Manejo de Incidentes de Seguridad dentro de la Organización

Documentos relacionados
Panel Nro. 4,

Manejo y Análisis de Incidentes de Seguridad Informática

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

EL ÁREA DE SEGURIDAD INFORMÁTICA. Lic. Julio C. Ardita (*)

La Seguridad de la Información en la Gestión del Negocio Financiero

CMMI (Capability Maturity Model Integrated)

Planeación del Proyecto de Software:

Basado en la ISO 27001:2013. Seguridad de la Información

CSIRT - Supertel Marco Rivadeneira Fuentes

Proceso: AI2 Adquirir y mantener software aplicativo

Resumen General del Manual de Organización y Funciones

Iniciativa de Red Global Protegiendo y promoviendo la libertad de expresión y la privacidad en las tecnologías de información y comunicaciones

-OPS/CEPIS/01.61(AIRE) Original: español Página Estructura del programa de evaluación con personal externo

Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs)

I INTRODUCCIÓN. 1.1 Objetivos

SISTEMA DE GESTIÓN DE RIESGOS

ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT)

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Certificación. Contenidos 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.

Resumen General del Manual de Organización y Funciones

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management

MANUAL DE CALIDAD ISO 9001:2008

Otra característica del e-learning es que el alumno no se encuentra atado a las habilidades y capacidades del instructor

ISO 9000 Escuela de Ingeniería de Sistemas y Computación Desarrol o de Software II Agosto Diciembre 2007

Cómo organizar el Departamento de Seguridad

CMM - Capability Maturity Model. Estructura de CMM... Componentes de CMM. Estructura de CMM

Modelo de Seguridad de la Información. Luis Mauricio Vergara Enero de 2013

ITIL FOUNDATION V3 2011

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

PROCEDIMIENTO DE AUDITORIAS INTERNAS. CALIDAD INSTITUCIONAL Versión: 02

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA

determinar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeño ambiental;

Sistema de auto-evaluación para la sostenibilidad

PERFILES OCUPACIONALES

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Julio César Ardita 17 de Diciembre de 2013 Asunción - Paraguay

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

La Intranet Gubernamental como elemento clave de la Interoperabilidad

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Plan de Continuidad de Operaciones

México, 2014 CONTENIDO INTRODUCCIÓN OBJETIVOS

Recursos HELP DESK Biblioteca 2012

La mejor opción para reparar su equipo de trabajo

AUDITORIA INFORMATICA

Plan de Estudios. Diploma de Especialización en Seguridad Informática

CAPITULO V. Conclusiones y recomendaciones. Este capítulo tiene como objetivo mostrar las conclusiones más significativas que se

CLOUD COMPUTING MITOS Y VERDADES

Sistemas de gestión en servicios de TI (UNIT ISO/IEC )

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V.

Gestionando su seguridad. MAD (+34) BCN (+34) SEV (+34)

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

Capacidades Requeridas en un Help Desk Manager

Sede Escazú, Plaza Tempo

Introducción. Definición de los presupuestos

Charlas para la Gestión del Mantenimiento Fernando Espinosa Fuentes

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N PCM

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ

Capítulo 2. Metodologías de selección de personal

Gestión del Servicio de Tecnología de la información

ADMINISTRACIÓN DE PROYECTOS

Utilización del Acceso Remoto VPN. Ministerio del Interior N06

Los profesores Flipantes

E-learning: E-learning:

Taller Regional sobre Ciberseguridad y Protección de la Infraestructura Crítica. Sección 2: Desarrollo de una Estrategia Nacional

CARTA DE ENTENDIMIENTO UNIDAD REGIONAL DE ASISTENCIA TECNICA-RUTA (REGIONAL UNIT OF TECHNICAL ASSISTANCE)-MINISTERIO DE DESARROLLO AGROPECUARIO.

Audire V.3 FECHA DEL BOLETÍN BOLETIN 15

Módulo N 10 Implementación en fases del. Revision N 13. SSP y del SMS

Gestión de la Seguridad de Activos Intelectuales

Norma ISO 14001: 2015

Sesión # 212. Armando un CSIRT Interno para Manejo de Incidentes de Seguridad. Julio César Ardita, CISM.

PROCEDIMIENTO AUDITORIAS INTERNAS DE CALIDAD. PROCESO EVALUACIÓN Y CONTROL PÁGINA 1 de 9

CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática Ronald Morales rmorales@csirt.gt Retico.gt/retisecure

UNIVERSIDAD AUTÓNOMA DEL CARIBE

[VPN] [Políticas de Uso]

Beneficios de los productos de Faronics

Norma ISO9000 y Material de Orientación Regional CAR/SAM para Programas de Garantía de Calidad en Servicios de Tránsito Aéreo

2. MÉTODOS, INSTRUMENTOS Y ESTRATEGIAS

GUÍA PARA LAS FAMILIAS

Mejora de la Seguridad de la Información para las Pymes Españolas

LISTA DE CONTROL INTERNO INVENTARIO

Guía para la implementación de Programas Pro Bono en las Firmas de abogados de Latinoamérica.

Riesgo: Se puede llegar al destino sin información veraz y oportuna?

ESTRATEGIA DE FORMACIÓN VIRTUAL. Establecimientos Privados

PROCESO ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS SUBPROCESO ADMINISTRACIÓN DE CONTINGENCIAS

Capítulo IV. Manejo de Problemas

CURSO COORDINADOR INNOVADOR

Unidad 1. Fundamentos en Gestión de Riesgos

PROCEDIMIENTO DE AUDITORÍA INTERNA DE CALIDAD

Controles en la. Dra. Elsa Estévez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Criterio 2: Política y estrategia

INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA

DIRECTRICES PARA LA CONSTRUCCION DE CURSOS DESARROLLADOS POR LA DIRECCIÓN DE EDUCACIÓN VIRTUAL

NUESTRO TRABAJO MISIÓN VISIÓN. Gracias a que nos identificamos con nuestros. clientes, podemos reconocer, entender y satisfacer rápidamente

Norma ISO 9001: Sistema de Gestión de la Calidad

Transcripción:

Manejo de Incidentes de Seguridad dentro de la Organización Julio César Ardita, CISM jardita@cybsec.com

Agenda - Porque necesitamos un CSIRT interno? - Tipos de CSIRT`s. - Armando un CSIRT interno - Recomendaciones en base a la experiencia

Introducción En 1988, surge el primer CERT en la Universidad Carnegie Mellon, después de que la aparición del gusano de Morris bloqueara Internet. Este incidente puso en evidencia varios problemas: - Cómo notificar a los usuarios la existencia de problemas de seguridad? - Cómo ponerse en contacto con los responsables de un equipo?

Introducción CERT/CC - Computer Emergency & Response Team (Coordination Center) CERT es una marca registrada por la Universidad No hace referencia expresa a aspectos de seguridad CSIRT - Computer Security Incident & Response Team Termino más ajustado a la situación actual Equipo dentro de una organización encargado de responder a los problemas de seguridad

Qué es un CSIRT? Es una Organización o Equipo que provee servicios y soporte, en un entorno definido (constitución), para prevenir, manejar y responder a los incidentes de seguridad informática. Es una parte vital de la Organización y es responsable de coordinar e investigar incidentes de seguridad de forma metódica. En grandes organizaciones se debe establecer un equipo formal. En organizaciones pequeñas se puede establecer un equipo informal.

Por qué ahora el CSIRT?

Por qué ahora el CSIRT?

Por qué ahora el CSIRT? Desde 1998 hasta hoy hubo más de 3.381 ataques exitosos a sitios web en Uruguay. Fuente: www.zone-h.org

Por qué ahora el CSIRT? Por qué se generan más incidentes que antes: - Crecimiento de la dependencia tecnológica - No hay una conciencia sobre la privacidad - Amplia disponibilidad de herramientas - No hay leyes globales (y pocas locales) - Falsa sensación de que todo se puede hacer en Internet - Gran aumento de vulnerabilidades de seguridad (sólo en el 2012 se reportaron 12.340 según CERT)

Por qué ahora el CSIRT? Por qué se generan más incidentes que antes: - Traslado de negocios con dinero real a Internet (servicios financieros, juegos de azar, sitios de subastas, etc.) - Oferta y demanda de información confidencial más abierta

Por qué ahora el CSIRT? La rapidez con que una organización puede reconocer, analizar y responder a un incidente va a limitar el potencial daño y minimizar los costos de recupero. Hasta la mejor infraestructura de seguridad de la información no puede garantizar que no sucederán incidentes. Cuando suceden, es vital para las organizaciones tener mecanismos de respuesta eficientes. Fuerte crecimiento de CSIRT s desde el año 2004.

Beneficios de un CSIRT - Esfuerzo de respuesta focalizado. - Una respuesta más rápida, coordinada y estandarizada. - Equipo estable con know-how sobre Manejo de Incidentes. - Colaboración con la comunidad de seguridad. - Punto centralizado de coordinación y diseminación de información.

Tipos de CSIRT s Internos - Educativos - Gubernamentales - Comerciales Centros de coordinación - Estado/Provincia - País - Región Todos los CSIRT s son diferentes.

Tipos de CSIRT s CSIRT Nacionales Algunos países han establecido CSIRT s nacionales y usualmente tienen responsabilidades de: - Coordinación de incidentes regionales. - Protección de infraestructuras críticas. - Fomento del desarrollo de CSIRT s en el país. - Comunicación interna con otros CSIRT s.

Tipos de CSIRT s CSIRT Comerciales El servicio de CSIRT es brindado por empresas de seguridad como un servicio hacia las Organizaciones. El servicio puede abarcar: - Aviso y Alertas - Manejo de incidentes - Soporte en las investigaciones forenses - Etc.

Tipos de CSIRT s CSIRT Gubernamentales Aparecen a partir del año 2000 para dar soporte a los usuarios de un país: Ofrecen servicios de alerta y avisos personalizados en el idioma del país. Campañas de concientización sobre seguridad en Internet. Coordinación con empresas privadas, proveedores de Internet y otros CSIRT a un nivel nacional.

Tipos de CSIRT s CSIRT Gubernamentales Comunidad objetivo: La comunidad objetivo del CERTuy puede entenderse como todo aquello vinculado a los sistemas informáticos que soporten o estén vinculados a los activos de información críticos del Estado uruguayo.

FIRST Qué es el FIRST? Forum of Incident Response and Security Teams www.first.org Concentra 281 equipos en 62 países

FIRST CSIRT s a nivel mundial

OEA Seguridad Cibernética

Madurez de los CSIRT s internos No poseen (85%) Manejo de incidentes desorganizado (8%) Manejo de incidentes formal para la foto (compliance) (4%) Manejo de incidentes formal real (2%) CSIRT interno (<1%)

Armado de un CSIRT interno La gran mayoría de las organizaciones no posee equipos de respuesta Current ante incidentes Situation formalizados. A partir del año 2009 un creciente número de organizaciones ha comenzado a crear CSIRT s internos. Las principales razones: - Han tenido y tienen incidentes graves. - Hay regulación que obliga a tener un plan de respuesta. - Proactivamente el CSO muestra la necesidad.

Armado de un CSIRT interno Etapas en el desarrollo de un CSIRT Etapa 1: Educar a la organización Etapa 2: Planificar el esfuerzo Etapa 3: Implementación inicial Etapa 4: Fase de operación Etapa 5: Evaluación y mejora

Armado de un CSIRT interno Como cada organización es diferente a otras, no hay una única receta para armar un CSIRT. Cada CSIRT es único y depende de: - Grado de madurez de la organización. - Necesidades y requerimientos (que pueden variar). - Misión y objetivo. - Recursos. - Apoyo disponible.

Armado de un CSIRT interno Autoridad - Qué puede hacer el equipo y con qué derecho? Escalamiento - Ruta jerárquica acordada de antemano - Para llegar a los directivos, contactos de prensa, administración de riesgos Contactos externos (otros CSIRTs, policía, etc) 1. Usar el esfuerzo de forma efectiva y eficiente 2. Evitar mensajes/acciones contradictorias

Marco de Trabajo del CSIRT Es esencial (aquí está la clave del éxito) definir el servicio. Declaración de la Misión Enuncie las actividades que realizará el equipo Y que cosas no hará Sea realista (los mejores CSIRT s hacen pocas cosas, pero las hacen bien) Área de trabajo A quién le dará el servicio el equipo Relación con otros CSIRT s

Servicios que ofrece un CSIRT

Servicios que ofrece un CSIRT

Lugar del CSIRT dentro de la Organización Dónde se puede ubicar el CSIRT en la organización? A quién va a reportar? Usualmente se ubica dentro de la parte de la organización responsable de la seguridad. Puede depender del CSO o CRO. Mientras más arriba dependa, mejor.

Personal para el equipo de CSIRT Qué habilidades serán necesarias? Generales: sentido común, comunicación, diplomacia, aprendizaje, trabajo bajo presión, jugador en equipo, integridad, aceptación de errores, solución de problemas, manejo del tiempo Técnicas: que correspondan a las actividades que el CSIRT ofrecerá. Qué validaciones/certificaciones necesita? El personal del CSIRT debe ser confiable Construir la confianza es un proceso largo Requerimientos de confidencialidad

Personal para el equipo de CSIRT Una vez que se ha definido el servicio, se puede estimar: Personal requerido Experiencia/Habilidad necesaria para proveerlo Qué otros recursos se pueden utilizar? Especialistas, mesa de ayuda, legal, prensa etc. Acuerdos de trabajo antes de las emergencias Qué personal será necesitado para 24x7? Retención de Personal Ofrecer recompensas apropiadas Rotación de puestos Mantenga el trabajo variado e interesante

Personal para el equipo de CSIRT Apoyo de primer, segundo y tercer nivel Puede no ser personal de tiempo completo para el CERT Puede usar parte del personal existente Debe acordar sus deberes y tiempos con los gerentes y el personal Las emergencias están por arriba de cualquier otra cosa Equipos virtuales Llame a otros expertos dentro de la organización De redes, grupos de sistemas o personal del departamento de IT Personal de Legales y RH puede ser esencial

Financiamiento del CSIRT Recursos económicos: - Creación del CSIRT (Documentación, Web Site, etc). - Compra de equipamiento (hardware y software). - Contratación del equipo humano. - Training y capacitación. - Lugar físico para la operación. Si el equipo funciona bien y se da soporte ante un incidente solucionándolo rápidamente, probablemente no llegue a generarse un grave problema. ES CLAVE QUE SE MUESTREN RESULTADOS!!!

Recomendaciones generales para un CSIRT 1. Identificar a los sponsors y participantes del proyecto. 2. Obtener apoyo y aceptación de la alta gerencia. 3. Definir liderazgo para implementar el CSIRT. 4. Armar un proyecto para el CSIRT, asignar roles y responsabilidades. 5. Obtener información para las siguientes fases.

Recomendaciones generales para un CSIRT 5. Obtener información para las siguientes fases.

Recomendaciones generales para un CSIRT 6. Identificar y definir el alcance del CSIRT. 7. Definir la misión del CSIRT. 8. Determinar el rango y nivel de servicio a ofrecer. 9. Armar el presupuesto y conseguir la aprobación. 10. Definir CSIRT (modelo de reporte, ubicación, regulaciones, armar organigrama, etc). 11. Identificar recursos requeridos (personal, equipamiento, infraestructura, training, etc).

Recomendaciones generales para un CSIRT 12. Definir las interacciones del CSIRT con el resto de la organización y el exterior. 13. Definir roles y responsabilidades en forma clara. 14. Establecer workflows y documentación (políticas, procedimientos, guías, estándares, checklists, etc). 15. Crear un plan de implementación y hacerle seguimiento. 16. Una vez que el CSIRT se encuentre en operación, anunciarlo!!!.

Recomendaciones generales para un CSIRT 17. Definir métodos y métricas para evaluar la performance del CSIRT. 18. Tener un backup plan para todos los componentes del CSIRT. 19. Ser flexible y adaptable!!!

Preguntas? Muchas Gracias Julio César Ardita, CISM jardita@cybsec.com

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback