Equipo de respuesta a incidentes de seguridad informática (CSIRT)

Un equipo de respuesta a incidentes de seguridad informática, o CSIRT, es un grupo de profesionales de TI que proporciona a una organización servicios y apoyo relacionados con la evaluación, gestión y prevención de emergencias relacionadas con la ciberseguridad, así como la coordinación de los esfuerzos de respuesta a incidentes.

El objetivo principal de un CSIRT es responder a los incidentes de seguridad informática de manera rápida y eficiente, recuperando así el control y minimizando los daños. Esto implica seguir las cuatro fases de respuesta a incidentes del Instituto Nacional de Estándares y Tecnología (NIST):

  1. preparación
  2. detección y análisis
  3. contención, erradicación y recuperación
  4. actividad posterior al incidente

Para hacerlo, los CSIRT pueden asumir muchas responsabilidades, incluidas las siguientes:

  • crear y actualizar planes de respuesta a incidentes;
  • mantener y comunicar información a entidades internas y externas;
  • identificar, evaluar y analizar incidentes;
  • coordinar y comunicar los esfuerzos de respuesta;
  • remediar incidentes;
  • informar sobre incidentes;
  • gestionar auditorías;
  • revisar las políticas de seguridad; y
  • recomendar cambios para prevenir incidentes futuros.

Un supuesto central de esta definición es que un CSIRT es una entidad organizada con una misión, estructura y roles y responsabilidades definidos. Esta suposición excluye cualquier actividad de respuesta a incidentes ad hoc o informal que no tenga un grupo definido o roles y responsabilidades documentados. Esta suposición se basa en la creencia de que, sin una capacidad de respuesta a incidentes formalizada, no es posible ofrecer una respuesta eficaz a incidentes.

El Foro de Equipos de Seguridad y Respuesta a Incidentes, una asociación internacional de equipos de respuesta a incidentes, lanzó el "FIRST CSIRT Framework". Este documento detallado se basa en la orientación del Centro de coordinación del equipo de respuesta ante emergencias informáticas (CERT / CC) que se ha utilizado desde finales de la década de 1980. El marco también describe las áreas de servicio que los CSIRT podrían ofrecer a los constituyentes, incluida la gestión de eventos de seguridad de la información, la gestión de incidentes de seguridad de la información, la gestión de vulnerabilidades, el conocimiento de la situación y la transferencia de conocimientos.

Este artículo es parte de

Guía definitiva para la respuesta a incidentes de ciberseguridad

  • Que también incluye:
  • Cree un plan de respuesta a incidentes con esta plantilla gratuita
  • Cómo crear un equipo de respuesta a incidentes para su organización
  • Respuesta a incidentes: cómo implementar un plan de comunicación

Descargar1

¡Descarga esta guía completa GRATIS ahora!

Atributos y procesos CSIRT

Si bien cada CSIRT es exclusivo de su organización, en general, los CSIRT tienen tres atributos que los diferencian de otros equipos de respuesta a incidentes: su declaración de misión, grupo y lista de servicios.

Misión

La misión del CSIRT es una declaración de propósito o su razón de ser. La misión de un CSIRT define sus áreas de responsabilidad y sirve para establecer expectativas con su electorado.

Un ejemplo de declaración de misión de CSIRT puede ser: "La misión de XYZ CSIRT es proteger a XYZ Corp. creando y manteniendo la capacidad de detectar, responder y resolver incidentes de seguridad informática y de información".

Distrito electoral

Una circunscripción CSIRT debe estar claramente definida. Esta es la base de clientes o los destinatarios de los servicios de respuesta a incidentes. Se supone que la circunscripción es exclusiva de un CSIRT determinado y, a menudo, es su organización matriz.

Lista de servicios

La misión CSIRT se lleva a cabo mediante la prestación de servicios CSIRT a su circunscripción. Los CSIRT pueden ofrecer varios servicios, pero hay algunos fundamentales que un CSIRT debe ofrecer para ser considerado un equipo formal de respuesta a incidentes. En su nivel más básico, un CSIRT debe poder hacer lo siguiente:

  • Reciba un informe de incidente de un elector. Para recibir un informe de incidente de una circunscripción del CSIRT, la circunscripción primero debe saber que existe el CSIRT. Los mandantes también deben comprender qué hace el CSIRT y cómo se accede a sus servicios, así como el servicio y los niveles de calidad que puede esperar. Por lo tanto, el CSIRT debe haber definido su misión y sus servicios, anunciarse a su circunscripción y publicar una guía sobre cómo se solicitan los servicios de incidentes. Esto incluye la publicación de una política de respuesta a incidentes, procesos, procedimientos, formularios y recursos necesarios para informar y permitir que las circunscripciones presenten informes de incidentes.
  • Analizar un informe de incidente para validar y comprender el incidente. Una vez que se ha recibido un informe de incidente, el CSIRT analiza el informe para validar que efectivamente ha ocurrido un incidente u otro tipo de actividad que cae bajo la misión del CSIRT. Luego, el CSIRT determina si comprende el informe y el incidente lo suficientemente bien como para crear una estrategia de respuesta inicial que cumpla con los objetivos de recuperar el control y minimizar el daño. Parte de poder analizar un informe de incidente y responder de manera eficiente es tener personal que pueda realizar una variedad de tareas. Los miembros del CSIRT deben tener planes, políticas y procedimientos escritos que documenten sus funciones y responsabilidades específicas.
  • Brindar soporte de respuesta a incidentes. Dependiendo de cómo esté organizado el CSIRT y los servicios ofrecidos, un CSIRT puede brindar soporte de respuesta a incidentes a través de lo siguiente:
    • servicios de respuesta a incidentes en el sitio entregados directamente al constituyente;
    • servicios de respuesta a incidentes entregados por correo electrónico o por teléfono; o
    • servicios coordinados de respuesta a incidentes que combinan y asignan los esfuerzos de múltiples equipos de respuesta a incidentes en múltiples componentes.

En algunas situaciones, el CSIRT de una organización solo puede desarrollar y supervisar estrategias y servicios de respuesta a incidentes en lugar de implementarlos. Por ejemplo, otros grupos o departamentos, como ingenieros de redes o propietarios de sistemas y datos, pueden llevar a cabo la estrategia de respuesta con el CSIRT gestionando el esfuerzo.

Estructuras CSIRT

La forma en que se estructura un CSIRT depende de las necesidades de su organización matriz. Por ejemplo, considere si se necesita cobertura las 24 horas del día, los 7 días de la semana, la disponibilidad de empleados capacitados, si se requieren miembros del equipo a tiempo completo o parcial y los costos operativos.

Hay varias estructuras CSIRT comunes, incluidas las siguientes:

  • CSIRT centralizado. En un CSIRT centralizado, un solo equipo de respuesta a incidentes sirve a toda la organización y todos los recursos de respuesta a incidentes están contenidos dentro de la unidad dedicada. Este modelo es adecuado para organizaciones pequeñas u organizaciones con un alcance geográfico limitado.
  • CSIRT distribuido. En un CSIRT distribuido, existen varios equipos independientes de respuesta a incidentes. La distribución de los recursos del CSIRT puede depender del amplio alcance geográfico de la organización o de la ubicación de sus principales instalaciones. Otros atributos que incluyen si una empresa está organizada por una estructura de unidad de negocio o simplemente por la distribución de empleados y activos de información también pueden influir en la distribución del CSIRT. Además, la mayoría de los modelos CSIRT distribuidos requieren un CSIRT coordinador.
  • CSIRT coordinador. Este CSIRT gestiona otros CSIRT, a menudo subordinados. Este CSIRT coordina las actividades de respuesta a incidentes, el flujo de información y el flujo de trabajo entre los equipos distribuidos. Un CSIRT coordinador no puede proporcionar por sí mismo ningún servicio de respuesta a incidentes independiente. En cambio, se centra en el uso eficiente y eficaz de los recursos en los equipos distribuidos. Por ejemplo, CERT / CC, el equipo de respuesta a emergencias informáticas del Instituto de Ingeniería de Software (SEI), es un CSIRT coordinador que organiza las actividades entre los CSIRT nacionales, gubernamentales y regionales.
  • CSIRT híbrido. Un CSIRT híbrido combina atributos de CSIRT centralizados y distribuidos. El componente central del CSIRT suele ser de tiempo completo, y el componente distribuido está compuesto por expertos en la materia (PYME) que pueden no estar vinculados a las actividades de respuesta a incidentes, excepto cuando sea necesario durante los eventos de seguridad. En este modelo, cuando el CSIRT central detecta un evento potencial, analiza el incidente y determina las necesidades de respuesta. Luego, se puede llamar a los expertos CSIRT distribuidos apropiados para ayudar en estas actividades. Aunque un CSIRT híbrido se basa en pymes que no son miembros del CSIRT a tiempo completo, definitivamente es un equipo formal de respuesta a incidentes. Las unidades distribuidas de expertos del CSIRT híbrido se designan como profesionales de respuesta a incidentes con roles y responsabilidades definidos y reciben capacitación formal de respuesta a incidentes. También se les puede exigir que obtengan y mantengan certificaciones de manejador de incidentes.
  • Híbrido CSIRT / SOC. En este modelo híbrido especializado, el centro de operaciones de seguridad (SOC) es responsable de recibir todas las alertas, alarmas e informes que indiquen posibles incidentes. Si el SOC requiere ayuda con un análisis adicional, se activa el CSIRT. En general, el SOC actúa como una interfaz para el CSIRT, realiza la detección de incidentes y luego pasa los incidentes al CSIRT para que los maneje.
  • CSIRT subcontratado. Un CSIRT subcontratado puede ser una opción útil para las empresas que carecen de los recursos o el personal para crear un equipo interno. Este modelo de CSIRT implica dotar de personal a un CSIRT interno con contratistas en lugar de empleados o subcontratar tareas y servicios de CSIRT que pueden ser necesarios solo ocasionalmente, como el análisis forense digital.

Cómo construir un CSIRT

Desarrollar una estrategia de respuesta a incidentes eficaz significa que una organización puede detectar y responder a un incidente informático o de seguridad de información de una manera que limite los daños y mantenga los costos de recuperación lo más bajos posible.

Al desarrollar un equipo de respuesta a incidentes, considere lo siguiente:

  • Decidir qué tipo de experiencia técnica, roles y responsabilidades se requieren.
  • Asigne un líder de equipo para supervisar los esfuerzos del CSIRT, así como comunicar los incidentes y el progreso al liderazgo ejecutivo.
  • Determinar el modelo organizativo de CSIRT adecuado y las horas de funcionamiento necesarias para el equipo.
  • Cree planes, políticas y procedimientos de seguridad para una variedad de posibles amenazas e incidentes.
  • Brindar a los miembros del CSIRT educación de rutina y capacitación en concientización sobre ciberseguridad.
  • Realizar evaluaciones de riesgos en todo el sistema.
  • Identifique los activos críticos de respuesta a incidentes, incluidos los datos, los procesos comerciales, la tecnología y las personas.
  • Tenga un plan de gestión de activos bien documentado.
  • Implemente un programa de administración de la configuración para garantizar que todo el software esté parcheado y que las actualizaciones se prueben y apliquen de manera oportuna.
  • Ejecute una arquitectura de red defensiva utilizando enrutadores, firewalls, sistemas de detección y prevención de intrusiones (IDSes / IPSes), monitores de red y operaciones de seguridad.

Roles de los miembros del CSIRT

Un CSIRT que funcione eficazmente requiere una variedad de miembros con diversas habilidades y responsabilidades. Sin embargo, no existe un enfoque único para todos. Las organizaciones deben dotar de personal y capacitar a los empleados para satisfacer sus necesidades específicas de respuesta a incidentes de seguridad.

Varios factores afectan la organización de los roles del CSIRT, incluido el perfil de riesgo de la organización y la estructura del CSIRT. En general, los miembros del CSIRT incluyen lo siguiente:

  • Líder del equipo CSIRT. Esta función ejecutiva, normalmente ocupada por el director de seguridad de la información (CISO), comunica los incidentes con los ejecutivos C-suite y coordina el presupuesto del CSIRT.
  • Responsable de incidencias. Esta función coordina las reuniones del CSIRT, garantiza la responsabilidad de los miembros del CSIRT en toda la organización y determina si los hallazgos del incidente deben transmitirse a los ejecutivos.
  • Apoyo al personal del CSIRT. Estos roles técnicos, como el analista de seguridad, el manejador de incidentes, el líder de turno o el investigador forense, son responsables de las actividades de detección, respuesta e informes de incidentes.
  • Roles CSIRT multifuncionales. Para llevar a cabo su misión, un CSIRT a menudo incorpora profesionales legales, de recursos humanos (RR.HH.) y de relaciones públicas (RR.PP.) en el equipo. Por ejemplo, un miembro del equipo legal asesora sobre posibles demandas de accionistas o empleados, así como el proceso de divulgación de incidentes. Un rol de recursos humanos en el CSIRT gestiona los problemas del personal y comunica los incidentes a los empleados. El personal de relaciones públicas maneja los comunicados de prensa; comunicaciones de empleados, socios, clientes y partes interesadas; y consultas de los medios sobre incidentes de seguridad.

Habilidades y responsabilidades de los miembros del CSIRT

El personal del CSIRT desempeña un papel fundamental en la defensa de la misión y el servicio del CSIRT. Un CSIRT eficaz requiere que los miembros del personal mantengan una amplia gama de habilidades técnicas y no técnicas.

Habilidades técnicas

El personal de CSIRT necesita una base de habilidades técnicas y conocimientos de seguridad para realizar las tareas diarias. Una comprensión general de los principios de seguridad, las vulnerabilidades, la programación y los protocolos de red constituyen esta línea de base. Además, el personal del CSIRT debe estar capacitado en las siguientes habilidades técnicas para el manejo de incidentes:

  • identificar tácticas y técnicas de intrusos;
  • asegurar las comunicaciones CSIRT mediante cifrado;
  • analizar incidentes para determinar cómo responder de manera efectiva; y
  • mantener registros e informes de incidentes.

Habilidades no técnicas

El trabajo de CSIRT se basa en servicios. Por lo tanto, todo el personal del CSIRT debe demostrar diplomacia y comunicar competencia en las interacciones con los electores.

  • Voluntad de seguir instrucciones. El personal debe estar familiarizado con los procedimientos y políticas definidos del CSIRT y la importancia de respetarlos.
  • Comunicación. El personal debe demostrar las habilidades de comunicación interpersonal y escrita efectivas necesarias para cumplir con deberes tales como documentar informes de incidentes o presentar informes técnicos.
  • Colaboración. Debido a la naturaleza cooperativa de la estructura del CSIRT, los miembros deben ser jugadores comprometidos en equipo para garantizar la moral, la productividad y la agilidad colectivas.
  • Gestión del tiempo. El personal debe comprender cómo utilizar los criterios proporcionados para priorizar varias actividades del CSIRT y determinar cuándo pedir ayuda a la gerencia.
  • Razonamiento analítico. El personal del CSIRT debe pensar de manera innovadora para anticipar las técnicas de los atacantes y resolver problemas en situaciones potencialmente volátiles.
  • Manejo del estrés. La naturaleza exigente de la respuesta a incidentes y el riesgo de agotamiento del personal de seguridad justifican una atención especial al manejo del estrés, así como al equilibrio entre el trabajo y la vida.
  • Aprendizaje continuo. La respuesta a incidentes es un área de especialización en constante cambio. Por lo tanto, los miembros del CSIRT deben ser personas inquisitivas y aprovechar las oportunidades para mejorar sus habilidades a través de la capacitación, la certificación o la tutoría.

Gestión CSIRT

Es importante tener un CSIRT disperso y bien administrado. La mayoría de los CSIRT están estructurados para mantener un monitoreo 24 horas al día, 7 días a la semana. Esto se hace dividiendo las horas de operación en tres turnos, cada uno con un líder de turno designado. Durante sus turnos, los líderes de turno deben comunicar su trabajo y hallazgos con otros líderes de turno. Luego, esta información debe transmitirse al líder del equipo CSIRT o al miembro del personal ejecutivo para mantener la transparencia con el resto de la organización.

Las empresas más grandes no solo deben separar a los empleados por tiempo, sino también por ubicación geográfica. Las empresas más pequeñas pueden encontrar más rentable subcontratar los procesos CSIRT fuera del horario de atención.

SOC frente a CSIRT frente a CERT

Las organizaciones pueden emplear uno o más de los tres tipos principales de equipos de respuesta a incidentes: CSIRT, SOC y CERT. A veces, estos términos se utilizan como sinónimos, aunque existen diferencias, según el uso que haga la organización de los términos.

El más singular de los tres es el SOC. Esta instalación dedicada monitorea y defiende la tecnología y el hardware y actúa como un centro de comando y control para una organización, región o país. Protege redes, servidores, aplicaciones y puntos finales. Sin embargo, las responsabilidades de un SOC van más allá de la mera respuesta a incidentes.

Imagen que compara CSIRT, CERT y SOC

Si bien un CSIRT, CERT y SOC se consideran tipos separados de equipos de respuesta a incidentes, tienen objetivos y responsabilidades superpuestos.

CSIRT, CERT y el equipo de respuesta a incidentes informáticos (CIRT) que se utiliza con menos frecuencia se utilizan a menudo de forma intercambiable. En general, los CSIRT, CERT y CIRT manejan la respuesta a incidentes, aunque sus tareas específicas pueden variar según la organización. La terminología utilizada por una organización debe definirse adecuadamente, junto con los objetivos, la estructura y el uso de los recursos necesarios para responder adecuadamente a los incidentes.

Es importante tener en cuenta que CERT es una marca comercial registrada de Carnegie Mellon University (CMU). Las organizaciones pueden utilizar la marca CERT después de obtener la autorización. Sin embargo, algunas organizaciones, probablemente sin saber que es una marca registrada, todavía lo usan para definir sus equipos de respuesta a incidentes.