Computer Security Incident Response Team CSIRT

Transcripción

1 Computer Security Incident Response Team CSIRT

2 Sobre Nosotros Fundada en 2006 Equipo de consultores locales, +100 en toda el mundo Consultoría de Procesos en el área de tecnología, innovación y sistemas de información HQ en Panamá Misión Asistir a organizaciones a ser más competitivas por medio de una mejor utilización de los recursos de tecnología a través de procesos eficaces. 2

3 3

4 Somos Partners del Software Engineering Institute (SEI) El SEI es un organismo de prestigio mundial en el establecimiento de mejores prácticas para ingeniería de software. Pittsburgh, Pennsylvania, USA 4

5 Áreas de Actividad del SEI Seguridad informática: CERT Ingeniería de Software: CMMI, TSP Arquitectura de Software Adquisición de Tecnología CMMI- SVC CMMI- DEV CMMI- ACQ 5

6 Consultores de renombre internacional La Red Liveware Cobertura en América, Asia y Europa + 25 años de experiencia Constelación de 7 consultoras +100 consultores 6

7 Algunos de Nuestros Clientes Argentina Chile Argentina Rep. Dominicana 7

8 Clientes de Capacitación ACP ADR Autoridad Nacional de Aduanas Autoridad de Innovación Alianzasoft ASI Technologies Autoridad de los Servicios Públicos Autoridad de Turismo Banco General Banesco Cable Onda Caja de Ahorros Caja de Seguro Social Cervecería Nacional Cibernética Conéctate Copa Airlines Dirección de Tránsito Global Bank HSBC Icaza, González Ruiz y Alemán IFARHU INDRA Infosgroup IQ Nova St. Georges Bank La Prensa Superintendencia de Bancos Latam Consulting Services TESA Latam Trade and Commerce Towerbank Morgan & Morgan Tribunal Electoral Ministerio de Economía y Finanzas Universidad Tecnológica de Panamá Ministerio de Educación Ministerio de Comercio e Industrias Ministerio de Salud Ministerio de Obras Públicas Órgano Judicial Petróleos Delta Policía Nacional Quantic Vision Ricardo Pérez, S.A. SIONSA 8

9 Nos enfocamos en la Adopción Implementación Adopción 9

10 CSIRT

11 El inicio: CERT/CC 11

12 Adware Qué es un incidente de seguridad? Backdoor Trojans Bluejacking Bluesnarfing Boot Sector Viruses Extortion Browser Hijackers Chain Letters Cookies Denial of Service attack (DoS) Dialers Sabotage Document Viruses Viruses Internet Worms Mobile Phone Viruses Mousetrapping Obfuscated spam Page-jacking Palmtop viruses Parasitic viruses Pharming Phishing Vandalism Espionage Social Engineering 12

13 Gestión de incidentes Requiere del desarrollo de un plan de acción y de procesos que son: Consistentes Repetibles Motivados por la calidad Medibles Entendidos por todos los implicados Seguridad no es asunto de tecnología, sino una inversión de negocios 13

14 Qué es un CSIRT? Una organización que provee servicios y apoyo a una circunscripción definida para prevenir manejar y responder a incidentes de seguridad informática. 14

15 Por qué se necesita un CSIRT? Entidades y personas están al acecho de sus activos más preciados. La mejor infraestructura no puede garantizar que no ocurrirán actos maliciosos Cuando sucede un incidente es necesario poder responder de forma efectiva Se trata de minimizar el costo y el tiempo de la respuesta 15

16 No es lo mismo CSIRT Puede realizar las funciones del área de seguridad de un departamento de TI Repositorio de información de incidentes Centro de reporte y análisis Coordina la respuesta a incidentes en la organización Colaboración con equipos externos y estamentos de seguridad Departamento de TI Monitoreo diario de la red y sistemas Responsable de actualizar los sistemas Instalación de parches Mitiga los incidentes

17 Tipos de CSIRT Algunas categorías, según el ámbito al que proveen servicios: CSIRT Interno: dentro de la organización. Ej. Bancos, empresas, universidades, ciudades o asociaciones. CSIRT Nacionales: para un país. CSIRT Público: vela por la infraestructura estatal. CSIRT Regional: para un conjunto de países. Centros de coordinación: coordinan y facilitan el manejo de incidentes entre varios CSIRTs. Centros de análisis: sintetizan datos de distintas fuentes para hallar patrones y tendencias de incidentes. Dicha información sirve para actividades predictivas y alertas tempranas. Proveedores de Respuesta a Incidentes: ofrecen servicios privados de manejo de incidentes para empresas y otro tipo de organizaciones. 17

18 Mapa de CSIRTs 18

19 El CSIRT interno 19

20 CSIRT de Responsabilidad Nacional Reconocido por el gobierno Responsabilidad amplia que puede incluir Infraestructura crítica Gobierno Ciudadanía en general Otros CSIRT en el país 20

21 Servicios Fase I Fase II Fase III Servicios Reactivos Servicios Proactivos Servicios de Gestión de la Calidad de la Seguridad Alertas y Advertencias Apoyo en el manejo de incidentes, de Vulnerabilidades y Artefactos: Análisis y coordinación de respuesta Levantar estadísticas de los incidentes Monitoreo de un mapa global de virus y amenazas Desarrollo e investigación de herramientas de seguridad Apoyo en la detección de intrusos Divulgación de información relacionada con la seguridad Prospectiva Tecnológica Análisis de riesgo Coordinar la planificación de recuperación de desastres de infraestructura crítica Concientización ciudadana Educación/Entrenamiento Evaluación de productos o certificación 21

22 Algunos Roles General Director general Personal Administración y contabilidad Relaciones públicas Asesoría jurídica Equipo técnico operativo Jefe del equipo técnico Técnicos del CSIRT Investigadores 22

23 Mapa de Ruta para un crear un CSIRT Planificación Asesoría/Capacitación inicial Plan de proyecto Identificar usuarios potenciales Definir misión Modelo financiero y presupuesto Estructura organizativa Definir servicios Crear o modificar legislación Creación de competencias Definir roles y niveles de autoridad Identificar personal idóneo Contratar personal Plan de capacitación Oficina física: Equipar oficina Desarrollar política de seguridad de la información Documentar flujos de trabajo Definir interfaces e interacciones Operación del CSIRT Lanzamiento del centro Promover los servicios del CSIRT Evaluar el mercado y grupo de usuarios Generación de alertas, advertencias y comunicados Coordinar la respuesta a los incidentes de seguridad que se presenten Coordinar las iniciativas nacionales de seguridad de la información Métodos de evaluación Desarrollar plan de contingencia Obtener reconocimiento internacional Establecer convenios de colaboración con otros CSIRT Evaluar desempeño 23

24 Socios esenciales para un CSIRT Nacional Equipos CSIRT de otros países Otros CSIRT dentro del país Consejo de Seguridad Policía Ministerio público Proveedores de internet Proveedores de software Integradores Proveedores de Antivirus Expertos en seguridad Universidades Medios de comunicación especializados Proveedores de infraestructura crítica: luz, agua, telcos 24

25 Confianza: Condición sine qua non Servicios proactivos y reactivos Garantizar confidencialidad e imparcialidad Coordinar con otras organizaciones y expertos universidades, gobierno, empresas Modelo distribuido de equipos de respuesta a incidentes (coordinación y cooperación no control) 25

26 Apoyo del SEI para CSIRT Nacionales Herramientas para personal autorizado en CSIRT Nacionales, incluyendo un sitio web colaborativo y una lista de correo electrónico Intercambio de información y servicios Vigilia y respuesta a advertencias Actualizaciones de actividades Análisis de incidentes y entrenamiento Capacidad de alerta y contenidos Investigación sobre tendencias, amenazas y evaluación de riesgos Intercambio técnico Consultoría técnica, entrenamiento y construcción de habilidades Intercambio de personal técnico o pasantías con afiliados Desarrollo de herramientas y soporte Análisis de vulnerabilidades Análisis de artefactos Monitoreo y análisis de redes Desarrollo de capacidades y habilidades de un CSIRT Evaluación de los requerimientos de madurez y capacidad de un CSIRT Patrocinio ante FIRST e introducción a otras organizaciones y socios estratégicos 26

27 Cursos oficiales del CERT Creating a Computer Security Incident Response Team Managing Computer Security Incident Response Teams Fundamentals of Incident Handling Advanced Incident Handling Information Security for Technical Staff Malware Analysis Apprenticeship Insider Threat Workshop Introduction to the CERT Resilience Management Model CERT Resilience Management Model Appraisal Boot Camp Managing Enterprise Information Security Advanced Forensic Response and Analysis Assessing Information Security Risk Using the OCTAVE Approach 27

28 CERT Resilience Management Model Elasticidad Operativa: capacidad de una organización de hacerle frente a sus riesgos Modelo enfocado a procesos. Guías y prácticas para: Gestión de la seguridad Continuidad del negocio Gestión de las operaciones de TI Medición y madurez 26 áreas de procesos en 4 categorías 28

29 CERT Resilience Management Model 29

30 FIRST: CERT / CSIRT: Enlaces relevantes CERT-Certified Computer Security Incident Handler (CSIH) certification program tion/security/csih/index.cfm 30

31 United States International Phone: Phone: Address: 1288 Columbus Ave. Suite #218 San Francisco, CA United States of America Address: Building 235 International Technopark of Panama City of Knowledge, Clayton PO Box Panama, Rep. of Panama Contacto: Rolando Armuelles / rarmuelles@alcenit.com