CIGRAS 2012

Incidentes de Seguridad Informática en las Empresas

CSIRT: un modelo de respuesta

Dr. Ing. Gustavo Betarte gbetarte@tilsor.com.uy

CIGRAS 2012

Plan de la Presentación

• Motivación y Contexto• Creación y operación de un

equipo de respuesta a incidentes de SI

• CSIRT Tilsor• Conclusiones

• Nuevas tecnologías han revolucionado la forma de proveer servicios y hacer negocios pero también han introducido nuevos riesgos.

• Es necesario reconocer y asumir que la seguridad total no existe.

• Incidentes de seguridad informática son un dato de la realidad y es necesario desarrollar mecanismos para gestionarlos.

• La complejidad para realizar un ataque sofisticado ha disminuido significativamente y la motivación se ha diversificado e incrementado.

• Velocidad con la que las empresas y organizaciones puedan reconocer, analizar y responder a un incidente limitará los daños y disminuirá los costos de recuperación.

Tendencias• Convergencia

– Interconexión de sistemas internos – Interdependencia con sistemas externos– Consolidación hacia estándares abiertos (IP)

• Consecuencias– Exposición de los sistemas (de infraestructuras

críticas) a potenciales ataques de Internet– Nuevos riesgos: conexiones wireless,

mantenimiento remoto por terceros– Ataques pueden tener consecuencias que superen

el valor de la organización o compañía, con consecuencias significativas

Desafíos de la Seguridad de la Información• La Seguridad se ha convertido en un

área crítica de los Sistemas de Información

• Cómo encarar este desafío?– Gestión de la Seguridad de la Información– Sensibilización y Capacitación– Evaluación proactiva del nivel de

aseguramiento de las plataformas informáticas y de comunicación

– Gestión de incidentes (qué nivel de criticidad?)

Incidentes: Impacto

• Reporte Norton Cyber Crime 2011– Daños del orden de los 338.000 M USD– LATAM: Brasil y México son los más afectados

• Reporte ARBOR Networks 2011 Infrastructure Security – Uruguay: Top 2 en BPS y PPS promedio de

Misuse DDoS attacks en LATAM– El 70% de los encuestados nunca intentaron

efectuar una respuesta a un ataque DDoS

• Ataques a gran empresa y gobiernos en aumento– Denegación de servicios (DDoS)– Botnets– Phishing– Defacement

Incidentes: Soluciones• Los expertos piden– Centrarse en la detección y no únicamente en

la protección– Monitorear y gestionar incidentes– Enfocar los esfuerzos de protección en los

activos críticos y no sólo en el perímetro

• Apoyo en CERTs/CSIRTs– 40% de encuestados tienen CERT o CSIRT– 66% colaboran con un CERT nacional

CIGRAS 2012

CERT/CC: Misión• Responder a incidentes de seguridad en Internet

• Servir como modelo de operaciones para otros equipos de respuesta

• Facilitar la creación de otros grupos (CSIRTs) que sirvan a otras comunidades objetivo (constituencies)

• Facilitar la comunicación/divulgación de incidentes informáticos y coordinar acciones a nivel nacional o regional

CIGRAS 2012

CIGRAS 2012

CSIRT: Qué es?

“A Computer Security Incident Response Team (CSIRT) is a service organization that is responsible for receiving, reviewing, and responding to computer security incident reports and activity. The services are usually performed for a defined constituency” (CERT/CC)

CIGRAS 2012

CIGRAS 2012

CSIRT: Aspectos fundamentales• Visión/Misión

– Objetivos de alto nivel y sus prioridades

• Comunidad Objetivo (Constituency)– Destinatarios a los que el CSIRT dará

servicios

• Servicios– Qué servicios le ofrece el CSIRT a su

comunidad objetivo

• Forma de relacionamiento– Forma de cooperación, coordinación (o

cualquier interacción) con otros CSIRTs

CIGRAS 2012

CIGRAS 2012

Servicios• Reactivos

– Gestión de incidentes– Alarmas– Gestión de vulnerabilidades y artefactos

• Proactivos– Observatorio tecnológico– Desarrollo de herramientas

• Calidad de seguridad– Sensibilización y capacitación– Evaluación de seguridad de infraestructuras y

aplicaciones

CIGRAS 2012

CIGRAS 2012

Valor adicional

• A la comunidad interna– Apoyo en el proceso de desarrollo de

aplicaciones– Mitigación de riesgos en los ambientes

de producción y soporte• A nuestros clientes y socios

– Referente a quien acudir – Grupo profesional experto en seguridad– Servicios de consultoría con valor

agregadoCIGRAS 2012

CONCLUSIONES•Una herramienta eficaz y útil•Masa crítica adecuada: dificultad de montar un equipo de esta característica•Canales de confianza: importancia de la coordinación y colaboración

– Con la comunidad objetivo – Entre pares

•Interacción y relacionamiento con el medio académico

VVseguridad en organizaciones TI