Manejo de Incidentes de Seguridaddentro de la Organización

www.isaca.org.uy

Julio César Ardita, CISMjardita@cybsec.com

Agenda

- ¿Porque necesitamos un CSIRT interno?

- Tipos de CSIRT`s.

- Armando un CSIRT interno

AgendaAgenda

www.isaca.org.uy

- Recomendaciones en base a la experiencia

En 1988, surge el primer “CERT” en la Universidad Carnegie Mellon, después de que la aparición del gusano de Morris bloqueara Internet.

Este incidente puso en evidencia varios problemas:

Introducción

www.isaca.org.uy

- ¿Cómo notificar a los usuarios la existencia de problemas de seguridad?- ¿Cómo ponerse en contacto con los responsables de un equipo?

CERT/CC - Computer Emergency & Response Team (Coordination Center)

– “CERT” es una marca registrada por la Universidad– No hace referencia expresa a aspectos de seguridad

Introducción

www.isaca.org.uy

CSIRT - Computer Security Incident & Response Team– Termino más ajustado a la situación actual– Equipo dentro de una organización encargado de

responder a los problemas de seguridad

Es una Organización o Equipo que provee servicios y soporte, en un entorno definido (constitución), para prevenir, manejar y responder a los incidentes de seguridad informática.

Es una parte vital de la Organización y es responsable de

¿Qué es un CSIRT?

www.isaca.org.uy

Es una parte vital de la Organización y es responsable de coordinar e investigar incidentes de seguridad de forma metódica.

En grandes organizaciones se debe establecer un equipo formal. En organizaciones pequeñas se puede establecer un equipo “informal”.

¿Por qué ahora el CSIRT?

www.isaca.org.uy

¿Por qué ahora el CSIRT?

www.isaca.org.uy

¿Por qué ahora el CSIRT?

Desde 1998 hastaDesde 1998 hasta

hoy hubo más de hoy hubo más de

3.3813.381 ataques ataques

exitosos a sitios exitosos a sitios

www.isaca.org.uy

exitosos a sitios exitosos a sitios

web en Uruguay.web en Uruguay.

Fuente: www.zone-h.org

¿Por qué ahora el CSIRT?

Por qué se generan más incidentes que antes:

- Crecimiento de la dependencia tecnológica

- No hay una conciencia sobre la privacidad

- Amplia disponibilidad de herramientas

www.isaca.org.uy

- Amplia disponibilidad de herramientas

- No hay leyes globales (y pocas locales)

- Falsa sensación de que todo se puede hacer en Internet

- Gran aumento de vulnerabilidades de seguridad (sólo en

el 2012 se reportaron 12.340 según CERT)

¿Por qué ahora el CSIRT?

Por qué se generan más incidentes que antes:

- Traslado de negocios con dinero real a Internet (servicios

financieros, juegos de azar, sitios de subastas, etc.)

www.isaca.org.uy

- Oferta y demanda de información confidencial más abierta

La rapidez con que una organización puede reconocer, analizar y responder a un incidente va a limitar el potencial daño y minimizar los costos de recupero.

Hasta la mejor infraestructura de seguridad de la

¿Por qué ahora el CSIRT?

www.isaca.org.uy

Hasta la mejor infraestructura de seguridad de la información no puede garantizar que no sucederán incidentes. Cuando suceden, es vital para las organizaciones tener mecanismos de respuesta eficientes.

Fuerte crecimiento de CSIRT’s desde el año 2004.

Beneficios de un CSIRT

- Esfuerzo de respuesta focalizado.- Una respuesta más rápida, coordinada y estandarizada.- Equipo estable con know-how sobre Manejo de Incidentes.- Colaboración con la comunidad de seguridad.- Punto centralizado de coordinación y diseminación de

www.isaca.org.uy

- Punto centralizado de coordinación y diseminación de información.

Internos- Educativos- Gubernamentales- Comerciales

Tipos de CSIRT’s

www.isaca.org.uy

Centros de coordinación- Estado/Provincia- País- Región

Todos los CSIRT’s son “diferentes”.

CSIRT Nacionales

Algunos países han establecido CSIRT’s nacionales y usualmente tienen responsabilidades de:- Coordinación de incidentes regionales.

Tipos de CSIRT’s

www.isaca.org.uy

- Protección de infraestructuras críticas.- Fomento del desarrollo de CSIRT’s en el país.- Comunicación interna con otros CSIRT’s.

CSIRT Comerciales

El servicio de CSIRT es brindado por empresas de seguridad como un servicio hacia las Organizaciones.

Tipos de CSIRT’s

www.isaca.org.uy

El servicio puede abarcar: - Aviso y Alertas- Manejo de incidentes- Soporte en las investigaciones forenses- Etc.

CSIRT Gubernamentales

Aparecen a partir del año 2000 para dar soporte a los usuarios de un país:

– Ofrecen servicios de alerta y avisos personalizados en el idioma del país.

Tipos de CSIRT’s

www.isaca.org.uy

idioma del país.– Campañas de concientización sobre seguridad en

Internet.– Coordinación con empresas privadas, proveedores de

Internet y otros CSIRT a un nivel nacional.

CSIRT Gubernamentales

Comunidad objetivo: “La comunidadobjetivo del CERTuy puede entendersecomo todo aquello vinculado a los

Tipos de CSIRT’s

www.isaca.org.uy

como todo aquello vinculado a los sistemas informáticos que soporten o estén vinculados a los activos de información críticos del Estado uruguayo.”

¿Qué es el FIRST?Forum of Incident Response and Security Teamswww.first.org

Concentra 281 equipos

FIRST

www.isaca.org.uy

281 equiposen 62 países

CSIRT’s a nivel mundial

FIRST

www.isaca.org.uy

OEA – Seguridad Cibernética

www.isaca.org.uy

Madurez de los CSIRT´s internos

No poseen (85%)

Manejo de incidentes desorganizado (8%)

Manejo de incidentes formal para la foto (compliance) (4%)

www.isaca.org.uy

Manejo de incidentes formal real (2%)

CSIRT interno (<1%)

Current SituationLa gran mayoría de las organizaciones no posee equipos de respuesta ante incidentes formalizados.

A partir del año 2009 un creciente número de organizaciones ha comenzado a crear CSIRT’s internos. Las principales razones:

Armado de un CSIRT interno

www.isaca.org.uy

Las principales razones:- Han tenido y tienen incidentes graves.- Hay regulación que obliga a tener un plan de respuesta.- Proactivamente el CSO muestra la necesidad.

Etapas en el desarrollo de un CSIRT

Etapa 1: Educar a la organización

Etapa 2: Planificar el esfuerzo

Etapa 3: Implementación inicial

Armado de un CSIRT interno

www.isaca.org.uy

Etapa 4: Fase de operación

Etapa 5: Evaluación y mejora

Como cada organización es diferente a otras, no hay una única receta para armar un CSIRT.

Cada CSIRT es único y depende de:- Grado de madurez de la organización.- Necesidades y requerimientos (que pueden variar).

Armado de un CSIRT interno

www.isaca.org.uy

- Necesidades y requerimientos (que pueden variar).- Misión y objetivo.- Recursos.- Apoyo disponible.

Autoridad- ¿Qué puede hacer el equipo y con qué derecho?

Escalamiento- Ruta jerárquica acordada de antemano- Para llegar a los directivos, contactos de prensa,

Armado de un CSIRT interno

www.isaca.org.uy

- Para llegar a los directivos, contactos de prensa, administración de riesgos

Contactos externos (otros CSIRTs, policía, etc)1. Usar el esfuerzo de forma efectiva y eficiente2. Evitar mensajes/acciones contradictorias

Es esencial (aquí está la clave del éxito) definir el servicio.

Declaración de la Misión – Enuncie las actividades que realizará el equipo– Y que cosas no hará– Sea realista (los mejores CSIRT’s hacen pocas cosas,

Marco de Trabajo del CSIRT

www.isaca.org.uy

– Sea realista (los mejores CSIRT’s hacen pocas cosas, pero las hacen bien)

Área de trabajo– A quién le dará el servicio el equipo

Relación con otros CSIRT’s

Servicios que ofrece un CSIRT

www.isaca.org.uy

Servicios que ofrece un CSIRT

www.isaca.org.uy

¿Dónde se puede ubicar el CSIRT en la organización?

¿A quién va a reportar?

Usualmente se ubica dentro de la parte de la organización

responsable de la seguridad.

Lugar del CSIRT dentro de la Organización

www.isaca.org.uy

responsable de la seguridad.

Puede depender del CSO o CRO.

Mientras más arriba dependa, mejor.

¿Qué habilidades serán necesarias?– Generales: sentido común, comunicación,

diplomacia, aprendizaje, trabajo bajo presión, jugador en equipo, integridad, aceptación de errores, solución de problemas, manejo del tiempo…

– Técnicas: que correspondan a las actividades que el

Personal para el equipo de CSIRT

www.isaca.org.uy

– Técnicas: que correspondan a las actividades que el CSIRT ofrecerá.

¿Qué validaciones/certificaciones necesita?– El personal del CSIRT debe ser confiable– Construir la confianza es un proceso largo

Requerimientos de confidencialidad

Una vez que se ha definido el servicio, se puede estimar:– Personal requerido– Experiencia/Habilidad necesaria para proveerlo

¿Qué otros recursos se pueden utilizar?– Especialistas, mesa de ayuda, legal, prensa etc.

Personal para el equipo de CSIRT

www.isaca.org.uy

– Especialistas, mesa de ayuda, legal, prensa etc.– Acuerdos de trabajo antes de las emergencias

¿Qué personal será necesitado para 24x7?

Retención de Personal

– Ofrecer recompensas apropiadas– Rotación de puestos– Mantenga el trabajo variado e interesante

Apoyo de primer, segundo y tercer nivel

Puede no ser personal de tiempo completo para el CERT– Puede usar parte del personal existente– Debe acordar sus deberes y tiempos con los gerentes y

el personal– Las emergencias están por “arriba” de cualquier otra

Personal para el equipo de CSIRT

www.isaca.org.uy

– Las emergencias están por “arriba” de cualquier otra cosa

Equipos virtuales– Llame a otros expertos dentro de la organización– De redes, grupos de sistemas o personal del

departamento de IT– Personal de Legales y RH puede ser esencial

Recursos económicos:- Creación del CSIRT (Documentación, Web Site, etc).- Compra de equipamiento (hardware y software).- Contratación del equipo humano.- Training y capacitación.- Lugar físico para la operación.

Financiamiento del CSIRT

www.isaca.org.uy

- Lugar físico para la operación.

Si el equipo funciona bien y se da soporte ante un incidente solucionándolo rápidamente, probablemente no llegue a generarse un grave “problema”.

ES CLAVE QUE SE MUESTREN RESULTADOS!!!

1. Identificar a los sponsors y participantes del proyecto.

2. Obtener apoyo y aceptación de la alta gerencia.

3. Definir liderazgo para implementar el CSIRT.

Recomendaciones generales para un CSIRT

www.isaca.org.uy

4. Armar un proyecto para el CSIRT, asignar roles y responsabilidades.

5. Obtener información para las siguientes fases.

5. Obtener información para las siguientes fases.

Recomendaciones generales para un CSIRT

www.isaca.org.uy

6. Identificar y definir el alcance del CSIRT.

7. Definir la misión del CSIRT.

8. Determinar el rango y nivel de servicio a ofrecer.

9. Armar el presupuesto y conseguir la aprobación.

Recomendaciones generales para un CSIRT

www.isaca.org.uy

9. Armar el presupuesto y conseguir la aprobación.

10. Definir CSIRT (modelo de reporte, ubicación, regulaciones, armar organigrama, etc).

11. Identificar recursos requeridos (personal, equipamiento,infraestructura, training, etc).

12. Definir las interacciones del CSIRT con el resto de laorganización y el exterior.

13. Definir roles y responsabilidades en forma clara.

14. Establecer workflows y documentación (políticas,

Recomendaciones generales para un CSIRT

www.isaca.org.uy

14. Establecer workflows y documentación (políticas, procedimientos, guías, estándares, checklists, etc).

15. Crear un plan de implementación y hacerle seguimiento.

16. Una vez que el CSIRT se encuentre en operación, anunciarlo!!!.

17. Definir métodos y métricas para evaluar la performancedel CSIRT.

18. Tener un backup plan para todos los componentes del CSIRT.

Recomendaciones generales para un CSIRT

www.isaca.org.uy

19. Ser flexible y adaptable!!!

¿Preguntas?Muchas Gracias

www.isaca.org.uy

Muchas Gracias

Julio César Ardita, CISMjardita@cybsec.com