CSIRT e-LaCaixa CSIRT
esCERT-UPC CERT for the Technical University of Catalunya
secu-CERT SECUNET CERT
CREACION DEL CSIRT - UTPL
153
Anexo 2: Proyecto de Tesis
Universidad Técnica Particular de Loja
ESCUELA DE CIENCIAS DE LA COMPUTACIÓN
Información General del Proyecto
Título del Proyecto : Creación del CERT UTPL
Duración : 6 meses
Propuesto por : Grupo de Telecomunicaciones
Docente Investigador: Ing. María Paula Espinosa
Ing. Carlos Córdova
Línea de Investigación: Seguridad de la Información
Perfil de Tesista : Conocimientos Básicos de Seguridad de la Información.
Capacidad de Gestión
Propósito / Descripción
El proyecto busca definir el esquema y funcionamiento de un CERT, que permita operar un Equipo de Respuesta de Incidentes Formal en la UTPL
Componentes:
- Estudiar cómo está constituido un CERT, los tipos y funciones.
- Estudiar los CERT a nivel del mundo.
- Definir los requerimientos de la UTPL -Diseñar el CERT para la UTPL.
- Elaborar las políticas, procesos y funciones del CERT – UTPL.
- Implementar el Equipo de Respuesta de Incidentes de la UTPL.
Estrategia o Metodología de desarrollo (Opcional)
Resultados esperados
- CERT UTPL con políticas, procesos y funciones definidas reconocidas a nivel mundial
Cronograma
CREACION DEL CSIRT - UTPL
154
Componente Tiempo
-Estudiar cómo está constituido un CERT, los tipos y funciones 3 semanas
-Estudiar los CERT a nivel del mundo 2 semanas
-Definir los requerimientos de la UTPL 3 semanas
-Diseñar el CERT para la UTPL 8 semanas
-Elaborar la políticas, procesos y funciones del CERT – UTPL 4 semanas
-Implementar el Equipo de Respuesta de Incidentes de la UTPL 4 semanas
Presupuesto (Opcional)
Bibliografía / Recursos
www.cert.org www. seguridad.unam.mx
CREACION DEL CSIRT - UTPL
155
Anexo 3: DOMINIO 9: GESTIÓN DE INCIDENTES EN LA
SEGURIDAD DE LA INFORMACIÓN
Este dominio está conformado de la siguiente manera:
Dominio 13: Gestión de incidentes en la Seguridad de la Información
13.1. Notificación de Eventos y Puntos Débiles de la seguridad de la
Información
13.1.1. Notificación de los Eventos de la Seguridad de la
Información
13.1.2. Notificación de Puntos Débiles de la Seguridad
13.2. Gestión de Incidentes de la Seguridad de la Información y Mejoras
13.2.1. Responsabilidades y Procedimientos
13.2.2. Aprendizaje de los incidentes de Seguridad de la
Información
13.2.3. Recopilación de Evidencias
13.1. Notificación de Eventos y Puntos Débiles de la Seguridad de la Información
Objetivo:
Asegurar que los eventos y debilidades de la seguridad de la información asociados
con los sistemas de información sean comunicados de una manera que permita que
se realice una acción correctiva oportuna.
Se debieran establecer procedimientos formales de reporte y de la intensificación de
un evento. Todos los usuarios empleados contratistas y terceros debieran estar al
tanto de los procedimientos para el reporte de los diferentes tipos de eventos y
debilidades que podrían tener un impacto en la seguridad de los activos
organizacionales. Se les debiera requerir que reporten cualquier evento y debilidad de
la seguridad de la información lo más rápidamente posible en el punto de contacto
designado.
13.1.1. Notificación de los Eventos de Seguridad de la Información
Control
CREACION DEL CSIRT - UTPL
156
Los eventos de seguridad de la información debieran ser reportados a través de los
canales gerenciales apropiados lo más rápidamente posible.
Lineamiento de implementación
Se debiera establecer un procedimiento formal para el reporte de eventos en la
seguridad de la información, junto con un procedimiento de respuesta y de
intensificación de incidentes, estableciendo la acción a tomarse al recibir un reporte de
un evento en la seguridad de la información.
Se debiera establecer un punto de contacto para el reporte de eventos en la seguridad
de la información.
Se debiera asegurar que este punto de contacto sea conocido a través de toda la
organización, que siempre esté disponible y sea capaz de proporcionar una respuesta
adecuada y oportuna.
Todos los usuarios empleados, contratistas y terceros debieran estar al tanto de la
responsabilidad de reportar cualquier evento en la seguridad de la información lo más
rápidamente posible.
También debieran estar al tanto del procedimiento para reportar eventos en la
seguridad de la información y el punto de contacto.
Los procedimientos de reporte deben incluir:
a) Procesos de retroalimentación adecuados para asegurar que aquellos que
reportan eventos en la seguridad de la información sean notificados de los
resultados después de haber tratado y terminado con el problema;
b) Formatos de reporte los eventos en la seguridad de la información para
respaldar la acción de reporte, y ayudar a la persona que reporta a recordar
todas las acciones necesarias en caso de un evento en la seguridad de la
información;
c) Se debe tomar la conducta correcta en el caso de un evento en la seguridad de
la información; es decir
1) anotar todos los detalles importantes inmediatamente (por ejemplo,
el tipo de no-cumplimiento o violación, mal funcionamiento actual,
mensajes en la pantalla, conducta extraña);
2) no llevar a cabo ninguna acción por cuenta propia, sino reportar
inmediatamente al punto de contacto;
d) Referencia a un proceso disciplinario formal establecido para tratar con los
usuarios empleados, contratistas o terceros que cometen violaciones de
seguridad.
CREACION DEL CSIRT - UTPL
157
En los ambientes de alto riesgo, se puede proporcionar una alarma de coacción29
mediante la cual una persona que actúa bajo coacción puede indicar dichos
problemas. Los procedimientos para responder ante las alarmas de coacción debieran
reflejar la situación de alto riesgo que estas alarmas indican.
Otra información
Los ejemplos de eventos e incidentes de seguridad de la información incluyen:
pérdida del servicio, equipo o medios;
mal funcionamiento o sobre-carga del sistema;
errores humanos;
incumplimientos de las políticas o lineamientos;
violaciones de los acuerdos de seguridad física;
cambios del sistema no controlados;
mal funcionamiento del software o hardware;
violaciones de acceso.
Con el debido cuidado a los aspectos de confidencialidad, los incidentes en la
seguridad de la información pueden ser utilizados en la capacitación de los usuarios
como ejemplos de lo que podría suceder, cómo responder ante tales incidentes y
cómo evitarlos en el futuro.
Para poder tratar apropiadamente los eventos e incidentes en la seguridad de la
información podría ser necesario recolectar evidencia lo más pronto posible después
de la ocurrencia (ver sección 13.2.3).
El mal funcionamiento o cualquier otra conducta anómala del sistema pueden ser un
indicador de un ataque a la seguridad o una verdadera violación de la seguridad y, por
lo tanto, siempre debiera reportarse como un evento en la seguridad de la información.
13.1.2. Notificación de Puntos Débiles de la Seguridad
Control
Se debiera requerir que todos los usuarios empleados, contratistas y terceros de los
sistemas y servicios de información tomen nota de y reporten cualquier debilidad de
seguridad observada o sospechada en el sistema o los servicios.
Lineamiento de implementación
29
Una alarma de coacción es un método para indicar secretamente que una acción se está
realizando “bajo coacción”.
CREACION DEL CSIRT - UTPL
158
Todos los usuarios empleados, contratistas y terceros debieran reportar estos temas
ya sea a su gerencia o directamente al proveedor de su servicio lo más rápidamente
posible para evitar incidentes en la seguridad de la información. El mecanismo de
reporte debiera ser fácil, accesible y estar disponible lo más posible. Ellos debieran ser
informados que no debieran, en ninguna circunstancia, tratar de probar una debilidad
sospechada.
Otra información
Los usuarios empleados, contratistas y terceros debieran ser advertidos de no tratar
de probar las debilidades de seguridad sospechadas. La prueba de las debilidades
podría ser interpretada como un mal uso potencial del sistema y también podría
causar daños al sistema o servicio de información y resultar en la responsabilidad
legal para la persona que realiza la prueba.
13.2. Gestión de incidentes de la Seguridad de la información y Mejoras
Objetivo:
Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los
incidentes en la seguridad de la información.
Se debieran establecer las responsabilidades y procedimientos para manejar de
manera efectivo los eventos y debilidades en la seguridad de la información una vez
que han sido reportados. Se debiera aplicar un proceso de mejoramiento continuo
para la respuesta a, monitoreo, evaluación y la gestión general de los incidentes en la
seguridad de la información.
Cuando se requiera evidencia, esta se debiera recolectar cumpliendo con los
requerimientos legales
13.2.1. Responsabilidades y Procedimientos
Control
Se debieran establecer las responsabilidades y los procedimientos de la gerencia para
asegurar una respuesta rápida, efectiva y metódica ante los incidentes de la seguridad
de la información.
Lineamiento de la implementación
Además de reportar los eventos y debilidades en la seguridad de la información (ver
también 13.1), se debiera utilizar el monitoreo del sistema, alertas y vulnerabilidades
para detectar los incidentes en la seguridad de la información. Se debieran considerar
CREACION DEL CSIRT - UTPL
159
los siguientes lineamientos para los procedimientos de gestión de incidentes en la
seguridad de la información:
a) se debieran establecer procedimientos para manejar los diferentes tipos de
incidentes en la seguridad de la información, incluyendo:
fallas del sistema de información y pérdida del servicio
código malicioso
negación del servicio
errores resultantes de data comercial incompleta o inexacta
violaciones de la confidencialidad e integridad
mal uso de los sistemas de información
b) además de los planes de contingencia normales, los procedimientos también
debieran cubrir:
análisis e identificación de la causa del incidente;
contención;
planeación e implementación de la acción correctiva para evitar la
recurrencia, si fuese necesario;
comunicaciones con aquellos afectados por o involucrados con la
recuperación de un incidente;
reportar la acción a la autoridad apropiada;
c) se debiera recolectar y asegurar rastros de auditoría y evidencia similar,
conforme sea apropiado para:
análisis interno del problema;
uso como evidencia forense en relación a una violación potencial del
contrato o el requerimiento regulador o en el caso de una acción legal
civil o
criminal; por ejemplo, bajo la legislación sobre el mal uso de
computadoras o
protección de data;
negociación para la compensación de los proveedores del software y
servicio;
d) se debieran controlar formal y cuidadosamente las acciones para la
recuperación de las violaciones de la seguridad y para corregir las fallas en el
sistema; los procedimientos debieran asegurar que:
CREACION DEL CSIRT - UTPL
160
sólo el personal claramente identificado y autorizado tengan acceso a
los
sistemas vivos y la data para el acceso externo
se documenten en detalle todas las acciones de emergencia realizadas;
la acción de emergencia sea reportada a la gerencia y revisada de una
manera adecuada;
la integridad de los sistemas y controles comerciales sea confirmada
con una demora mínima.
Se debieran acordar con la gerencia los objetivos para la gestión de incidentes en la
seguridad de la información, y se debieran asegurar que aquellos responsables de la
gestión de incidentes en la seguridad de la información entiendan las prioridades de la
organización para el manejo de los incidentes en la seguridad de la información.
Otra información
Los incidentes en la seguridad de la información podrían trascender fuera de las
fronteras organizacionales y nacionales. Para responder a estos incidentes se
necesita cada vez más coordinar la respuesta y compartir información sobre estos
incidentes con organizaciones externas, conforme sea apropiado.
13.2.2. Aprendizaje de los incidentes de Seguridad de la Información
Control
Se debieran establecer mecanismos para permitir cuantificar y monitorear los tipos,
volúmenes y costos de los incidentes en la seguridad de la información.
Lineamiento de implementación
Se debiera utilizar la información obtenida de la evaluación de los incidentes en la
seguridad de la información para identificar los incidentes recurrentes o de alto
impacto.
Otra información
La evaluación de los incidentes en la seguridad de la información pueden indicar la
necesidad de incrementar o establecer controles adicionales para limitar la frecuencia,
daño y costo de ocurrencias futuras, o tomarlos en cuenta en el proceso de revisión de
la política de seguridad .
13.2.3. Recopilación de Evidencias
Control
CREACION DEL CSIRT - UTPL
161
Cuando una acción de seguimiento contra una persona u organización después de un
incidente en la seguridad de la información involucra una acción legal (ya sea civil o
criminal); se debiera recolectar, mantener y presentar evidencia para cumplir con las
reglas de evidencia establecidas en la(s) jurisdicción(es) relevante(s).
Lineamiento de implementación
Se debieran desarrollar y seguir los procedimientos internos cuando se recolecta y
presenta evidencia para propósitos de una acción disciplinaria manejada dentro de
una organización.
En general, las reglas de evidencia debieran abarcar:
a) admisibilidad de la evidencia: si la evidencia se puede o no se puede utilizar
en la corte;
b) peso de la evidencia: la calidad e integridad de la evidencia.
Para lograr la admisibilidad de la evidencia, la organización debiera asegurar que sus
sistemas de información cumplan con todos los estándares o códigos de práctica
publicados para la producción de evidencia admisible.
El peso de la evidencia provisto debiera cumplir con cualquier requerimiento aplicable.
Para lograr el peso de la evidencia, se debiera demostrar mediante un rastro de
auditoría sólido la calidad y la integridad de los controles utilizados para proteger
correcta y consistentemente la evidencia (es decir, evidencia del control del proceso)
durante todo el período en que la evidencia a ser recuperada fue almacenada y
procesada. Este rastro de auditoría sólido se puede establecer bajo las siguientes
condiciones:
a) para los documentos en papel: el original se debiera mantener de manera
segura con un registro de la persona quien encontró el documento, el lugar
donde se encontró el documento, cuándo se encontró el documento y quién
presenció el descubrimiento; cualquier investigación debiera asegurar que no
se alteren o manipulen los originales;
b) para la información en medios de cómputo: se debieran realizar imágenes
dobles o copias (dependiendo de los requerimientos aplicables) de cualquier
medio e información en discos duros o en memoria para asegurar su
disponibilidad; se debiera mantener un registro de todas las acciones
realizadas durante el proceso de copiado y el proceso debiera ser atestiguado;
el medio original y el registro (si esto no es posible, por lo menos una imagen
doble o una copia) se debieran mantener de manera segura y sin ser tocados.
Cualquier trabajo forense sólo se debiera realizar en las copias del material de
evidencia. Se debiera proteger la integridad de todo el material de evidencia. El
CREACION DEL CSIRT - UTPL
162
copiado del material de evidencia debiera ser supervisado por personal confiable y se
debiera registrar la información sobre cuándo y dónde se realiza el proceso de
copiado, quién realiza las actividades de copiado y cuáles herramientas y programas
se han utilizado.
Otra información
Cuando recién se detecta un evento en la seguridad de la información, puede no ser
obvio si el evento resultará, o no, en una acción legal. Por lo tanto, existe el peligro
que la evidencia necesaria sea destruida involuntaria o accidentalmente antes de
percatarse de la seriedad del incidente. Es aconsejable involucrar a un abogado o la
policía desde el inicio de una acción legal contemplada y tomar asesoría sobre la
evidencia requerida.
La evidencia puede trascender las fronteras organizacionales y/o jurisdiccionales. En
tales casos, se debiera asegurar que la organización tenga el derecho de recolectar la
información requerida como evidencia. Se debieran considerar los requerimientos de
las diferentes jurisdicciones para maximizar las posibilidades de admisión a través de
las jurisdicciones relevantes.
CREACION DEL CSIRT - UTPL
163
Anexo 4: FORMATO DE ENCUESTAS
ENCUESTA ADMINISTRADORES DE SERVIDORES
Fecha:______________________________________________________________
Nombres: ___________________________________________________________
Area:_______________________________________________________________
Cargo:______________________________________________________________
e-mail:______________________________________________________________
Objetivo
Obtener información acerca de los incidentes de seguridad que se han presentado en
los diferentes sistemas o servicios de la Universidad, así como los mecanismos que
utilizan los administradores para prevenirlos y minimizarlos.
1. El origen de los incidentes ha sido:
Internos
Externos
A quien los a reportado?
……………………………………………………………………………………………………
…………………………………………………………………………………………………
2. ¿Realiza constantemente análisis de Seguridad a los sistemas que usted
administra?.
Si la respuesta es si por favor indique el tipo de análisis que realiza.
……………………………………………………………………………………………………..
……………………………………………………………………………………………………..
……………………………………………………………………………………………………..
Si la respuesta es No mencione las personas encargadas de realizar el
análisis.
……………………………………………………………………………………………………..
……………………………………………………………………………………………………
CREACION DEL CSIRT - UTPL
164
3. ¿De las siguientes tecnologías, cuáles utiliza actualmente?
Control de Acceso (Password)
Encriptación de Archivos
Software Antivirus
Firewalls
Sistemas de Detección de Intrusiones
Certificados Digitales
Redes Privadas Virtuales
Test de Penetración
Si hay alguno que no esté en la lista por favor lístelos a continuación:
…………………………………………………………………………………………………
…………………………………………………………………………………………………
…………………………………………………………………………………………………
4. ¿Del análisis realizado qué tipo de incidentes a encontrado?
Problema Frecuencia de
Ocurrencia
(1-100 %)
Gravedad de los
daños
Critico, No
Crítico, Normal,
Problemas de Red
Internet
Correo electrónico
Modificación de páginas web
Robo de información confidencial
Denegación de Servicios
Spamming de correo electrónico
Acceso no autorizado a los sistemas
Ataques de Virus
Pérdida de Información
Errores en entrada de datos o de
programación (base de datos)
Fallos durante el Procesamiento de
Transacciones (base de datos)
Fallas a nivel de Software
Fallas a nivel de Hardware
Errores en la configuración de equipos
Crítico: Representan situaciones de alto riesgo, afectan a los sistemas críticos,
requieren de respuesta inmediata.
No crítico: Fallas en sistemas utilizados por usuarios.
CREACION DEL CSIRT - UTPL
165
Normal: problemas que afecten a sistemas de menos importancia.
5. ¿En cuanto a políticas de seguridad, de las siguientes cuáles tiene
implementadas?
Políticas de seguridad Si No
No conoce
Contraseñas
- De Equipo
- De red
Respaldos de Bases de Datos,
Sistemas, información
importante para la
organización.
Planes de Contingencia
Detección de virus
Detección de vulnerabilidades
Protección de cuentas de
Riesgo
Seguridad Física
6. ¿Guarda algún registro de la detección de virus, pérdida de
información, daño en los equipos ó de algún otro tipo de incidente en
repositorios como: bitácoras, base de datos, estadísticas, etc.?
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
7. ¿Maneja algún formato para el reporte de incidentes?
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
CREACION DEL CSIRT - UTPL
166
Anexo 5:
DESCRIPCIÓN DE SERVICIOS EQUIPO CSIRT - UTPL
(De acuerdo a la norma RFC 2350)
1. Información del Documento
1.1. Fecha de la última actualización:
10 de Agosto de 2008
1.2. Listas de Distribución:
Las notificaciones con las últimas actualizaciones se enviarán a una lista de
correo, en la que constarán los nombres de todos los contactos que mantiene
el CSIRT-UTPL.
Cualquier persona que requiera se le envíen información del CSIRT-UTPL
debe registrarse a la dirección asignada para el Equipo.
1.3. Ubicación del Documento:
La versión actual del documento se la puede descargar de la página web del
CSIRT-UTPL.
2. Información de Contacto
2.1. Nombre del Equipo:
“CSIRT-UTPL”: Equipo de Respuesta a Incidentes de Seguridad Informática
de la Universidad Técnica Particular de Loja.
2.2. Dirección:
CSIRT-UTPL
Universidad Técnica Particular de Loja
San Cayetano Alto
Loja-Ecuador
2.3. Zona Horaria:
UTC-GMT -5
2.4. Número de Teléfono:
PBX: (593)(07)2 570275
2.5. Número de Fax:
CREACION DEL CSIRT - UTPL
167
Fax: (593)(07)2 584893
2.6. Otras Comunicaciones:
No disponible
2.7. Dirección de Correo Electrónico:
2.8. Llaves Publicas y encriptación de información:
No disponible
2.9. Miembros del Equipo:
Ing. María Paula Espinosa
Equipo NOC/SOC
Gestión Productiva
Tesistas
2.10. Horario Local:
Atención en horas de oficina (08H00-13h00 / 15H00: 19H00).
2.11. Puntos de contacto para clientes:
La comunicación entre el Equipo CSIRT-UTPL y los miembros de la
universidad puede ser a través de los siguientes medios: Correo Electrónico,
Teléfono, Fax, para enviar informes utilice los formatos establecidos por el
Equipo CSIRT-UTPL.
3. Constitución
3.1. Misión:
“Promover la investigación en temas de seguridad, para de esta manera tomar
medidas preventivas, establecer procesos de respuesta que sean eficientes
para mitigar los posibles daños que cualquier incidente ocasione en los
sistemas de información de la UTPL.”
3.2. Comunidad a la que brinda Servicios:
El Equipo CSIRT-UTPL ofrece servicios de manejo y prevención de Incidentes
al Personal docente y administrativo de la Universidad Técnica Particular de
Loja, el modelo implementado es el CSIRT Académico.
3.3. Patrocinio / Afiliación:
El Equipo CSIRT – UTPL es patrocinado por la Universidad Técnica Particular
de Loja.
3.4. Autoridad:
CREACION DEL CSIRT - UTPL
168
La autoridad del Equipo CSIRT-UTPL en lo referente al manejo y respuesta a
incidentes será compartida con el director de la UPSI y director de CITTE, es
decir que el equipo brindará asesoría en cuanto a las soluciones más
adecuadas que se debe aplicar.
4. Políticas
4.1. Tipo de Incidentes y nivel de Soporte:
El Equipo CSIRT-UTPL se encarga de manejar y dar solución a todos los
incidentes que sucedan o no en los diferentes equipos de la UTPL. El tipo de
respuesta que brinde el Equipo dependerá de la gravedad del incidente
reportado, la gravedad de los mismos se determinará haciendo uso de
metodología para el manejo de incidentes existente en la universidad.
4.2. Cooperación, Interacción y divulgación de la Información:
La información será manejada con absoluta confidencialidad de acuerdo a las
políticas y procedimientos establecidos dentro de la UTPL, en el caso de que
se proceda a publicar la información esta será previa autorización de los
dueños de la misma, en el caso que esto se incumpla el caso será manejado
de acuerdo a las políticas establecidas por la universidad para estos casos.
4.3. Comunicación y Autenticación:
No disponible
5. Servicios
5.1. Respuesta a Incidentes
El equipo CSIRT-UTPL ayudará en las tareas relacionadas con el manejo y
repuesta a incidentes de acuerdo las metodologías realizadas para el manejo
de los mismos, trabajará conjuntamente con el Equipo NOC/SOC en la
generación de alertas, reportes, estadísticas y capacitación a usuarios.
Algunas de las actividades a realizarse de acuerdo al manejo de incidentes
son:
5.1.1. Función Triage:
Realizar tareas de clasificación de los reportes de incidentes recibidos,
para determinar la gravedad y prioridad de los mismos.
5.1.2. Coordinación del Incidente:
Realizar tareas de coordinación de respuesta a incidentes y
vulnerabilidades, para determinar el origen de los incidentes, redactar
CREACION DEL CSIRT - UTPL
169
anuncios que informen de los incidentes atendidos y vulnerabilidades
encontradas, levantar estadísticas
5.1.3. Resolución del Incidente
La respuesta que se brinde será realizando análisis a primer nivel, de
acuerdo a la experiencia de los integrantes del equipo.
5.2. Actividades Proactivas
Para los servicios proactivos se ha tomado en cuenta dos aspectos los
servicios proactivos como tal, y un Laboratorio CSIRT que se encargará de
realizar investigación y formulación de proyectos.
Los servicios proactivos que se brindarán en el Equipo CSIRT-UTPL son:
Servicios de Detección de Intrusiones
Implementación y configuración de Herramientas, Aplicaciones,
Infraestructuras y servicios de seguridad.
Estudio de Tráfico Malicioso
Estudio de vulnerabilidades y patrones de ataque
Investigación sobre las nuevas formas de ataques,
Definición de políticas de seguridad.
El área de Laboratorio se encargará de Formular proyectos de investigación.
6. Formularios para el reporte de Incidentes
Para realizar el reporte de incidentes debe utilizar los formatos elaborados por el
Equipo CSIRT-UTPL, los mismos que se pueden obtener en el Equipo CSIRT-
UTPL.
7. Disclaimer
El Equipo CSIRT-UTPL no se responsabiliza por el mal uso que se dé a la
información aquí contenida.
CREACION DEL CSIRT - UTPL
170
Anexo 6: Propuesta para la Creación del CSIRT-UTPL
Definición de Proyecto UTPL
Nombre del Proyecto:
Implementación de un Equipo de Respuesta a Incidentes para la Universidad Técnica Particular de Loja (CSIRT – UTPL)
Preparado por: Rebeca Pilco Vivanco. (Estudiante Escuela Ciencias de la Computación)
Departamento / Escuela / CITTES / Empresa:
Grupo de Telecomunicaciones / Esc. de Ciencias de la Computación / UPSI / UTPL
Fecha: 16 de Julio de 2008
Antecedentes y Objetivos
Antecedentes
Los diferentes tipos de servicios y actividades que se realizan en cada uno de los
CITTES de la Universidad hace que toda la información que manejan se convierta
en un punto vulnerable por cuanto la mayor parte de las transacciones y actividades
se realizan en su mayoría sobre una plataforma de comunicaciones en la red interna
e internet, por otro lado los sistemas se ven afectados por diferentes tipos de
incidentes entre los que se registran problemas de red, denegación de servicios y
ataques de virus, por citar los más importantes, no hay un departamento al que se
pueda reportar algún incidente ni que se encargue de recolectar y llevar algún tipo
de registro de los mismos.
El presente proyecto propone la creación de un Equipo de Respuesta a Incidentes
para la Universidad Técnica Particular de Loja (CSIRT-UTPL) que inicialmente será
implementado como un Laboratorio de Seguridad y conjuntamente con el NOC/SOC
serán los encargados de brindar respuestas y soluciones a los incidentes y
vulnerabilidades que se encuentren en los sistemas informáticos de la Universidad,
fortaleciendo de ésta manera la línea de investigación de Seguridad de la
Información, que hoy en día se considera como un componente transversal a todos
los procesos de las organizaciones.
Objetivos
CREACION DEL CSIRT - UTPL
171
Brindar respuestas ágiles y minimizar el daño que pueden causar los
diferentes incidentes que se reportan en los sistemas de la UTPL.
Incrementar los niveles de seguridad en la UTPL haciendo uso de
metodologías y políticas para la respuesta a incidentes.
Realizar constante capacitación a los miembros del equipo CSIRT-UTPL .
Convertirnos en un grupo de investigación en temas de seguridad de la
información.
Establecer contactos con otros equipos CSIRT en la región
Equipo Del Proyecto
Rol Nombre
Sponsor Carlos Correa A. – UPSI
Gerente de Proyecto Ing. María Paula Espinosa
Gerente de Producto Ing. María Paula Espinosa
Línea de Investigación / Proceso de Negocio
Equipo de Seguridad de la Información
Otros Stakeholders (ej. Clientes) Equipo NOC/SOC
Alcance Del Proyecto
Dentro del Alcance del Proyecto
1. Difusión de Alertas y Advertencias
CREACION DEL CSIRT - UTPL
172
2. Análisis y Manejo de Incidentes y Vulnerabilidades haciendo uso de las diferentes herramientas diseñadas para estos fines.
3. Llevar un grupo formal de investigación que aporte al equipo en la identificación y solución de problemas, entre otros.
4. Definir políticas y procedimientos para el funcionamiento interno del CSIRT-UTPL
Fuera del Alcance del Proyecto
1. Configuración y Mantenimiento de Herramientas, Infraestructura y servicios de seguridad.
2. Desarrollo de herramientas de Seguridad
3. Realizar Auditorías de Seguridad
Suposiciones
Suposiciones
1. NOC/SOC en capacidad de brindar servicios de nivel 1
2. Contratación de personal para temas de investigación
3. Aprobación de presupuesto
4.
CREACION DEL CSIRT - UTPL
173
Metas
Formar parte del Forum of Incidente Response and Security Teams (FIRST)
Conformar un grupo de Respuesta a Incidentes Formal que se encargue de analizar, identificar y brindar soluciones a los incidentes que se presenten en la UTPL, haciendo uso de políticas y metodologías de resolución de incidentes permitiendo así brindar de una mejor manera diferentes tipos de servicios a la UTPL.
Convertirnos en un grupo proactivo, que siempre esté preparado para dar soluciones en el momento oportuno y con las soluciones adecuada.
Crear conciencia en los diferentes usuarios acerca de la importancia de implementar un CSIRT en la organización.
Una vez implementado el proyecto se obtendrá algunos beneficios como:
o Coordinación de respuesta a incidentes de manera efectiva
o Establecer canales de comunicación entre el CSIRT y todas las dependencias de la universidad para un adecuado reporte y respuesta a incidentes.
o Compartir información entre diferentes equipos de Respuesta a incidentes a nivel mundial.
o Realizar un constante monitoreo a los sistemas críticos de la universidad, para de esta manera estar prevenidos ante cualquier incidencia y saber que hacer el momento que ocurra.
Resultados
Equipo de personas capacitado para responder a incidentes realizando
trabajos conjuntos con el grupo NOC/SOC, haciendo uso de metodologías para
el manejo de incidentes y políticas internas para el grupo.
Mantener un portal WEB en el que conste un formulario para realizar un
correcto reporte de incidentes y en que se realce la publicación de las mejores
prácticas de seguridad.
Conseguir un sponsor que nos auspicie en ingreso al FIRST.
CREACION DEL CSIRT - UTPL
174
Reducir el número de posibles ataques y tomar medidas para disminuir el
número de vulnerabilidades encontradas.
Índices de Medición
Metas Resultados Indices de Medición
Creación formal del Equipo CSIRT (Laboratorio y NOC/SOC)
Equipo de personas
capacitado para responder
a incidentes realizando
trabajos conjuntos con el
grupo NOC/SOC, haciendo
uso de metodologías para
el manejo de incidentes y
políticas internas para el
grupo.
Servicios brindados:
Laboratorio CSIRT: Servicios Reactivos.
NOC/SOC: Servicios Proactivos
Establecer comunicación directa con todas las áreas de la universidad para el reporte de incidentes.
Portal WEB en el que conste un formulario para realizar los reporte de incidentes.
Cantidad de reportes manejados en el grupo CSIRT.
Alianzas estratégicas con otros CSIRTs.
Encontrar un sponsor que nos auspicie el ingreso al FIRST
Auditorías y visitas realizadas por otros equipos a nivel de Latinoamérica.
Crear recursos de investigación en temas de seguridad del a información
Contar con herramientas adecuadas de estudio de tráfico, análisis de vulnerabilidades y estudio de patrones
Reportes del malware en el campus, clasificado por tipo, vulnerabilidad, método de propagación ,etc
Patrones de comportamiento de tráfico UTPL y anomalías
Definición de Tiempos Fecha Inicial: _____14 de Julio de 2008_________
Fecha Final: _______________________________
CREACION DEL CSIRT - UTPL
175
Fase de Proyecto
Tarea Fecha Estimada de
Termino / Estado Actual
Definición Aprobación de Definición Inicial 04/12/07
Planificación Reunión Inicial 14/07/08
Aprobación Inicial En proceso
Cronograma de Tareas En proceso
Plan de Comunicación En proceso
Aceptación Inicial En proceso
Revisión Adicional (si es requerida) En proceso
Ejecución Orden de Equipos / Materiales En proceso
Cierre Reunión de Cierre de Proyecto En proceso
Issues, Riesgos y Factores Mitigantes del Proyecto
Issue/Riesgo
Posible impacto (AMB)
Mitigación
1. No aprobación de proyecto
A Replantearlo
2. No contar con personal requerido
M Trabajar siempre con estudiantes y personal de backup
CREACION DEL CSIRT - UTPL
176
3. Aprobación parcial del proyecto
M Definir fases prioritarias
4. NOC/SOC no pase adecuadamente a Gestión de Servicios
M Crear un área para el manejo de incidentes con personal nuevo.
Riesgos si no se realiza el Proyecto
Riesgo
1. No avanzar los temas de investigación en la línea de seguridad
2. No hay conocimiento real del tráfico de la red
3. Falta de definición de riesgos
Personal Involucrado
Dependecia / Escuela # de personas % de tiempo Rol / Habilidades
Ciencias de la Computación
1 Completo
Coordinador
Proyectos de Investigación
Ciencias de la Computación
3 Completo NOC/SOC
Ciencias de la Computación
2 Completo Proyectos de Investigación
CREACION DEL CSIRT - UTPL
177
Presupuesto Preliminar
Costos Iniciales: ________$ 9760,00_______________________
Costos Incrementales: ____$8500,00_______________________
Aceptación:
SPONSOR: [Carlos Correa L.]
Gerente de Proyecto: [Ing. María Paula Espinosa]
CREACION DEL CSIRT - UTPL
178
CREACION DEL CSIRT - UTPL
179
Bibliografía
Equipos de Respuesta a Incidentes
Segu-info.com.ar
Equipos de respuesta a incidentes
http://www.segu-info.com.ar/politicas/incidentes.htm
ArCERT
CSIRT - Preguntas más frecuentes
http://www.arcert.gov.ar/webs/csirt_faq.html#7
COL-CSIRT
Preguntas más frecuentes
http://www.udistrital.edu.co/comunidad/grupos/arquisoft/colcsirt/?q=node/4#3
Martínez Carlos Marcelo, Título: “Experiencia de implantación de un CSIRT en
ANTEL-Uruguay”
http://www.asiap.org/interjiap/Conferencias/Conferencias%202007/ANTEL .ppt
VELASQUEZ Solha Liliana: Título “CAIS/RPN El CSIRT de la Red
Académica Brasileña”
http://www.arcert.gov.ar/tc/presentaciones/lunes/PanelI-CAIS.pdf
Estructura, Visión y Modelo Organizacional de un CSIRT
CERT/CC, Título: “Staffing tour Computer Security Incident Response Team –
What Basic Skills Are Needed?
http://www.cert.org/work/software_assurance.html
Killcrece Georgia, Kossakowski Klaus, Ruefle Robin, Zajicek Mark, Título:
“State of the Practice of Computer Security Incident Response Teams
(CSIRTs)”
www.cert.org/archive/pdf/03hb001.pdf
Evitando errores en el manejo de Incidentes de Seguridad
CREACION DEL CSIRT - UTPL
180
http://www.seguridad.unam.mx/descarga.dsc?arch=319
Morales Ricardo, Título: Proceso de Concientización
http://www.bsecure.com.mx/articulo-59-6626-381.html
Definición y Manejo de Incidentes
Respuesta a Incidentes de Seguridad de TI
http://www.microsoft.com/spain/technet/security/guidance/disasterrecovery/resp
onding_sec_incidents.mspx
Grance Tim, Karen Ken, Brian Kin, Título ” Computer Security incident Handling
Guide, Recommendations of the national institute of Standards an Technology”
, January 2004.
http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf
Políticas
Diseño de Políticas de Seguridad
http://www.cert.gov.ve/docs/DISENO_DE_POLITICA_DE_SEGURIDAD.pdf
Políticas y Modelos de Seguridad
http://www.sc.ehu.es/jiwibmaj/ApuntesCastellano/TEMA_12-politicas-.pdf
CREACION DEL CSIRT - UTPL
181
REFERENCIAS
[1] Zator Systems: ”Notas sobre Internet”
www.zator.com/Internet/A2_1a.htm
Fecha de Consulta: Febrero de 2008
[2] CERT, “Darpa Establishes Computer Emergency Response”
www.cert.org/about/1988press-rel.html
Fecha de Consulta: Febrero de 2008
[3] Moira J. West-Brown, Don Stikvoort, Klaus-Peter Kossakowski, Georgia
Killcrece, Robin Ruefle, Mark Zajicek, Handbook for Computer Security
Incident Response Teams (CSIRTs), First release: December 1998, 2nd
Edition: April 2003.
http://www.cert.org/archive/pdf/csirt-handbook.pdf
Fecha de Consulta: Febrero de 2008
[4] Killcrece Georgia, Título: “Steps for Creating National CSIRTs”
http://www.cert.org/archive/pdf/NationalCSIRTs.pdf
Fecha de Consulta: Mayo de 2008
[5] Enisa: “Cómo Crear un CSRIT paso a paso”
http://enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guide_EN
ISA-ES.pdf /
Fecha de Consulta: marzo de 2008
[6] CSI SURVEY 2007
The 12th Annual Computer Securiry Survey
http://i.cmpnet.com/v2.gocsi.com/pdf/CSISurvey2007.pdf
Fecha de Consulta: Febrero de 2008
[7] FIRST
http://www.first.org/
Fecha de Consulta: Febrero de 2008
[8] Comité Interamericano contra el Terrorismo (CICTE)
CREACION DEL CSIRT - UTPL
182
Recomendaciones del Segundo Encuentro de Especialistas en Seguridad
Cibernética sobre la estrategia integral de seguridad cibernética de la OEA:
Fomento de la Red interamericana de Respuesta a incidentes de seguridad
Cibernética.
http://www.oas.org/juridico/spanish/cybGE_IVcicte_sp.doc
Fecha de Consulta: Marzo de 2008
[9] CICTE Informe 46
Actividades de contraterrorismo, La OEA avanza en el ámbito de los equipos
de respuesta a incidentes de seguridad cibernética.
http://www.cicte.oas.org/Rev/Es/About/Newsletters/Informe_46_spa.pdf
Fecha de Consulta: Marzo de 2008
[10] TERENA
http://www.terena.org/activities/tf-csirt/
Fecha de Consulta: Febrero de 2008
[11] APCERT
http://www.apcert.org/index.html /
Fecha de Consulta: Marzo del 2008
[12] FIRST: teams around the world
http://www.first.org/members/map/
Fecha de Consulta: Agosto de 2008
[13] Política y Procedimiento para Manejar, Documentar y Resolver Incidentes
Técnicos
http://www.uprb.edu/politicas/Politica-Procedimiento-Manejo-
Incidentes.pdf
Fecha de Consulta: Junio de 2008
[14] Priority Categories / RedIris
http://www.rediris.es/cert/servicios/iris-cert/prio.es.html
Fecha de Consulta: Junio/2008
[15] Kumar Ajoy, título: CIRT – Framework and Models
http://www.securitydocs.com/pdf/2964.PDF
CREACION DEL CSIRT - UTPL
183
Fecha de Consulta: junio de 2008
[16] Gómez Bermejo Alejandro, Título: Ponencia: “Gestión de incidentes de
Seguridad y planes de continuidad de negocio. Metodología y aspectos
prácticos para implantación”
http://www.1enise.inteco.es./ponencias/ENISET14_Alejandro_Gomez_Ber
mejo.pdf
Fecha de Consulta: Junio/2008
[17] ArCERT: “Gestión de Incidentes”
http://www.arcert.gov.ar/ncursos/material/Gestion_de_Incidentes_parte1_
vf.pdf
Fecha de Consulta: Junio/2008
[18] Pinzón Olmedo Freddy Bolívar, Título: “Desarrollo de una metodología para la
Identificación de Vulnerabilidades, Análisis Forense y Atención a Incidentes de
Seguridad en los Servidores de la UTPL”. Loja, 2008, paginación. Ingeniero en
sistemas Informáticos y Computación,
[19] Guel López Juan Carlos, Título: Creación de Equipos de Respuesta a
Incidentes de Seguridad en Cómputo
http://lacnic.net/documentos/lacnicix/Creacion-CSIRT-LACNIC.pdf.private
Fecha de Consulta: Junio de 2008
[20] La ISO 17799:2005 ya es la ISO 27002:2005.
http://sociedaddelainformacion.wordpress.com/xmlrpc.php
Fecha de Consulta: Junio de 2008
[21] Killcrece Georgia, Kossakowski Klaus-Peter, Ruefle Robin, Zajicek Mark,
Título: Organizational Models for Computer Security Incident Response Teams
(CSIRTs),
www.cert.org/archive/pdf/03hb001.pdf
Fecha de Consulta: Junio de 2008
[22] CERT
CREACION DEL CSIRT - UTPL
184
Creating a Computer Security Incident Response Team: A Process for Getting
Started
http://www.cert.org/csirts/Creating-A-CSIRT.html
Fecha de Consulta: Junio de 2008
[23] N. Brownlee RFC 2350
http://rfc.net/rfc2350.html#s3.3.1
Fecha de Consulta: Junio de 2008
[24] CLCERT: Mision
http://www.clcert.cl/
Fecha de Consulta: Junio de 2008
[25] CERT: “Incident Reporting Guidelines”
http://www.cert.org/tech_tips/incident_reporting.html
Fecha de Consulta: Junio de 2008
[26] Revista Institucional de la UTPL
http://www.utpl.edu.ec/images/stories/revista_institucional/revista_1.pdf
Fecha de Consulta: Junio de 2008
[27] wikipedia - Repositorio
http://es.wikipedia.org/wiki/Repositorio
Fecha de Consulta: Agosto de 2008
[28] wikipedia – Firewalls (Cortafuegos)
http://es.wikipedia.org/wiki/Cortafuegos_%28inform%C3%A1tica%29
Fecha de Consulta: Agosto de 2008
[29] Cabrera Cabrera Andrea Soledad, Cueva Jaramillo Henri Apolo, Título
“Estandarización, Publicación y Mantenimiento de las Políticas de Seguridad
de la Información para la Universidad Técnica Particular de Loja”. Loja, 2006,
paginación. Ingeniero en Sistemas informáticos y Computación. UTPL.
Biblioteca de la UTPL. Área de Programación de Computadores.
CREACION DEL CSIRT - UTPL
185
[30] Ruefle Robin, Título: “ FIRST Site Visit Requirements and Assessment”
http://first.org/membership/site-visit-V1.0.pdf
Fecha de Consulta: agosto de 2008
[31] Informes 2007 - IrisCERT
http://www.rediris.es/cert/doc/informes/2007/node4.html
Fecha de Consulta: agosto de 2008
[32] Estadísticas Reportadas al CERT.br
http://www.cert.br/stats/incidentes/#2008
Fecha de Consulta: agosto de 2008
CREACION DEL CSIRT - UTPL
186
PLAN PILOTO PARA LA IMPLEMENTACION DEL EQUIPO DE
RESPUESTA A INCIDENTES DE LA UNIVERSIDAD TECNICA
PARTICULAR DE LOJA
CSIRT-UTPL
CREACION DEL CSIRT - UTPL
187
PLAN PILOTO PARA LA IMPLEMENTACION DEL EQUIPO DE RESPUESTA A
INCIDENTES DE LA UNIVERSIDAD TECNICA PARTICULAR DE LOJA
CSIRT-UTPL
Propuesta
El plan piloto está compuesto de tres fases, la primera fase corresponde a los
aspectos generales que corresponden a la estructura organizativa del CSIRT-UTPL
como tal, la segunda fase consiste en la Implementación de la propuestas piloto del
Equipo y finalmente la tercera fase consiste en la Evaluación del Equipo.
Fase I: Estructura Organizativa del CSIRT-UTPL
La estructura organizativa del equipo está definida por los siguientes aspectos:
Visión del CSIRT-UTPL
- Misión
(Ver apartado 6.5.1.)
Funciones
o Realizar actividades preventivas tales como: capacitación, difusión de
alertas recibidas por informes de otros CSIRTs, implementación de políticas
de seguridad de la información.
o Llevar un grupo formal de investigación que aporte al equipo en la
identificación y solución de problemas.
o Atención de incidentes. (Ver: Políticas del CSIRT-UTPL)
Objetivos
o Incrementar los niveles de seguridad en la UTPL, mediante el uso de
políticas que sean conocidas y aplicadas por todos los usuarios.
o Convertirnos en un grupo de investigación en temas de seguridad de la
información.
o Conformar un grupo que sea el punto de contacto para el reporte de
incidentes y vulnerabilidades, que brinde servicios a la comunidad objetivo
del CSIRT-UTPL.
CREACION DEL CSIRT - UTPL
188
- Comunidad a la que el CSIRT va a brindar Servicios.
(Ver apartado 6.5.2.)
Para la implementación de la propuesta piloto se ha delimitado la comunidad
objetivo solamente a los Administradores de Servidores y servidores de Mail,
Web y Proxy de la UTPL.
- Lugar que ocupará el CSIRT – UTPL en la estructura organizacional
Ver apartado (6.5.3.)
Fase I I: Implementación de la Propuesta Piloto
- Personal a formar parte del CSIRT-UTPL
o Líder del equipo
o HelpDesk
o NOC/SOC
o Laboratorio de Seguridad
Estructura Organizativa del CSIRT
Figura 1: Organigrama inicial del CSIRT-UTPL
Actividades Iniciales:
CSIRT-UTPL
LIDER DE
GRUPO
NOC/SOC
HelpDesk
INVESTIGACIÓN
CREACION DEL CSIRT - UTPL
189
Una de las actividades iniciales es la capacitación, en la UTPL se utiliza la
herramienta OSIMM la misma que permite obtener reportes de las actividades
que se realizan en cada equipo, los administradores de servidores deben tener
conocimiento de esta herramienta, por lo tanto parte de las actividades iniciales
será la capacitación a los administradores de
servidores en el uso de la herramienta antes mencionada y también del uso de
la metodología para el manejo de incidentes y de las políticas del CSIRT-
UTPL.
Los administradores de servidores son los encargados de realizar el monitoreo
de los equipos de los que son responsables, los reportes de incidentes
obtenidos deben ser enviados al equipo NOC/SOC que es el encargado de
recibir toda la información relativa a incidentes y vulnerabilidades.
En el caso de encontrar algún tipo de vulnerabilidad debe enviar esta
información al grupo NOC/SOC haciendo uso de los formatos de reporte
establecidos en las políticas del CSIRT-UTPL.
Todos los incidentes de seguridad que se detecten deben ser enviados al
equipo NOC/SOC de acuerdo a los formatos que serán facilitados por el equipo
NOC/SOC.
NOC/SOC
El equipo NOC/SOC debe clasificar la información recibida de acuerdo a las
políticas del CSIRT-UTPL (Ver Políticas para el CSIRT-UTPL) esto se realiza
con el objetivo de levantar datos estadísticos de los eventos que ocurren en los
equipo.
HELPDESK
El Equipo de Soporte Técnico será en encargado de emitir los reportes de
HELPDESK, además siendo un equipo que brinda varios servicios a la
comunidad universitaria entre ellos la atención a incidentes como ataques de
virus, etc., debe realizar el registro de los virus atendidos (Ver: Reporte de
Código Malicioso) y enviarlos el grupo NOC/SOC para su difusión.
CREACION DEL CSIRT - UTPL
190
INVESTIGACIÓN
El área de investigación está conformada por el grupo de tesistas y gestión
productiva encargados de diferentes proyectos.
- Forma de Comunicación entre el CSIRT y los administradores:
o Formularios para reportar incidentes y vulnerabilidades encontradas.
- Servicios a brindar:
o Servicios Reactivos
o Alertas y Advertencias
o Manejo de Incidentes haciendo uso de la metodología para
incidentes y vulnerabilidades existente en la universidad.
o Reportes Estadísticos
o Servicios Proactivos
o Investigación (Observatorio de Tecnología)
o Servicios de Gestión y Calidad de la Seguridad
o Concientización
- Políticas
Las políticas y procedimientos se encuentran detallados en el folleto de Políticas
para el CSIRT-UTPL.
Dado que es un proyecto pilo de implementación, la infraestructura física no ha sido
tomada en cuenta, el CSIRT-UTPL funcionará inicialmente en el Grupo de
Telecomunicaciones formando parte del grupo de Seguridad, y el equipo NOC/SOC
forma parte del grupo de Soporte técnico.
El proyecto piloto presentado tiene como finalidad ser puesto en marcha y de esa
manera brindar servicios durante un plazo de tiempo y determinar la efectividad del
CREACION DEL CSIRT - UTPL
191
equipo, así mismo realizar una evaluación de la estructura y determinar si la misma
requiere de cambios.
Fase III: Evaluación de la Propuesta Piloto
Alcance de la Propuesta
Difusión de Alertas.
Conformar un grupo de investigación que aporte al equipo en la
identificación y solución de problemas.
Metas
Conformar un grupo de Respuesta a Incidentes Formal que se encargue de
analizar, identificar y brindar soluciones proactivas a los incidentes que se
presenten en la UTPL, haciendo uso de políticas y metodologías de
resolución de incidentes.
Crear conciencia en los diferentes usuarios acerca de la importancia de
implementar un CSIRT en la organización.
Resultados
Equipo de personas capacitado para responder a incidentes, realizando
trabajos conjuntos con el grupo NOC/SOC, haciendo uso de metodologías
para el manejo de incidentes y políticas internas para el grupo.
Reducir el número de posibles ataques y tomar medidas para disminuir el
número de vulnerabilidades encontradas.
Índices de Medición
Porcentaje de servicios brindados a la comunidad objetivo en el primer
semestre de implementación.
Estadísticas de los reportes recibidos y respuestas brindadas durante el
primer semestre de implementación.
Porcentaje de reportes atendidos frente a los reportes recibidos.
CREACION DEL CSIRT - UTPL
192
REPORTE DE CÓDIGO MALICIOSO
Nombre del Virus:
_____________________________________________________________________________
_____
Categoría (Virus, Spyware, etc.)
_____________________________________________________________________________
__
_____________________________________________________________________________
_
Tipo (Troyano, etc.)
_____________________________________________________________________________
_
Peligrosidad (Alta, Media, Baja)
_____________________________________________________________________________
Sistemas Operativos a los que afecta:
CREACION DEL CSIRT - UTPL
193
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
Método de Infección
_____________________________________________________________________________
____________________________________________________________________________
_____________________________________________________________________________
____
Método de Propagación
_____________________________________________________________________________
____________________________________________________________________________
_____________________________________________________________________________
____
Solución
_____________________________________________________________________________
____________________________________________________________________________
_____________________________________________________________________________
____
Si existe otra información no descrita en este formulario por favor detalle a continuación:
_____________________________________________________________________________
____________________________________________________________________________
CREACION DEL CSIRT - UTPL
194
_____________________________________________________________________________
____
_____________________________________________________________________________
____________________________________________________________________________
_____________________________________________________________________________
____
ET1N01 FORMATO PARA EL REPORTE DE INCIDENTES
CSIRT-UTPL
Equipo de Respuesta a Incidentes de Seguridad - UTPL
El formulario que se indica a continuación ha sido elaborado por el CISRT-UTPL para
ser utilizado en el reporte de información de cualquier incidente.
CREACION DEL CSIRT - UTPL
195
Toda la información que usted reporte será manejada de manera confidencial, la
información recibida solamente será publicada bajo su consentimiento.
El formulario debe ser enviado al Equipo CSIRT-UTPL por e-mail
Formulario de Notificación de Incidentes
Información de Contacto
Nombre:___________________________________________________________
Dependencia: _____________________________________________________
Correo Electrónico:_________________________________________________
Extensión: __________________________Fecha:________________________
Equipos Afectados
Nombre o Dirección IP de la Máquina:_________________________________
Explique brevemente el Trabajo que desarrolla en el Equipo que usted maneja,
(indique : Sistema Operativo, Programas Instalados, etc.):
_________________________________________________________________________
____________________________________________________________
Origen del Ataque
Realice una breve descripción de la forma en la que descubrió el incidente:
(cómo lo descubrió, si utilizó alguna herramienta, si conoce las fuentes del
ataque o cualquier información pertinente).
CREACION DEL CSIRT - UTPL
196
__________________________________________________________________
___________________________________________________________________
___________________________________________________________________
Firma Responsable
NOTA:
Recibido el informe en el Equipo CSIRT-UTPL se enviará un mensaje a su dirección de
correo electrónico, indicando que su reporte ha sido recibido y que pronto será
atendido.
Información de Contacto CSIRT-UTPL
Email: [email protected]
Teléfono: 2570275 ext_____
ET2N01 FORMATO PARA EL REPORTE DE VULNERABILIDADES
CSIRT-UTPL
Equipo de Respuesta a Incidentes de Seguridad - UTPL
CREACION DEL CSIRT - UTPL
197
El formulario que se indica a continuación ha sido elaborado por el CISRT-UTPL.
Si usted ha descubierto alguna vulnerabilidad en cualquier producto de software por
favor llene el formulario indicado a continuación y envíelo al CSIRT-UTPL
Formulario de Reporte de Vulnerabilidades
Información de Contacto
Nombre: ____________________________________________________________
Dependencia: _______________________________________________________
Correo Electrónico:___________________________________________________
Extensión:_____________________________Fecha:________________
La vulnerabilidad que usted ha descubierto ha sido reportada a los proveedores
de software de su organización:
Si ______
No ______
Si la respuesta es Sí, por favor indíquenos la siguiente información:
Fecha de su informe: _____________________________
Nombre de contacto del proveedor del software: _______________________
___________________________________________________________________
Teléfono del Proveedor: ______________________ ext:_______________
Dirección de e-mail del proveedor: __________________________________
INFORMACIÓN TÉCNICA
Describa la Vulnerabilidad encontrada:
CREACION DEL CSIRT - UTPL
198
___________________________________________________________________
___________________________________________________________________
Indique si conoce el impacto de la vulnerabilidad Encontrada:
(Por Ejemplo: Ataques de Denegación de Servicios, Intrusos pueden accedes a
servicios privilegiados, etc.)
___________________________________________________________________
___________________________________________________________________
Conoce acerca de parches o soluciones para esta vulnerabilidad
Si ____
No____
Si la respuesta es afirmativa indique toda la información que conozca.
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
Información de Contacto CSIRT-UTPL
Email: [email protected]
Teléfono: 2570275 ext_____
ET2N01 FORMATO PARA EL REPORTE DE VULNERABILIDADES
CSIRT-UTPL
CREACION DEL CSIRT - UTPL
199
Equipo de Respuesta a Incidentes de Seguridad - UTPL
El formulario que se indica a continuación ha sido elaborado por el CISRT-UTPL.
Si usted ha descubierto alguna vulnerabilidad en cualquier producto de software por
favor llene el formulario indicado a continuación y envíelo al CSIRT-UTPL
Formulario de Reporte de Vulnerabilidades
Información de Contacto
Nombre: ____________________________________________________________
Dependencia: _______________________________________________________
Correo Electrónico:___________________________________________________
Extensión:_____________________________Fecha:________________
La vulnerabilidad que usted ha descubierto ha sido reportada a los proveedores
de software de su organización:
Si ______
No ______
Si la respuesta es Sí, por favor indíquenos la siguiente información:
Fecha de su informe: _____________________________
Nombre de contacto del proveedor del software: _______________________
___________________________________________________________________
Teléfono del Proveedor: ______________________ ext:_______________
Dirección de e-mail del proveedor: __________________________________
CREACION DEL CSIRT - UTPL
200
INFORMACIÓN TÉCNICA
Describa la Vulnerabilidad encontrada:
___________________________________________________________________
___________________________________________________________________
Indique si conoce el impacto de la vulnerabilidad Encontrada:
(Por Ejemplo: Ataques de Denegación de Servicios, Intrusos pueden accedes a
servicios privilegiados, etc.)
___________________________________________________________________
___________________________________________________________________
Conoce acerca de parches o soluciones para esta vulnerabilidad
Si ____
No____
Si la respuesta es afirmativa indique toda la información que conozca.
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
Información de Contacto CSIRT-UTPL
Email: [email protected]
Teléfono: 2570275 ext_____
ET4N01 FORMATO PARA EL REGISTRO DE VULNERABILIDADES DE
CREACION DEL CSIRT - UTPL
201
LOS SERVIDORES
PLANTILLA DE REGISTRO DE VULNERABILIDADES
Número Vulnerabilidad : VU #______
“Tabla de registro de Vulnerabilidades”
Servidor
Dirección IP Nombre de dominio
Sistema O. Fecha
Puerto Protocolo Servicio Detalles del
servicio
Id Vulnerabilidad Correctivo Estado
CREACION DEL CSIRT - UTPL
202
CREACION DEL CSIRT - UTPL
203
NO10: Reporte, Clasificación y
Respuesta
de Incidentes y
Vulnerabilidades en la
Seguridad
CREACION DEL CSIRT - UTPL
204
Información del Documento
TÍTULO: Reporte, clasificación y Respuesta de Incidentes y Vulnerabilidades en
la Seguridad
VERSIÓN: 1.0
AUTOR: Rebeca Pilco Vivanco
ESTADO: Propuesto
Lista de Cambios
VERSIÓN FECHA AUTOR DESCRIPCIÓN
1.0 26-07-2008 Emisión Inicial
CREACION DEL CSIRT - UTPL
205
Contenido
CREACION DEL CSIRT - UTPL
206
1. Objetivo ........................................................................................................... 207
2. Responsables del cumplimiento ..................................................................... 207
3. Definiciones ..................................................................................................... 207
Consideraciones especiales ............................................................................. 207
PARA USUARIOS FINALES: ............................................................................. 208
Reporte de Incidentes de Seguridad ................................................................ 208
PARA ADMINISTRADORES DE SERVIDORES: ............................................... 209
Reporte de Vulnerabilidades ............................................................................. 209
Reporte y Respuesta a Incidentes y Vulnerabilidades .................................... 209
4. Sanciones por incumplimiento ....................................................................... 210
CREACION DEL CSIRT - UTPL
207
1. Objetivo
Definir los lineamientos básicos para el reporte, clasificación y respuesta de
incidentes y vulnerabilidades que se identifiquen en los sistemas de la universidad.
2. Responsables del cumplimiento
Todo el personal de la universidad.
3. Definiciones
Es norma de la Universidad:
Consideraciones especiales
Se considera como un Incidente a cualquier evento que comprometa la
seguridad de la información de los sistemas de la universidad, los eventos que
pueden ocurrir son:
o Accesos no autorizados a los sistemas
o Modificación de Páginas Web
o Problemas en la Red y correo electrónico
o Ataques de Virus
o Mal uso de Recursos Informáticos
CREACION DEL CSIRT - UTPL
208
o Mal funcionamiento de Hardware y Software
o No cumplimiento de políticas de Seguridad
Todo el personal que labora en la universidad debe conocer los
procedimientos establecidos para el reporte de incidentes que ocurran en los
sistemas de la universidad.
El personal encargado de Administrar cada uno de los servidores de la
Universidad es responsable del reporte de vulnerabilidades encontradas en los
sistemas y equipos que administran.
Los reportes de Incidentes y Vulnerabilidades deben ser enviados al Equipo
CSIRT-UTPL que es el Equipo encargado del análisis, clasificación y respuesta
inmediata de los mismos.
El Equipo CSIRT-UTPL es el responsable de coordinar actividades de
capacitación a los usuarios de la universidad acerca de la forma de realizar el
reporte de incidentes y vulnerabilidades (Ver Norma: N04: Concientización y
Capacitación a los Usuarios)
PARA USUARIOS FINALES:
Reporte de Incidentes de Seguridad
Cualquier incidente que sea detectado en los sistemas de la Universidad
debe ser reportado inmediatamente al Equipo de Respuesta a Incidentes
de Seguridad Informática de la Universidad (CSIRT-UTPL) a través de un
reporte de incidentes (ver Estándar Técnico: Formato para el Reporte de
Incidentes).
Puede contactarse con el personal del Equipo CSIRT-UTPL mediante correo
electrónico, teléfono o por visitando el portal del CSIRT-UTPL.
CREACION DEL CSIRT - UTPL
209
Ante cualquier incidente NO debe realizar acciones por sí mismo, sino
reportarlos al Equipo CSIRT-UTPL.
PARA ADMINISTRADORES DE SERVIDORES:
Reporte de Vulnerabilidades
Todos los usuarios de la Universidad deben reportar cualquier tipo de
vulnerabilidad observada en de los sistemas que manejan con el objetivo de
prevenir los incidentes en los sistemas de información.
Por ninguna circunstancia deben proceder a realizar pruebas con las posibles
vulnerabilidades encontradas, estas deben ser reportadas al Equipo CSIRT-
UTPL.
El mecanismo para reportar vulnerabilidades consiste en el envío de un
formulario en el que se registrará la información requerida. (ver estándar
técnico: Formato para el Reporte de Vulnerabilidades)
PARA EQUIPO CSIRT-UTPL
Reporte y Respuesta a Incidentes y Vulnerabilidades
Toda la información recibida debe ser manejada de acuerdo a las normas
establecidas en el Manual de Gestión de Seguridad de la Información (Ver
Norma: N02: Tratamiento de la Información).
Toda la información recibida en el Equipo CSIRT-UTPL, debe ser clasificada
(Ver Procedimiento: Clasificación de la Información)
Una vez clasificada la información se procede a brindar respuestas. (Ver
Procedimiento: Respuesta a Incidentes y Vulnerabilidades).
CREACION DEL CSIRT - UTPL
210
Constantemente se debe realizar el monitoreo constante de alertas y
vulnerabilidades (ver Norma: N013: Monitoreo) de todos los servidores y
sistemas críticos de la universidad, esta información debe ser enviada a los
encargados del Laboratorio de investigación CSIRT-UTPL para que sean
estudiados, estos deben ser enviados haciendo uso de los reportes
establecidos. (Ver Estándar Técnico: Reporte de Vulnerabilidades).
Si algún incidente es ocasionado de manera intencional se deben aplicar las
medidas establecidas en la universidad para las sanciones a los responsables.
Con la información recibida de incidentes y vulnerabilidades encontrados, se
deben levantar estadísticas, en las que se indica el tipo de daño causado y el
número de incidencias del incidente o vulnerabilidad en los sistemas de la
universidad.
4. Sanciones por incumplimiento
En proceso de definición
CREACION DEL CSIRT - UTPL
211
NO10: Reporte, Clasificación y
Respuesta
de Incidentes y
Vulnerabilidades en la
Seguridad
CREACION DEL CSIRT - UTPL
212
Información del Documento
TÍTULO: Reporte, clasificación y Respuesta de Incidentes y Vulnerabilidades en
la Seguridad
VERSIÓN: 1.0
AUTOR: Rebeca Pilco Vivanco
ESTADO: Propuesto
Lista de Cambios
VERSIÓN FECHA AUTOR DESCRIPCIÓN
1.0 26-07-2008 Emisión Inicial
CREACION DEL CSIRT - UTPL
213
CREACION DEL CSIRT - UTPL
214
Contenido
1. Objetivo ................................................................................. 215
2. Responsables del cumplimiento .................................................... 215
3. Definiciones ............................................................................. 215
Consideraciones especiales ................................................................. 215
Reporte de Incidentes de Seguridad ...................................................... 216
Reporte de Vulnerabilidades ............................................................... 217
Equipo CSIRT-UTPL ........................................... ¡Error! Marcador no definido.
4. Sanciones por incumplimiento ...................................................... 218
CREACION DEL CSIRT - UTPL
215
5. Objetivo
Definir los lineamientos básicos para el reporte, clasificación y respuesta de
incidentes y vulnerabilidades que se identifiquen en los sistemas de la universidad.
6. Responsables del cumplimiento
Todo el personal de la universidad.
7. Definiciones
Es norma de la Universidad:
Consideraciones especiales
Se considera como un Incidente a cualquier evento que comprometa la
seguridad de la información de los sistemas de la universidad, los eventos que
pueden ocurrir son:
o Accesos no autorizados a los sistemas
o Modificación de Páginas Web
o Problemas en la Red y correo electrónico
CREACION DEL CSIRT - UTPL
216
o Ataques de Virus
o Mal uso de Recursos Informáticos
o Mal funcionamiento de Hardware y Software
o No cumplimiento de políticas de Seguridad
Todo el personal que labora en la universidad debe conocer los
procedimientos establecidos para el reporte de incidentes que ocurran en los
sistemas de la universidad.
El personal encargado de Administrar cada uno de los servidores de la
Universidad es responsable del reporte de vulnerabilidades encontradas en los
sistemas y equipos que administran.
Los reportes de Incidentes y Vulnerabilidades deben ser enviados al Equipo
CSIRT-UTPL que es el Equipo encargado del análisis, clasificación y respuesta
inmediata de los mismos.
El Equipo CSIRT-UTPL es el responsable de coordinar actividades de
capacitación a los usuarios de la universidad acerca de la forma de realizar el
reporte de incidentes y vulnerabilidades (Ver Norma: N04: Concientización y
Capacitación a los Usuarios)
PARA USUARIOS FINALES:
Reporte de Incidentes de Seguridad
Cualquier incidente que sea detectado en los sistemas de la Universidad
debe ser reportado inmediatamente al Equipo de Respuesta a Incidentes
de Seguridad Informática de la Universidad (CSIRT-UTPL) a través de un
reporte de incidentes (ver Estándar Técnico: Formato para el Reporte de
Incidentes).
Puede contactarse con el personal del Equipo CSIRT-UTPL mediante correo
electrónico, teléfono o por visitando el portal del CSIRT-UTPL.
CREACION DEL CSIRT - UTPL
217
Ante cualquier incidente NO debe realizar acciones por sí mismo, sino
reportarlos al Equipo CSIRT-UTPL.
PARA ADMINISTRADORES DE SERVIDORES:
Reporte de Vulnerabilidades
Todos los usuarios de la Universidad deben reportar cualquier tipo de
vulnerabilidad observada en de los sistemas que manejan con el objetivo de
prevenir los incidentes en los sistemas de información.
Por ninguna circunstancia deben proceder a realizar pruebas con las posibles
vulnerabilidades encontradas, estas deben ser reportadas al Equipo CSIRT-
UTPL.
El mecanismo para reportar vulnerabilidades consiste en el envío de un
formulario en el que se registrará la información requerida. (ver estándar
técnico: Formato para el Reporte de Vulnerabilidades)
PARA EQUIPO CSIRT-UTPL
Reporte y Respuesta a Incidentes y Vulnerabilidades
Toda la información recibida debe ser manejada de acuerdo a las normas
establecidas en el Manual de Gestión de Seguridad de la Información (Ver
Norma: N02: Tratamiento de la Información).
Toda la información recibida en el Equipo CSIRT-UTPL, debe ser clasificada
(Ver Procedimiento: Clasificación de la Información)
Una vez clasificada la información se procede a brindar respuestas. (Ver
Procedimiento: Respuesta a Incidentes y Vulnerabilidades).
CREACION DEL CSIRT - UTPL
218
Constantemente se debe realizar el monitoreo constante de alertas y
vulnerabilidades (ver Norma: N013: Monitoreo) de todos los servidores y
sistemas críticos de la universidad, esta información debe ser enviada a los
encargados del Laboratorio de investigación CSIRT-UTPL para que sean
estudiados, estos deben ser enviados haciendo uso de los reportes
establecidos. (Ver Estándar Técnico: Reporte de Vulnerabilidades).
Si algún incidente es ocasionado de manera intencional se deben aplicar las
medidas establecidas en la universidad para las sanciones a los responsables.
Con la información recibida de incidentes y vulnerabilidades encontrados, se
deben levantar estadísticas, en las que se indica el tipo de daño causado y el
número de incidencias del incidente o vulnerabilidad en los sistemas de la
universidad.
8. Sanciones por incumplimiento
En proceso de definición
CREACION DEL CSIRT - UTPL
219
PR1N01 CLASIFICACIÓN DE LA INFORMACIÓN
Objetivo
Establecer pasos básicos para la clasificación de toda la información recibida al
CSIRT-UTPL, la misma que incluye los reportes de Incidentes y Vulnerabilidades.
Procedimiento
1. Enviar un acuse de recibo de que el reporte fue recibido y que brindará una
respuesta lo antes posible.
2. Realizar un proceso de Triage (clasificación) de todos los reportes recibidos
que consiste en:
a. Ordenar la información para determinar si los incidentes reportados
ya han sido atendidos anteriormente.
b. Asignar una prioridad a los incidentes reportados en base a la
Metodología para el manejo de incidentes y vulnerabilidades de la
Universidad.
c. Almacenar la información de acuerdo a la siguiente clasificación:
CSIRT #: para identificar a los incidentes.
VULN #: Para identificar a las vulnerabilidades.
INFO #: Para clasificar información de menor prioridad.
CREACION DEL CSIRT - UTPL
220
PR2N01 RESPUESTA A IINCIDENTES Y VULNERABILIDADES
Objetivo
Definir los pasos que se deben seguir para la respuesta a incidentes y
vulnerabilidades.
Procedimiento
1. Realizar una Evaluación Inicial del incidente.
2. Utilizar la Metodología para la Identificación de Vulnerabilidades,
análisis Forense y Atención a Incidentes de Seguridad en los Servidores
de la UTPL, esta debe ser aplicada según el caso que amerite, debe
realizarse el registro de vulnerabilidades encontradas en los servidores
de la Universidad, haciendo uso de los formatos señalados. (Ver
Estándar Técnico : Formato para el Registro de vulnerabilidades de los
Servidores)
1. Determinar las causas, responsables y el tipo del incidente que se ha
reportado, y enviar un informe a la persona que reportó el incidente
(Ver Estándar Técnico: Respuesta a Incidentes) indicando la respuesta
para el mismo.