HPE entre los líderes de almacenamiento de Gartner
Un CSIRT es un equipo, interno o externo a la organización, cuyo objetivo principal es minimizar y controlar los daños ante un ciberataque.
Por: Fernando Puga, Líder de Tecnología SONDA
En 2018 se cumplen tres décadas de la aparición del gusano Morris, el primer malware de la historia que, en 1988, infectó casi 10% de las 66.000 computadoras que entonces conformaban la red.
Tras este incidente surgió el primer Equipo de Respuesta ante Emergencias Informáticas (CERT, Community Emergency Response Team), concepto que luego mutó a CSIRT (Computer Security Incident Response Team/Equipo de Respuesta a Incidentes de Seguridad Informática).
Un CSIRT es un equipo, interno o externo a la organización, cuyo objetivo principal es minimizar y controlar los daños ante un ciberataque. Este también cumple las funciones de asesorar, responder y recuperar la normalidad en las operaciones, así como prevenir que ocurran futuros incidentes. Para lograrlo, actúa como coordinador de todas las áreas, individuos y procesos involucrados en un incidente.
En Estados Unidos, en su mayoría los CSIRT cooperan con el CERT-Coordination Center de Carnegie Mellon University, que funciona como el Centro de Coordinación a nivel nacional.
Sin embargo a nivel global, existe el Foro de Equipos de Seguridad y Respuesta de Incidentes (Forum of Incident Response and Security Teams, FIRST), que es la asociación global que coordina los diferentes equipos de respuesta. Los CSIRT miembros de FIRST pueden responder de manera más efectiva a los incidentes de seguridad, al disponer de acceso a las mejores prácticas, y colaboración con los otros equipos miembros.
El crecimiento y la sofisticación de las amenazas informáticas plantean un nuevo panorama, en el cual solo es cuestión de tiempo para que una organización sea víctima de algún incidente de ciberseguridad o que ponga en riesgo sus datos.
Los CSIRT deben estar preparados en régimen 24/7 para responder de forma proactiva ante actividades sospechosas, y reactiva para investigar y rastrear a los ejecutores de un ciberataque, permitiendo contenerlo y posteriormente neutralizarlo; y en paralelo restablecer la operación del activo o servicio afectado, así como perseguir a los cibercriminales legalmente.
No solo deben analizar potenciales amenazas de manera continua, también deben garantizar que estas fallas sean corregidas para mitigar los riesgos. Los nuevos equipos de respuesta a incidentes de seguridad tienden a incluir un grupo de especialistas para descubrir y analizar vulnerabilidades, y además, a especialistas en “hackeo ético” que ejecutan pruebas de penetración, simulando ser atacantes, para identificar las brechas de seguridad y los alcances e impacto que podría tener un ataque real.
Un CSIRT bien diseñado se encarga de proteger las infraestructuras críticas de la organización y vela por la continuidad de los servicios principales de la misma. Debe apoyarse en un equipo de técnicos especialmente entrenados para resolver y gestionar incidentes de alto impacto: administrar crisis, coordinar acciones, y estar preparados para prevenir y detectar los ataques cibernéticos más comunes, así como para conocer profundamente las debilidades de sistemas, infraestructuras y personas de su organización. El objetivo es dar una efectiva y rápida respuesta a los incidentes que puedan ocurrir.
Hoy hemos identificado que la mejor forma de hacer frente a un incidente de seguridad y ofrecer servicios de calidad para la respuesta a estos incidentes, es mediante la guía de manejo de incidentes de seguridad informáticos publicada por el NIST en su publicación especial “800-61 Computer Security Incident Handling Guide”.
Esta guía define un ciclo de vida de respuesta ante incidentes que abarca cuatro fases: preparación; detección y análisis; erradicación y recuperación en la contención; y las actividades posteriores al incidente.
