"Creación de Equipos de Respuesta a Incidentes de Seguridad en Cómputo"

Creación de Equipos de Respuesta a Incidentes de Seguridad en Cómputo

->Tutorial de Seguridad en Redes<-

"Creación de Equipos de Respuesta a Incidentes de Seguridad en Cómputo"

Las redes de computadoras han revolucionado la forma en que se llevan a cabo los negocios, a la vez que han introducido riesgos potenciales.

Los cambios en la manera en cómo la sociedad hace uso de la tecnologí­a trae consigo nuevas posibilidades de intrusión.

En la mayorí­a de los casos, los administradores de las redes o sistemas no cuenta con la gente ni la experiencia para defenderse en contra de los ataques y reducir los daños.

Las organizaciones pueden responder de diferentes formas como defensa en contra de las amenazas de seguridad en Internet, ya sea manteniéndose al dí­a con los últimos parches de los sistemas operativos y las actualizaciones los productos, instalar defensas perimetrales e internas como ruteadores, firewalls, scanners y sistemas detectores de intrusos, con nuevas polí­ticas y procedimientos de seguridad, lanzando alertas de seguridad, capacitando a los empelados, clientes y miembros de la organización.

Un CSIRT (Computer Security Incident Response Team) es una Organización o Equipo que provee servicios y soporte para prevenir, manejar y responder a los incidentes de seguridad computacional.

En general:

Es un punto de contacto para el reporte de los problemas locales y de su rango de acción.

Asiste a la organización y en general a la comunidad de cómputo en la prevención y manejo de incidentes de seguridad en cómputo.

Comparte información y experiencias con el CSIRT/CC, otros equipos de respuesta y otros sitios y organizaciones adecuados.

La creación de un CSIRT es uno de los pasos que las organizaciones pueden tomar para proveer una estrategia más rápida de respuesta, para lo que habrá que identificar claramente las acciones y decisiones claves a considerarse para la planeación e implementación de éste en la organización.

Para poder implementar exitosamente un CSIRT, la organización deben reunir la información necesaria para ello (tipo de problemas, puntos crí­ticos, procesos, etc.), identificar el rango de acción y los servicios que proporcionará, la forma en que se estructurará, los equipos e infraestructura, obtener recursos (incluyendo personal, experiencia y financiamiento), autoridades, entre otras cosas más, basando sus acciones en una visión global de los requerimientos de su organización y en la misión que tiene la creación de este Equipo.

Se puede aprender de la experiencia de otros CSIRT, como lo son: MxCERT, SingCERT, CanCERT, CERT NASK, etc.

Cada Equipo determina:
El rango de servicios que proporcionará: horarios, polí­ticas, modo de operación, prioridades, herramientas y equipo, responsables, etc.
El nivel de soporte que dará a cada uno de los servicios: asignación de recursos, extensión y profundidad del servicio proporcionado, etc.

El plan de creación de un CSIRT, también tiene que ser retroalimentado por otros expertos de seguridad, otros CSIRT, proveedores de servicios de Internet y otros grupos de la misma organización.

Puede pensarse incluso, en modelos alternativos de CSIRT, los que pueden atender aspectos muy especí­ficos de seguridad, pueden ser equipos locales, virtuales, centralizados, combinados, etc. los que pueden evolucionar de acuerdo a los cambios y necesidades que vayan surgiendo y que se vayan evaluado, ya sea a corto o largo plazo.

No debemos olvidar que la constante evaluación crí­tica y promoción de mejoras continuas, son un punto importante para el crecimiento del CSIRT

Para obtener mayor información, consultar:

FIRST:
http://www.first.org/about/organization/teams/index.html

TERENA:
http://www.ti.terena.nl/teams/index.html

Site Security Hanbook
http://www.ietf.org/rfc/rfc2196.txt

NSS Security Improvement Modules

Avoiding the Trial-by-fire Approach to Security Incidents

--------------------------------------------------------------------

salu2