Lineamientos y Acciones Recomendadas

Transcripción

1 CAPITULO 1 Lineamients y Accines Recmendadas para la Frmación de un Centr de Respuesta a Incidentes de Seguridad Infrmática Página 13

2 Infrmación del Capítul 1 NOMBRE DOCUMENTO: Lineamients y accines recmendadas para la frmación de un centr de respuesta a incidentes de seguridad infrmática. FECHA DE CREACIÓN: Guatemala, 16 de Septiembre de AUTOR: AUTORIZADO POR: Ing. Jsé Luis Chávez Crtez Ing. Eduard Carz VERSIÓN DOCUMENTO: 1.0 TIPO DE DOCUMENTO: CONFIDENCIAL Página 14

3 1. Lineamients y accines recmendadas para la frmación de un centr de respuesta a incidentes de seguridad infrmática 1.1 Recmendacines rganizacinales y nrmativas para la integración de un CSIRT en la rganización A cntinuación se presenta un marc de infrmación que tiene ttal vinculación cn el prces rganizacinal y nrmativ para la integración de un CSIRT en una rganización. Inicia cn la descripción de la infrmación básica que debems saber sbre un CSIRT, pasand lueg pr las definicines de las plíticas de seguridad infrmáticas, gestión de incidentes y recmendacines de psibles escenaris de inserción dentr de la rganización Infrmación básica inicial En el pasad ha habid equivcacines que se han prducid respect a qué esperar de un CSIRT. El bjetiv de esta sección es prprcinar un marc para la presentación de ls temas más imprtantes (relacinads cn la respuesta de incidentes) que sn de interés Intrducción Antes de cntinuar, es imprtante cmprender claramente l que se entiende pr el términ "Equip de Respuesta a Incidentes de Seguridad Infrmática". Para ls prpósits de este dcument, un CSIRT es un equip que ejecuta, crdina y apya la respuesta a incidentes de seguridad que invlucran a ls sitis dentr de una cmunidad definida. Cualquier grup que se autdenmina un CSIRT debe reaccinar a incidentes de seguridad reprtads así cm a las amenazas infrmáticas de su cmunidad. Puest que es vital que cada miembr de una cmunidad sea capaz de entender l que es raznable esperar de su equip, un CSIRT debe dejar clar que pertenece a su cmunidad y definir ls servicis que el equip frece. Además, cada CSIRT debe publicar sus plíticas y prcedimients de peración. Del mism md, ests misms cmpnentes necesitan saber qué se espera de ells para que puedan recibir ls servicis de su equip. Est requiere que el equip también publique cóm y dónde reprtar ls incidentes. Se detalla la infrmación que debe tener en un dcument base que será utilizada pr un CSIRT para cmunicar dats relevantes de infrmación a sus integrantes. Ls cmpnentes de seguridad ciertamente deben esperar que un CSIRT les preste ls servicis que describen en la plantilla cmpleta. Es precis enfatizar que sin la participación activa de ls usuaris, la eficacia de ls servicis de un CSIRT puede ser disminuid cnsiderablemente. Este es particularmente el cas cn ls infrmes. Cm mínim, ls usuaris necesitan saber que deben infrmar ls incidentes de seguridad, saber cóm y dónde deben reprtarls. Muchs incidentes de seguridad infrmática se riginan fuera de ls límites de la cmunidad lcal y afectan a ls sitis en el interir, trs se riginan dentr de la cmunidad lcal y afectan a ls anfitrines ls usuaris en el exterir. A menud, el manej de incidentes de seguridad Página 15

4 requerirá varis sitis y un CSIRT para la reslución de cass que requieran este nivel de clabración. Las cmunidades necesitan saber exactamente cóm su CSIRT estará trabajand cn trs CSIRTs y rganizacines fuera de sus cmunidades, y qué infrmación será cmpartida. El rest de esta sección describe el cnjunt de temas y cuestines que un CSIRT necesita elabrar para sus integrantes. Sin embarg, n se trata de especificar la respuesta "crrecta" a cualquier área de un tema. Más bien, cada tema se discute en términs de l que este significa. También se presenta un panrama general de las tres áreas principales: La publicación de la infrmación pr un equip de respuesta. La definición de respuesta del equip cn relación a la respuesta de trs equips. Y, la necesidad de cmunicacines seguras. Para cncluir cn la descripción en detalle de tds ls tips de infrmación que la cmunidad necesita saber acerca de su equip de respuesta Qué se prtege cn un CSIRT? Un equip de respuesta debe de tener cm bjetiv prteger infraestructuras críticas de la infrmación, en base al segment de servici al que esté destinad así deberá de ser su alcance para cubrir requerimients de prtección sbre ls servicis que brinda. El CSIRT debe de brindar servicis de seguridad a las infraestructuras críticas de su segment básicamente. Las infraestructuras críticas en un país están distribuidas en grandes sectres, ls cuales pueden ser: Agricultura. Energía. Transprte. Industrias. Servicis Pstales. Suministrs de Agua. Salud Pública. Telecmunicacines. Banca / Finanzas. Página 16

5 Gbiern. Mientras que las infraestructuras de infrmación están segmentadas de la siguiente manera: Internet: servicis Web, Hsting, crre electrónic, DNS, etc. Hardware: servidres, estacines de trabaj, equips de red. Sftware: sistemas perativs, aplicacines, utilitaris. Sistemas de Cntrl: SCADA, PCS/DCS Alcance Las interaccines entre un equip de respuesta a incidentes y ls integrantes del equip de respuesta de la cmunidad requieren: Que la cmunidad entienda las plíticas y ls prcedimients del equip de respuesta. Que muchs equips de respuesta clabran para manejar incidentes, la cmunidad también debe entender la relación entre su equip de respuesta y trs equips. Y pr últim, muchas interaccines se aprvecharán de las infraestructuras públicas existentes, de md que la cmunidad necesita saber cóm las cmunicacines serán prtegidas. Cada un de ests temas se describe cn más detalle a cntinuación Publicand Plíticas y Prcedimients CSIRT Cada usuari que tiene acces a un Equip de Respuesta a Incidentes de Seguridad Cibernética debe saber tant cm sea psible sbre ls servicis e interaccines de este equip much antes de que él ella en realidad ls necesiten. Una declaración clara de las plíticas y prcedimients de un CSIRT ayuda al integrante a cmprender la mejr manera de infrmar sbre ls incidentes y qué apy esperar después. El CSIRT ayudará a reslver el incidente? Va a prprcinar ayuda a evitar incidentes en el futur? Clar que las expectativas, en particular de las limitacines de ls servicis prestads pr un CSIRT, harán que la interacción sea más eficiente y efectiva. Existen diferentes tips de equips de respuesta, alguns grups sn muy amplis (pr ejempl, CERT Centr de Crdinación de Internet), trs grups más limitads (pr ejempl, DFN- CERT, CIAC), y tras tienen grups muy restringids (pr ejempl, equips de respuesta cmercial, equips de respuesta crprativs). Independientemente del tip de equip de respuesta, la cmunidad debe de apyar el estar bien infrmads sbre las plíticas de su equip Página 17

6 y prcedimients. Pr l tant, es bligatri que ls equips de respuesta publiquen esa infrmación. Un CSIRT debe cmunicar tda la infrmación necesaria acerca de sus plíticas y servicis en una frma adecuada a las necesidades de sus integrantes. Es imprtante cmprender que n tdas las plíticas y prcedimients deben ser accesibles al públic. Pr ejempl, n es necesari entender el funcinamient intern de un equip cn el fin de interactuar cn él, cm cuand se infrma de un incidente recibir rientación sbre cóm analizar y asegurar un de ls sistemas. En el pasad, alguns de ls equips suministraban en una especie de Marc Operacinal, tras prprcinaban una lista de Preguntas Frecuentes (FAQ), mientras que trs escribiern dcuments para su distribución en cnferencias de usuaris bletines enviads. Recmendams que cada CSIRT publique sus directrices y prcedimients en su prpi servidr de infrmación (pr ejempl, un servidr de Wrld Wide Web). Est permitiría a ls integrantes acceder fácilmente a ella, aunque el prblema sigue siend cóm una persna puede encntrar su equip, la gente dentr de la cmunidad tiene que descubrir que hay un CSIRT a su dispsición". Se prevé que las plantillas de infrmación de un CSIRT prnt se cnvertirán en resultads de búsquedas pr ls distints mtres de búsqueda mderns, l que ayudará en la distribución de infrmación sbre la existencia del CSIRT y la infrmación básica necesaria para acercarse a ells. Independientemente de la fuente de la que se recupera la infrmación, el usuari de la plantilla debe cmprbar su autenticidad. Es altamente recmendable que ess dcuments vitales sean prtegids pr firmas digitales. Est permitirá al usuari verificar que la plantilla fue de hech publicada pr el CSIRT y que n ha sid manipulada (se asume que el lectr está familiarizad cn el us adecuad de las firmas digitales para determinar si un dcument es auténtic) Relacines entre diferentes CSIRTs En alguns cass, un CSIRT puede ser capaz de perar eficazmente pr sí mism y en estrecha clabración cn sus integrantes. Per cn las redes internacinales de hy en día es much más prbable que la mayría de ls incidentes a carg de un CSIRT participarán partes externas a él. Pr l tant, el equip tendrá que interactuar cn trs CSIRTs y sitis fuera de su cmunidad. La cmunidad debe cmprender la naturaleza y el alcance de esta clabración, cm infrmación muy sensible acerca de ls cmpnentes individuales pueden ser divulgads en el prces. La clabración entre ls CSIRTs pdría incluir las interaccines al preguntarle a ls trs equips de asesramient, la difusión de cncimient de ls prblemas y trabajar en cperación para reslver un incidente de seguridad que afectan a un más cmunidades de ls CSIRTs. Página 18

7 Al establecer relacines de apy de tales interaccines, CSIRT debe decidir qué tip de acuerds puede existir entre ells para cmpartir, sin embarg, a salvaguardar la infrmación, si esta relación puede ser divulgada, y si es así a quién. Tenga en cuenta que hay una diferencia entre un acuerd de intercnexión, dnde ls CSIRTs implicads estén de acuerd para trabajar junts y cmpartir la infrmación y la cperación simple, dnde un CSIRT ( cualquier tra rganización) simplemente pide ayuda cnsej a tr cntact de CSIRT. Aunque el establecimient de estas relacines es muy imprtante y afectan a la capacidad de un CSIRT en apy de su cmunidad crrespnde a ls grups implicads decidir sbre ls detalles específics. Está fuera del alcance de este dcument el hacer recmendacines para este prces. Sin embarg, el mism cnjunt de intercambi de infrmación que se utiliza para fijar las expectativas de una cmunidad de usuaris ayudará a las demás partes para cmprender ls bjetivs y ls servicis de un CSIRT específic para ser un punt de apy ante un eventual incidente Estableciend medis de cmunicación segurs Una vez que una de las partes ha decidid cmpartir infrmación cn tr equip, tdas las partes implicadas necesitan garantizar canales de cmunicación segurs. Ls bjetivs de la cmunicación segura sn: Cnfidencialidad: Puede alguien acceder al cntenid de la cmunicación? Integridad: Puede alguien manipular el cntenid de la cmunicación? Autenticidad: Esty cmunicad cn la persna "crrecta"? Es muy fácil de enviar falss , y n es difícil establecer una identidad falsa pr teléfn. Las técnicas criptgráficas, pr ejempl, PGP (Pretty Gd Privacy) PEM (Privacy Enhanced Mail) pueden prprcinar frmas eficaces de asegurar el crre electrónic, además cn el equip crrect, también es psible garantizar la cmunicación telefónica. Per antes de utilizar ests mecanisms, ambas partes necesitan de la infraestructura "crrecta", es decir, la preparación de anteman. La preparación más imprtante es garantizar la autenticidad de las claves criptgráficas utilizadas en la cmunicación segura: Claves Públicas (PGP y PEM): debid a que sn accesibles a través de Internet, las claves públicas deben ser autenticadas antes de ser utilizadas. PGP se basa en una "Red de Cnfianza" (dnde ls usuaris registran las claves de trs usuaris) y PEM se basa en una jerarquía (dnde las autridades de certificación firman las claves de ls usuaris). Claves Secretas (DES y PGP / cifrad cnvencinal): debid a que ests deben cncer tant al emisr y el receptr, las claves secretas deben ser cambiadas antes de la cmunicación a través de un canal segur. La cmunicación es fundamental en tds ls aspects de respuesta a incidentes. Un equip puede apyar de la mejr manera el us de las técnicas antes mencinadas, reuniend tda la Página 19

8 infrmación necesaria de una manera cherente. Requisits específics (tales cm llamar a un númer específic para cmprbar la autenticidad de las claves) debe quedar clar desde el principi. N está dentr del alcance de esta sección el reslver ls prblemas técnics y administrativs de las cmunicacines seguras. El punt es que ls equips de respuesta deben apyar y utilizar un métd que permita la cmunicación entre ells y sus integrantes (u trs equips de respuesta). Cualquiera que sea el mecanism, el nivel de prtección que frece debe ser aceptable para la cmunidad que l utiliza Manej de infrmación, Prcedimients y Plíticas Es muy imprtante que las plíticas y prcedimients de un equip de respuesta sean publicads en su cmunidad. En esta sección se listan tds ls tips de infrmación que la cmunidad necesita recibir de su equip de respuesta. La frma de hacer llegar esta infrmación a la cmunidad difiere de un equip a tr, así cm el cntenid de la infrmación específica. El bjetiv aquí es describir claramente ls diverss tips de infrmación que un cmpnente de la cmunidad espera de su equip de respuesta. L más imprtante es que un CSIRT tenga una plítica y que ls que interactúan cn el CSIRT sean capaces de btenerla y entenderla. Este esquema debe ser vist cm una sugerencia. Cada equip debe sentirse libre para incluir td aquell que cree que es necesari para apyar a su cmunidad Descripción de Históric de Actualización del Dcument Es imprtante detallar que tan reciente es un dcument. Además, se recmienda prprcinar infrmación sbre cóm btener infrmación sbre futuras actualizacines cambis de versión. Sin est, es inevitable que ls malentendids y las ideas erróneas surjan cn el tiemp, ls dcuments bslets pueden hacer más dañ. Se recmienda tener en cuenta ls siguientes punts: Fecha de la última actualización: est debería ser suficiente para permitir que cualquier persna interesada evalué la vigencia del dcument. Si se cnsidera cnveniente y adecuad, pdría ser prtun versinar el dcument. Lista de distribución: las listas de crre sn un mecanism cnveniente para distribuir infrmación actualizada a un gran númer de usuaris. Un equip puede decidir utilizar su prpia lista bien una ya existente para la ntificación de cambis a ls usuaris. La lista nrmalmente es integrada pr grups del CSIRT cn ls que se tienen interaccines frecuentes. Las firmas digitales se deben utilizar para enviar mensajes de actualización entre CSIRTs. Ubicación del dcument: la ubicación de un dcument debe de ser accesible a través de ls servicis de infrmación en línea de cada equip en particular. Ls integrantes de cada grup pueden fácilmente btener más infrmación sbre el equip y Página 20

9 cmprbar si las actualizacines sn recientes. Esta versión en línea también debería ir acmpañada de una firma digital Infrmación de Cntact Ls detalles cmplets de cóm pnerse en cntact cn el CSIRT deben describirse, aunque est pdría ser muy diferente para ls diferentes equips. En alguns cass cm ejempl, pdrían decidir n dar a cncer ls nmbres de ls miembrs de su equip. A cntinuación se listan las piezas de infrmación que sn recmendables de detallar: Nmbre del CSIRT. Dirección física (Ubicación). Dirección(es) de Crre(s) Electrónic(s). Zna hraria: est es útil para la crdinación de ls incidentes en el cual se cruzan znas hrarias. Númer de teléfn y fax. Otras telecmunicacines: alguns equips pueden frecer cmunicacines de vz segura. Las claves públicas y el cifrad: el us de técnicas específicas depende de la capacidad de ls scis de cmunicación para tener acces a ls prgramas, claves, etc. La infrmación pertinente debe darse a manera de facilitar a ls usuaris la habilitación del canal de cmunicación cifrad respectiv cuand interactúe cn el CSIRT. Ls miembrs del equip: infrmación discrecinal del grup. (Si aplicase.) Hrari de atención: el hrari de funcinamient semanal (8x5 7x24) y calendari de vacacines deberá indicarse aquí. Infrmación Adicinal del Cntact. El nivel de detalle de esta infrmación queda a criteri de cada grup. Est pdría incluir diferentes cntacts para diverss servicis, pdría ser una lista de servicis de infrmación en línea. Si en dad cas existen prcedimients específics para pder acceder a ciert servici se recmienda que se detalle adecuadamente Descripción del CSIRT Cada CSIRT debe tener un dcument que especifica l que tiene que hacer y la autridad baj la cual l hará. El dcument debe incluir al mens ls siguientes elements: Misión: debe centrarse en las actividades básicas del equip (definición de un CSIRT). Cn el fin de ser cnsiderad un Equip de Respuesta a Incidentes de Seguridad Infrmática, el equip debe ser cmpatible cn la presentación de infrmes de incidentes Página 21

10 y el apy de sus integrantes frente a ls sucess. Ls bjetivs y prpósits de un equip sn especialmente imprtantes y requieren una definición clara y sin ambigüedades. Cmunidad: pr ejempl, pdrían ser empleads de una empresa de sus suscriptres de pag, pdría ser definid en términs de un enfque tecnlógic, cm ls usuaris de un sistema perativ determinad. Una cmunidad CSIRT puede ser determinad de varias maneras. La definición de la cmunidad debe crear un perímetr alrededr del grup al que el equip prprcinará el servici. Es imprtante que exista una sección de plítica del dcument, la cual debe de explicar cóm serán tratadas las slicitudes fuera del perímetr definid. Si un CSIRT decide n revelar su cmunidad, se debe explicar el raznamient detrás de esta decisión. Pr ejempl, si se cbrasen servicis, el CSIRT n brindará una lista de sus clientes, sin que declarará que prestan un servici a un gran grup de clientes que se mantienen en secret debid a ls cntrats y clausulas de cnfidencialidad cn sus clientes. Las cmunidades pdrían reservarse, cm cuand un Prveedr de Servicis de Internet prprcina a un CSIRT servicis que frece a ls sitis de clientes que también tienen CSIRTs. La sección de la Autridad de la descripción del CSIRT (véase más abaj) debe dejar clar tales relacines. Organización Patrcinadra / Afiliación: la rganización patrcinadra, que autriza las accines del CSIRT, debe de respaldar las distintas actividades del CSIRT. Sabiend que est le ayudará a ls usuaris a cmprender ls antecedentes y la puesta en marcha del CSIRT; es infrmación vital para la cnstrucción de cnfianza entre un cmpnente y un CSIRT. Autridad: esta sección puede variar much de un CSIRT a tr, basada en la relación entre el equip y su cmunidad. Mientras que una rganización CSIRT dará su autridad pr la gestión de la rganización, un cmunidad CSIRT será apyada y elegida pr la cmunidad, generalmente en un rl de asesramient. Un CSIRT puede n tener la autridad para intervenir en el funcinamient de tds ls sistemas dentr de su perímetr. Se debe identificar el alcance de su cntrl, a diferencia del perímetr de su cmunidad. Si trs CSIRTs peran jerárquicamente dentr de su perímetr, est debe ser mencinad aquí, y ls CSIRTs relacinads identificads. La divulgación de la autridad de un equip puede expner a las reclamacines de respnsabilidad. Cada equip debe buscar cnsej legal sbre ests asunts Plíticas Es fundamental que ls Equips de Respuesta a Incidentes definan sus plíticas. A cntinuación se describen las siguientes: Plítica de Tips de Incidentes y Nivel de Apy: ls tips de incidentes que el equip sea capaz de hacer frente, y el nivel de apy que el equip frecerá al mment de respnder a cada tip de incidente, sn punts imprtantes. El nivel de ayuda puede cambiar dependiend de factres tales cm la carga de trabaj del equip y la integridad de la infrmación dispnible. Ests factres deberían ser descrits y sus efects deben ser explicads. Una lista de tips de incidentes cncids será incmpleta cn Página 22

11 respect a psibles futurs incidentes, así que un CSIRT también debería brindar alguns antecedentes "predeterminads" pr el apy a tips de incidentes n mencinads. El equip debe indicar si va a actuar sbre la infrmación que recibe y sus vulnerabilidades, mismas que crean prtunidades para futurs incidentes. Reaccinar sbre dicha infrmación, en nmbre de sus integrantes es cnsiderad cm un servici pcinal de la plítica practiva en lugar de una bligación de servici básic para un CSIRT. Plítica de C-peración, Interacción y Divulgación de Infrmación: se debe hacer explícit que ls grups relacinads cn el CSIRT habitualmente interactúan. Estas interaccines n están necesariamente relacinadas cn el equip de respuesta a incidentes de seguridad cibernética, per se utilizan para facilitar una mejr cperación en temas técnics de servicis. De ninguna manera se necesita detallar sbre ls acuerds de cperación entregads, el bjetiv principal de esta sección es dar a ls invlucrads una cmprensión básica de qué tip de interaccines se han establecid y sus prpósits. La cperación entre CSIRTs puede ser facilitada pr el us de un númer únic de asignación de etiquetas cmbinads cn ls prcedimients de traspas explícit. Est reduce la psibilidad de mals entendids, la duplicación de esfuerzs, asistencia en el seguimient de incidentes y evitará "cicls" en la cmunicación. La presentación de infrmes y la plítica de divulgación deben dejar clar quiénes serán ls destinataris CSIRT de un infrme en cada circunstancia. También debe tener en cuenta si el equip se espera para perar a través de tr CSIRT directamente cn un miembr de tra cmunidad sbre las cuestines que se refieren específicamente a ese miembr. Ls grups relacinads a un CSIRT van a interactuar cm se enumera a cntinuación: Equips de Respuesta a Incidentes: un CSIRT a menud necesita interactuar cn trs CSIRTs. Pr ejempl, un CSIRT dentr de una gran empresa puede tener que infrmar sbre ls incidentes a un CSIRT nacinal, y un CSIRT nacinal deberá infrmar de ls incidentes de CSIRTs nacinales en trs países para hacer frente a tds ls sitis implicads en un ataque a gran escala. La clabración entre CSIRTs puede cnducir a la divulgación de la infrmación. Ls siguientes sn ejempls de esa cmunicación, per n pretende ser una lista exhaustiva: Infrme de incidentes dentr de la cmunidad a trs equips. Si se hace est, el cncimient de la infrmación relacinada cn el siti puede ser del cncimient públic, accesible a tds, en particular la prensa. Manej de incidentes que curren dentr de la cmunidad, per que infrma fuera de ella (l que implica que algunas infrmacines ya han sid divulgadas fuera del siti). Página 23

12 Observacines de infrmación desde dentr de la cmunidad que indica sspecha incidentes cnfirmads fuera de él. Actuar sbre ls infrmes de incidentes de fuera de la cmunidad. Transmisión de infrmación sbre vulnerabilidades a las empresas, para scis CSIRT directamente a ls sitis afectads que se encuentran dentr fuera de la cmunidad. Cmentaris a las partes de la presentación de infrmes de incidentes vulnerabilidades. El suministr de infrmación de cntacts relativs a ls miembrs de la cmunidad, ls miembrs de trs grups interesads, CSIRTs, ls rganisms pliciales. Empresas: algunas empresas tienen su prpi CSIRT, per tras n pueden. En tales cass, un CSIRT necesitará trabajar directamente cn una empresa para prpner mejras mdificacines, para analizar el prblema técnic para pner a prueba las slucines previstas. Las empresas desempeñan un papel especial en el manej de un incidente si las vulnerabilidades de sus prducts están invlucradas en el incidente. Ls Organisms Pliciales: Ests incluyen la plicía y trs rganisms de investigación. CSIRT y usuaris deben ser sensibles a las leyes y reglaments lcales, ls cuales pueden variar cnsiderablemente en diferentes países. Un CSIRT puede asesrar sbre ls detalles técnics de ls ataques pedir asesramient sbre las cnsecuencias jurídicas de un incidente. Leyes y regulacines lcales pueden incluir la presentación de infrmes específics y ls requisits de cnfidencialidad. Prensa: Un CSIRT puede ser abrdad pr la prensa para infrmación y cmentaris de vez en cuand. Una plítica explícita relativa a la divulgación a la prensa puede ser útil, particularmente para aclarar las expectativas de ls integrantes de un CSIRT. La plítica de prensa suele ser muy sensible a ls cntacts de prensa. Otrs: est pdría incluir actividades de investigación de la relación cn la rganización patrcinadra. El estad predeterminad de cualquier infrmación relacinada cn la seguridad que un equip recibe pr l general será "cnfidencial", per la adherencia rígida de est hace que el equip parezca ser un agujer negr de infrmación. El cual puede reducir la prbabilidad de que el equip btenga la cperación de ls clientes y de tras rganizacines. Se hace necesari definir la infrmación que se debe de infrmar divulgar, a quién, y cuánd. Ls diferentes equips pueden estar sujets a diferentes restriccines legales que requieren restringen el acces, especialmente si trabajan en las diferentes jurisdicci- Página 24

13 nes. Además, pueden tener bligacines de infrmación impuestas pr su rganización patrcinadra. Cada equip debe especificar estas restriccines, tant para aclarar las expectativas de ls usuaris y para infrmar a ls trs equips. Ls cnflicts de interés, en particular en materia cmercial, también pueden limitar la divulgación de un equip. Un equip nrmalmente recgerá las estadísticas. Si se distribuye la infrmación estadística, la plítica de divulgación debe decirl, y debe describir cóm btener esas estadísticas. Plítica de Cmunicación y Autenticación: se debe tener una plítica que describa ls métds de cmunicación segura y verificable que se van a utilizar. Est es necesari para la cmunicación entre ls CSIRTs, y entre un CSIRT y sus integrantes. Se deben incluir las claves públicas para el adecuad establecimient de cmunicación segura junt cn directrices sbre cóm utilizar esta infrmación para cmprbar la autenticidad y la frma de tratar la infrmación dañada (pr ejempl, dnde infrmar de este hech). Pr el mment, se recmienda que cm mínim cada CSIRT tiene (si es psible), una clave PGP dispnible. Un equip también puede hacer trs mecanisms dispnibles (pr ejempl, PEM, MOSS, S/MIME), de acuerd a sus necesidades y las de sus integrantes. Obsérvese, sin embarg, que un CSIRT y ls usuaris deben ser sensibles a las leyes y reglaments lcales. Alguns países n permiten el cifrad fuerte, hacer cumplir las plíticas específicas sbre el us de la tecnlgía de cifrad. Además de cifrar la infrmación sensible cuand sea psible, la crrespndencia debe incluir la firma digital. (Tenga en cuenta que en la mayría de ls países, la prtección de la autenticidad mediante el us de la firma digital n se ve afectad pr las nrmas de encriptación existentes, simplemente n existe.) Para la cmunicación pr teléfn fax un CSIRT puede mantener en secret ls dats de autenticación de ls scis cn ls que puedan tratar, el us de una cntraseña frase puede ser un element definid previamente. Obviamente las claves secretas n deben ser publicadas, aunque se sepa de su existencia Servicis Ls servicis prestads pr un CSIRT pueden dividirse en ds categrías: actividades en tiemp real directamente relacinads cn la principal tarea de respuesta a incidentes, y actividades practivas n en tiemp real, de apy de la tarea de respuesta a incidentes. La segunda categría y parte de la primera categría cnsisten en servicis que sn pcinales en el sentid de que n tds ls CSIRT ls frecerán Respuesta a Incidentes La respuesta a incidentes pr l general incluye la evaluación de ls infrmes recibids sbre incidentes (Evaluación de Incidentes) y el seguimient de ésts cn trs CSIRTs, prveedres de Internet y sitis (Crdinación de Incidentes). Un tercer nivel de servicis, ayudand a un siti lcal para recuperarse de un incidente (Reslución de Incidentes), está cmpuest pr servicis típicamente pcinales, que n tds ls CSIRT frecerán. Página 25

14 Evaluación de Incidentes: pr l general incluye: Infrme de Evaluación: la evaluación de ls infrmes de entrada de incidentes, dand priridad a ells, y en relación a ls incidentes en curs y las tendencias. Verificación: ayuda a determinar si un incidente ha currid realmente, así cm su ámbit de aplicación. Crdinación de Incidentes: nrmalmente incluye: Categrización de la Infrmación: la categrización de ls incidentes relacinads cn la infrmación (archivs de registr, infrmación de cntact, etc.) cn respect a la plítica de divulgación de infrmación. Crdinación: la ntificación de las tras partes interesadas en una "necesidad de cncimient", según la plítica de divulgación de la infrmación. Reslución de Incidentes: Nrmalmente adicinal u pcinal, el servici de reslución de incidentes incluye: Asistencia Técnica: est puede incluir el análisis de ls sistemas cmprmetids. Erradicación: la eliminación de la causa de un incidente de seguridad (la vulnerabilidad expltada), y sus efects (pr ejempl, la cntinuidad del acces al sistema pr un intrus). Recuperación: ayuda en el restablecimient de ls sistemas afectads y ls servicis a su estad antes del incidente de seguridad Actividades Practivas Nrmalmente pcinal adicinal, ls servicis practivs pdrían incluir: El suministr de Infrmación: est pdría incluir un archiv de vulnerabilidades cncidas, parches reslucines de ls prblemas del pasad, listas de crre de asesramient. Herramientas de Seguridad: puede incluir herramientas para la auditria de la seguridad del siti. Educación y Entrenamient. Evaluación de Prducts. Auditría de Seguridad de la Web y Cnsulta Frmas de Ntificación de Incidentes Página 26

15 El us de ls frmularis de infrmación hace que sea más sencill para ls usuaris y ls equips hacer frente a incidentes. El usuari puede preparar respuestas a varias preguntas imprtantes antes de que él ella entren en cntact cn el equip, y pr l tant pueda venir bien preparad. El equip recibe tda la infrmación necesaria a la vez cn el primer infrme y se prceda de manera eficiente. Dependiend de ls bjetivs y ls servicis de un CSIRT en particular, las frmas múltiples pueden ser utilizadas, pr ejempl un frmulari para una nueva vulnerabilidad puede ser muy diferente de la frma utilizada para la cmunicación de incidentes. Es más eficaz prprcinar frmas a través de ls servicis de infrmación en línea del equip. Ls punters exacts que se les debe dar en el dcument de descripción de CSIRT, junt cn las declaracines acerca del us adecuad, y las directrices sbre cuánd y cóm utilizar ls frmularis. Si pr separad las direccines de crre electrónic sn cmpatibles cn la frma basada en el infrme, deben ser enumeradas aquí de nuev Clausula Aunque el dcument de descripción CSIRT n cnstituye un cntrat, la respnsabilidad puede cncebirse del resultad de las descripcines de ls servicis y prpósits. La inclusión de una clausula que aclare su función al finalizar el dcument se recmienda y debería avisar al usuari de las psibles limitacines. En situacines en que la versión riginal de un dcument debe ser traducid a tr idima, la traducción debe llevar una advertencia y un punter a la riginal. El us y la prtección de clausulas se ven afectadas pr las leyes y regulacines lcales, de ls cuales cada CSIRT debe ser cnsciente. En cas de duda el CSIRT debe cmprbar la declaración de la clausula cn un abgad Persnal que integra un CSIRT A cntinuación se listan una serie de características que sn valisas de tmar en cuenta para el prces de reclutamient de persnal para la frmación de un CSIRT, siend las siguientes: Diversidad de cncimients tecnlógics. Persnalidad: habilidad de cmunicación y relación persnal. Persnas dedicadas, innvadras, detallistas, flexibles y metódicas. Experiencia en el área de seguridad de la infrmación Se maneje cherentemente cn ls valres persnales y de la rganización. Pueden asumir las funcines de: gerente, líder del equip y/ supervisres. Para puests tales cm: Página 27

16 Encargads de tratamient de incidentes: persnal técnic que está capacitad para el tratamient de un incidente infrmátic. Encargads de tratamient de vulnerabilidades: persnal técnic que está especializad en el tratamient de deficiencias falls en la prgramación cnfiguración de un sistema infrmátic. Persnal de análisis y seguimient de cass: sn ls respnsables de llevar ls registrs y brindar el seguimient adecuad de ls cass y su análisis respectiv. Especialistas en platafrmas peracinales: técnics experimentads y especializads en el manej de platafrmas infrmáticas que tienen dmini del equip y sus respectivs sistemas infrmátics. Instructres: sn ls encargads de brindar enseñanza en ls diferentes temas dónde tengan su respectiva especialización. Técnics de Sprte: persnal especializad en el manej de hardware y/ sftware para la realización de tareas específicas. Otras funcines: Persnal de Apy. Redactres Técnics. Administración de Redes y/ Sistemas. Desarrlladres Web. Asesría de Prensa Cntacts Medis. Abgads en ficinas que l respaldan Plíticas de Seguridad Infrmática La psibilidad de intercnectarse a través de redes, ha abiert nuevs hrizntes a las empresas para mejrar su prductividad y pder explrar más allá de las frnteras nacinales, l cual lógicamente ha traíd cnsig, la aparición de nuevas amenazas para ls sistemas de infrmación. Ests riesgs que se enfrentan han llevad a que muchas empresas desarrllen dcuments y directrices que rientan en el us adecuad de estas destrezas tecnlógicas y recmendacines para btener el mayr prvech de estas ventajas, y evitar el us indebid de las mismas, l cual puede casinar seris prblemas a ls bienes, servicis y peracines de la empresa. Las plíticas de seguridad infrmática surgen cm una herramienta rganizacinal para cncientizar a ls clabradres de la rganización sbre la imprtancia y sensibilidad de la infrmación y servicis crítics que permiten a la institución crecer y mantenerse cmpetitiva. Ante esta situación, el prpner identificar una plítica de seguridad requiere un alt cmprmis cn la rganización, agudeza técnica para establecer fallas y debilidades, y cnstancia para Página 28

17 renvar y actualizar dicha plítica en función del dinámic ambiente que rdea las rganizacines mdernas Definición Una plítica de seguridad infrmática es una frma de cmunicarse cn ls usuaris, ya que las mismas establecen un canal frmal de actuación del persnal, en relación cn ls recurss y servicis infrmátics de la rganización. N se puede cnsiderar que una plítica de seguridad infrmática es una descripción técnica de mecanisms, ni una expresión legal que invlucre sancines a cnductas de ls empleads, es más bien una descripción de l que deseams prteger y el pr qué de ell, pues cada plítica de seguridad es una invitación a cada un de sus miembrs a recncer la infrmación cm un de sus principales activs así cm, un mtr de intercambi y desarrll en el ámbit de sus negcis. Pr tal razón, las plíticas de seguridad deben cncluir en una psición cnsciente y vigilante del persnal pr el us y limitacines de ls recurss y servicis infrmátics Elements Cm una plítica de seguridad debe rientar las decisines que se tman en relación cn la seguridad, se requiere la dispsición de tds ls miembrs de la rganización para lgrar una visión cnjunta de l que se cnsidera imprtante. Las plíticas de seguridad infrmática deben cnsiderar principalmente ls siguientes elements: Tabla 1: Características que cnfrman una plítica. Característica Alcance Objetiv(s) Identificación de Rles Respnsabilidad Interacción Prcedimients Relacines Mantenimient Sancines Descripción Alcance de la plítica, incluyend facilidades, sistemas y persnal sbre la cual aplica. Objetivs de la plítica y descripción clara de ls elements invlucrads en su definición. Las partes invlucradas en la plítica deben de ser claramente identificads. Deberes y respnsabilidades de las partes identificadas deben de ser definids. Describe la interacción aprpiada entre las partes identificadas dentr de la plítica. Prcedimients esenciales pueden ser llamads, per n deben ser explicads en detalle dentr de la plítica. Identifica las relacines entre la plítica, servicis y tras plíticas existentes. Describe las respnsabilidades y guías para el mantenimient y actualización de la plítica. Definición de vilacines y sancines pr n cumplir cn las plíticas. Página 29

18 Las plíticas de seguridad infrmática, también deben frecer explicacines cmprensibles sbre pr qué deben tmarse ciertas decisines y explicar la imprtancia de ls recurss. Igualmente, deberán establecer las expectativas de la rganización en relación cn la seguridad y especificar la autridad respnsable de aplicar ls crrectivs sancines. Otr punt imprtante, es que las plíticas de seguridad deben redactarse en un lenguaje sencill y entendible, libre de tecnicisms y términs ambigus que impidan una cmprensión clara de las mismas, clar está sin sacrificar su precisión. Pr últim, y n mens imprtante, el que las plíticas de seguridad, deben seguir un prces de actualización periódica sujet a ls cambis rganizacinales relevantes, cm sn: el aument de persnal, cambis en la infraestructura cmputacinal, alta rtación de persnal, desarrll de nuevs servicis, reginalización de la empresa, cambi diversificación del área de negcis, etc Parámetrs para su establecimient Es imprtante que al mment de frmular las plíticas de seguridad infrmática, se cnsideren pr l mens ls siguientes aspects: Efectuar un análisis de riesgs infrmátics, para valrar ls activs y así adecuar las plíticas a la realidad de la rganización. Reunirse cn ls departaments dueñs de ls recurss, ya que ells pseen la experiencia y sn la principal fuente para establecer el alcance y definir las vilacines a las plíticas. Cmunicar a td el persnal invlucrad sbre el desarrll de las plíticas, incluyend ls beneficis y riesgs relacinads cn ls recurss y bienes, y sus elements de seguridad. Identificar quién tiene la autridad para tmar decisines en cada departament, pues sn ells ls interesads en salvaguardar ls activs crítics de su área. Mnitrear periódicamente ls prcedimients y peracines de la rganización, de frma tal, que ante cambis las plíticas puedan actualizarse prtunamente. Detallar explícita y cncretamente el alcance de las plíticas cn el prpósit de evitar situacines de tensión al mment de establecer ls mecanisms de seguridad que respndan a las plíticas trazadas Raznes que impiden su aplicación A pesar de que un gran númer de rganizacines canalizan sus esfuerzs para definir directrices de seguridad y cncretarlas en dcuments que rienten las accines de las mismas, muy pcas alcanzan el éxit, ya que la primera barrera que se enfrenta es cnvencer a ls alts ejecutivs de la necesidad y beneficis de buenas plíticas de seguridad infrmática. Página 30

19 Otrs incnvenientes l representan ls tecnicisms infrmátics y la falta de una estrategia de mercade pr parte de ls Gerentes de Infrmática ls especialistas en seguridad, que llevan a ls alts directivs a pensamients cm: "más diner para juguetes del Departament de Sistemas". Esta situación ha llevad a que muchas empresas cn activs muy imprtantes, se encuentren expuestas a graves prblemas de seguridad y riesgs innecesaris, que en muchs cass cmprmeten infrmación sensitiva y pr ende su imagen crprativa. Ante esta situación, ls encargads de la seguridad deben cnfirmar que las persnas entienden ls asunts imprtantes de la seguridad, cncen sus alcances y están de acuerd cn las decisines tmadas en relación cn ess asunts. Si se quiere que las plíticas de seguridad sean aceptadas, deben integrarse a las estrategias del negci, a su misión y visión, cn el prpósit de que ls que tman las decisines recnzcan su imprtancia e incidencias en las pryeccines y utilidades de la cmpañía. Finalmente, es imprtante señalar que las plíticas pr sí slas n cnstituyen una garantía para la seguridad de la rganización, ellas deben respnder a intereses y necesidades rganizacinales basadas en la visión de negci, que lleven a un esfuerz cnjunt de sus actres pr administrar sus recurss, y a recncer en ls mecanisms de seguridad infrmática factres que facilitan la frmalización y materialización de ls cmprmiss adquirids cn la rganización Implementación, Mantenimient y Ejecución Una vez la validación de la plítica es cmpletada, la retralimentación debe de brindarse a ls creadres de las plíticas para que puedan realizar versines sbre las existentes. Una vez las revisines respectivas sn hechas la plítica tiene que ser revisada y prbada nuevamente. Al estar validada en su ttalidad y n ser necesarias más mdificacines, la plítica puede ser implementada. La plítica tiene que ser mantenida y actualizada, será necesari realizar revisines regulares sbre su cmprtamient en la vida real. Muchas de estas revisines serán equivalentes a revisines de validación. Las revisines se riginan pr el prces de validación, la cntinua validación de las plíticas sn realmente revisines sbre el cmprtamient de ls parámetrs de calidad. Mantenimient y ejecución sn parte del prces de un sistema de aseguramient de calidad. Cada plítica debe pseer un encargad designad quien mantiene el seguimient en la calidad del servici afectad vía el us de la misma; puede prpner cambis a la plítica inclusive para hacerla más aprpiada al prces. Las plíticas pueden y deben cambiar en el transcurs del tiemp, n debe de caer en que una vez instituida jamás se vuelva a actualizar Plíticas recmendadas A cntinuación se brinda un listad de las plíticas recmendadas que tiene que tener cm mínim una rganización: Página 31

20 Tabla 2: Plíticas recmendadas para la implementación de un CSIRT Plítica Cntenid Recmendad Plítica de Seguridad: sn las directrices y bjetivs generales de una rganización relativs a la seguridad, expresads frmalmente pr la dirección general. Las plíticas de seguridad deben de cntemplar seis elements claves en la seguridad: dispnibilidad, utilidad, integridad, autenticidad, cnfidencialidad y psesión. Alcances. (facilidades, sistemas y persnas.) Objetivs. Descripción de ls elements invlucrads. Respnsabilidades. Requerimients mínims de seguridad en la cnfiguración de ls distints sistemas. Respnsabilidades de ls usuaris cn respect a la infrmación a la que tienen acces. Plítica de Clasificación de Infrmación: es la definición de ls criteris de clasificación y acces a la infrmación. Intrducción / Descripción. Cntrl de Acces. Identificación / Clasificación. Interaccines de Tercers. Destrucción y Dispsición. Seguridad Física. Cnsideracines especiales (infrmación secreta). Plítica Externa para el acces de la Infrmación: clasificación de criteris de acces de entes externas a la rganización para la utilización de la infrmación que genera la rganización. Definición de Access y Prcess aprpiads para el acces a la infrmación. Expedientes requerids para el acces. Elabración de infrme para el acces. Plítica para la clasificación de ls Dats: establecer cóm se clasificarán ls dats dentr de la rganización según ls usuaris entidades que la cnsuman. Intrducción / Descripción. Cntrl de acces. Identificación / Clasificación. Interaccines de Tercers. Destrucción y Dispsición. Seguridad Física. Cnsideracines especiales (infrmación secreta). Plítica de Aislamient de la Infrmación: explica las clases de infrmación que se pueden recpilar, su naturaleza y criteris de us de la misma. Plasma excepcines de secret sbre algunas de ellas. Descripción y aplicabilidad. Definicines. Requisits Específics. Infrmación que se brindará al individu. El derech individual del acces a ls dats. Página 32

21 El derech individual de pnerse. Acces de dats persnales a tercers. Prces de secret y de seguridad. Supervisión de actividades internas. Plítica de Seguridad del Internet: es la descripción de ls lineamients de seguridad de acces al Internet y su relación cn la rganización. Intrducción. Integridad de la infrmación. Secret de la infrmación. Representacines públicas. Cntrles de access. Us persnal. Expectativas aislamient de access. Divulgación de prblemas de la seguridad. Plítica de Ntificación de Incidentes: define ls criteris permitids y adecuads para el tratamient de una ntificación sbre un incidente reprtad. Intrducción / Descripción. Cntrl de acces. Identificación. Clasificación de las ntificacines. Interaccines cn tercers. Destrucción y Dispsición. Cnsideracines especiales (infrmación secreta). Plítica de Tratamient de Incidentes: hace referencia a la frma ls medis que se utilizan para el manej de un incidente reprtad. Intrducción / Descripción. Prcedimient. Administración del riesg. Interaccines cn tercers. Reserva de infrmación. Cnsideracines especiales (infrmación secreta). Plítica de Cmunicación Externa: explica las nrmas para el manej del intercambi de cmunicación cn entidades externas a la rganización. Intrducción / Descripción. Cntrl de acces. Identificación. Clasificación de las ntificacines. Interaccines cn tercers. Destrucción y Dispsición. Cnsideracines especiales (infrmación secreta). Plítica de Entrenamient y Capacitación: detalla ls criteris de la rganización en el manej de ls prcess Descripción. Definicines. Página 33

22 de entrenamient y capacitación del persnal. Prcedimients. Reservas. Cnsideracines especiales. Plítica de Tratamient de Grandes Actividades: describe ls criteris de la rganización para el manej de un event que utilice una alta demanda de tiemp y recurs. Intrducción / Descripción. Prcedimient. Administración del riesg. Interaccines cn tercers. Reserva de infrmación. Cnsideracines especiales (infrmación secreta). Plítica de Errr Human: detalla las directrices manejs que ejecutará la rganización ante el eventual suces de que un integrante del equip cmenta un errr. Intrducción / Descripción. Cnsideracines. Factres implicads. Reserva de infrmación. Cnsideracines especiales (infrmación secreta). Plítica de Selección de Persnal: define ls criteris de la rganización para la implementación del prces de reclutamient. Objetivs. Descripción de ls aspects invlucrads. Prces de reclutamient. Derechs, bligacines y respnsabilidades. Plítica de Despid: define ls criteris que aplica la rganización cuand se da pr finalizad unilateralmente un cntrat labral cn un emplead. Descripción cnsistente respect a ls fines de la institución. Definicines. Prcedimient. Reservas. Cnsideracines especiales. Plítica de la Seguridad de la Cmputadra Persnal: descripción de ls criteris de aplicación de la seguridad infrmática sbre ls cmputadres persnales clasificads pr su nivel de us dentr de la rganización. Descripción. Us en el negci slamente. Cntrl de la cnfiguración. Cntrl de acces. Virus. Reserva. Destrucción. Dcumentación. Seguridad Física. Página 34

23 Plítica de Us del Crre Electrónic: establece ls lineamients de la utilización del crre electrónic de la rganización. Objetiv. Alcance. Respnsable. Dcuments asciads. Definicines. Lineamients del sistema de crre electrónic. Cndicines de us del crre electrónic. Plítica de la Seguridad de la Red de Cmputadras: establece ls lineamients de seguridad de tds ls activs infrmátics dentr de la red de cmputadras. Brinda un nivel de detalle pr cada dispsitiv que se tenga en la red de cmputadras de la rganización. Prpósit. Alcance. Plítica General. Respnsabilidades. Cntrl de acces del sistema. Us de cntraseñas. Prces de la cnexión y del términ de sesión. Privilegis del sistema. Establecimient de access. Virus Cmputacinales, Gusans y Caballs de Trya. Reserva de ls dats y de ls prgramas. Cifrad. Cmputadras prtátiles. Impresines en papel. Aislamient de access. Registrs y tras herramientas de la seguridad de ls sistemas. Manipulación de la infrmación de la seguridad de la red. Seguridad física del cmputadr y su cnectividad. Excepcines. Vilacines. Glsari de términs. Plítica de tele cnmutación de la infrmación: describe ls lineamients para el establecimient de la cmunicación pr medi de equips de telecmunicacines. Cntrl de edicines. Cntrl de access. Almacenamient de dats y medis. Medis de cmunicación. Administración del sistema. Cnsideracines del recrrid de ls dats. Seguridad física. Plítica de us de dispsitiv móviles: descripción de ls criteris de utilización de tds ls dispsitivs móviles que psea la rganización. Cntrl de edicines y access. Almacenamient de dats y medis. Medis de cmunicación. Administración del sistema. Página 35

24 Cnsideracines del recrrid de ls dats. Seguridad física. Plítica de la Seguridad de ls equips de Telecmunicacines (Interns y Externs): dicta las nrmas de la rganización para la aplicación de niveles de seguridad adecuads a ls distints dispsitivs de telecmunicación interns y externs que sean de la rganización. Descripción. Us en el negci slamente. Cntrl de la cnfiguración. Cntrl de acces. Fallas. Reserva. Destrucción. Dcumentación. Seguridad Física. Para la definición de las plíticas pueden existir diversidad de criteris e implementacines según la rganización CSIRT. Pr últim, para tener una visión más glbal en la implementación de plíticas de una rganización se presenta el estándar ISO 17799, dónde define las siguientes líneas: Seguridad rganizacinal: aspects relativs a la gestión de la seguridad dentr de la rganización (cperación cn elements externs, utsurcing, estructura del área de seguridad, etc.). Clasificación y cntrl de activs: inventari de activs y definición de sus mecanisms de cntrl, así cm etiquetad y clasificación de la infrmación crprativa. Seguridad del persnal: frmación en materias de seguridad, clausulas de cnfidencialidad, reprte de incidentes, mnitrización de persnal, etc. Seguridad física y del entrn: baj este punt se englban aspects relativs a la seguridad física de ls recints dnde se encuentran ls diferentes recurss - incluyend ls humans - de la rganización y de ls sistemas en sí, así cm la definición de cntrles genérics de seguridad. Gestión de cmunicacines y peracines: este es un de ls punts más interesantes desde un punt de vista estrictamente técnic, ya que englba aspects de la seguridad relativs a la peración de ls sistemas y telecmunicacines, cm ls cntrles de red, la prtección frente a malware, la gestión de cpias de seguridad el intercambi de sftware dentr de la rganización. Cntrles de acces: definición y gestión de punts de cntrl de acces a ls recurss infrmátics de la rganización: cntraseñas, seguridad perimetral, mnitrización de access... Desarrll y mantenimient de sistemas: seguridad en el desarrll y las aplicacines, cifrad de dats, cntrl de sftware, etc. Página 36