csirt - Business Institute of the Americas
Anuncio
Computer Security Incident Response Team CSIRT Sobre Nosotros • Fundada en 2006 • Equipo de consultores locales, +100 en toda el mundo • Consultoría de Procesos en el área de tecnología, innovación y sistemas de información • HQ en Panamá Misión Asistir a organizaciones a ser más competitivas por medio de una mejor utilización de los recursos de tecnología a través de procesos eficaces. 2 3 Somos Partners del Software Engineering Institute (SEI) • El SEI es un organismo de prestigio mundial en el establecimiento de mejores prácticas para ingeniería de software. Pittsburgh, Pennsylvania, USA 4 Áreas de Actividad del SEI • • • • Seguridad informática: CERT Ingeniería de Software: CMMI, TSP Arquitectura de Software Adquisición de Tecnología CMMISVC CMMIDEV CMMIACQ 5 La Red Liveware Consultores de renombre internacional + 25 años de experiencia Cobertura en América, Asia y Europa Constelación de 7 consultoras +100 consultores 6 Algunos de Nuestros Clientes Chile Argentina Argentina Rep. Dominicana 7 Clientes de Capacitación • • • • • • • • • • • • • • • • • ACP ADR Autoridad Nacional de Aduanas Autoridad de Innovación Alianzasoft ASI Technologies Autoridad de los Servicios Públicos Autoridad de Turismo Banco General Banesco Cable Onda Caja de Ahorros Caja de Seguro Social Cervecería Nacional Cibernética Conéctate Copa Airlines • • • • • • • • • • • • • • • • • Dirección de Tránsito • Global Bank • HSBC • Icaza, González Ruiz y Alemán • IFARHU • INDRA • Infosgroup • IQ Nova • La Prensa • Latam Consulting Services • Latam Trade and Commerce • Morgan & Morgan Ministerio de Economía y Finanzas • Ministerio de Educación Ministerio de Comercio e Industrias Ministerio de Salud Ministerio de Obras Públicas Órgano Judicial Petróleos Delta Policía Nacional Quantic Vision Ricardo Pérez, S.A. SIONSA St. Georges Bank Superintendencia de Bancos TESA Towerbank Tribunal Electoral Universidad Tecnológica de Panamá 8 Nos enfocamos en la Adopción Implementación Adopción 9 CSIRT El inicio: CERT/CC 11 ¿Qué es un incidente de seguridad? Backdoor Trojans Bluejacking Bluesnarfing Boot Sector Viruses Extortion Adware Browser Hijackers Chain Letters Denial of Service attack (DoS) Sabotage Internet Viruses Page-jacking Parasitic viruses Dialers Email Viruses Worms Mobile Phone Mousetrapping Obfuscated spam Palmtop viruses Document Viruses Pharming Espionage Cookies Phishing Vandalism Social Engineering 12 Gestión de incidentes • Requiere del desarrollo de un plan de acción y de procesos que son: – – – – – Consistentes Repetibles Motivados por la calidad Medibles Entendidos por todos los implicados • Seguridad no es asunto de tecnología, sino una inversión de negocios 13 ¿Qué es un CSIRT? • Una organización que provee servicios y apoyo a una circunscripción definida para prevenir manejar y responder a incidentes de seguridad informática. 14 ¿Por qué se necesita un CSIRT? • Entidades y personas están al acecho de sus activos más preciados. • La mejor infraestructura no puede garantizar que no ocurrirán actos maliciosos • Cuando sucede un incidente es necesario poder responder de forma efectiva • Se trata de minimizar el costo y el tiempo de la respuesta 15 No es lo mismo… CSIRT •Puede realizar las funciones del área de seguridad de un departamento de TI •Repositorio de información de incidentes •Centro de reporte y análisis •Coordina la respuesta a incidentes en la organización •Colaboración con equipos externos y estamentos de seguridad Departamento de TI •Monitoreo diario de la red y sistemas •Responsable de actualizar los sistemas •Instalación de parches •Mitiga los incidentes Tipos de CSIRT Algunas categorías, según el ámbito al que proveen servicios: • CSIRT Interno: dentro de la organización. Ej. Bancos, empresas, universidades, ciudades o asociaciones. • CSIRT Nacionales: para un país. • CSIRT Público: vela por la infraestructura estatal. • CSIRT Regional: para un conjunto de países. • Centros de coordinación: coordinan y facilitan el manejo de incidentes entre varios CSIRTs. • Centros de análisis: sintetizan datos de distintas fuentes para hallar patrones y tendencias de incidentes. Dicha información sirve para actividades predictivas y alertas tempranas. • Proveedores de Respuesta a Incidentes: ofrecen servicios privados de manejo de incidentes para empresas y otro tipo de organizaciones. 17 Mapa de CSIRTs 18 El CSIRT interno 19 CSIRT de Responsabilidad Nacional • Reconocido por el gobierno • Responsabilidad amplia que puede incluir – – – – Infraestructura crítica Gobierno Ciudadanía en general Otros CSIRT en el país 20 Servicios Fase I Fase II Fase III Servicios Reactivos Servicios Proactivos Servicios de Gestión de la Calidad de la Seguridad Alertas y Advertencias Apoyo en el manejo de incidentes, de Vulnerabilidades y Artefactos: Análisis y coordinación de respuesta Levantar estadísticas de los incidentes Monitoreo de un mapa global de virus y amenazas Desarrollo e investigación de herramientas de seguridad Apoyo en la detección de intrusos Divulgación de información relacionada con la seguridad Prospectiva Tecnológica Análisis de riesgo Coordinar la planificación de recuperación de desastres de infraestructura crítica Concientización ciudadana Educación/Entrenamiento Evaluación de productos o certificación 21 Algunos Roles General Director general Personal Administración y contabilidad Relaciones públicas Asesoría jurídica Equipo técnico operativo Jefe del equipo técnico Técnicos del CSIRT Investigadores 22 Mapa de Ruta para un crear un CSIRT Planificación •Asesoría/Capacitación inicial Creación de competencias • Plan de proyecto •Definir roles y niveles de autoridad •Identificar usuarios potenciales •Identificar personal idóneo •Definir misión •Contratar personal •Modelo financiero y presupuesto •Plan de capacitación •Estructura organizativa •Oficina física: Equipar oficina •Definir servicios •Desarrollar política de seguridad de la información •Crear o modificar legislación •Documentar flujos de trabajo •Definir interfaces e interacciones Operación del CSIRT •Lanzamiento del centro •Promover los servicios del CSIRT •Evaluar el mercado y grupo de usuarios •Generación de alertas, advertencias y comunicados •Coordinar la respuesta a los incidentes de seguridad que se presenten •Coordinar las iniciativas nacionales de seguridad de la información •Métodos de evaluación •Desarrollar plan de contingencia •Obtener reconocimiento internacional •Establecer convenios de colaboración con otros CSIRT •Evaluar desempeño 23 Socios esenciales para un CSIRT Nacional • • • • • • • • • • • • • Equipos CSIRT de otros países Otros CSIRT dentro del país Consejo de Seguridad Policía Ministerio público Proveedores de internet Proveedores de software Integradores Proveedores de Antivirus Expertos en seguridad Universidades Medios de comunicación especializados Proveedores de infraestructura crítica: luz, agua, telcos 24 Confianza: Condición sine qua non • Servicios proactivos y reactivos • Garantizar confidencialidad e imparcialidad • Coordinar con otras organizaciones y expertos – universidades, gobierno, empresas – Modelo distribuido de equipos de respuesta a incidentes (coordinación y cooperación – no control) 25 Apoyo del SEI para CSIRT Nacionales • • Herramientas para personal autorizado en CSIRT Nacionales, incluyendo un sitio web colaborativo y una lista de correo electrónico Intercambio de información y servicios – – – – – • Intercambio técnico – – – – – – • • • Vigilia y respuesta a advertencias Actualizaciones de actividades Análisis de incidentes y entrenamiento Capacidad de alerta y contenidos Investigación sobre tendencias, amenazas y evaluación de riesgos Consultoría técnica, entrenamiento y construcción de habilidades Intercambio de personal técnico o pasantías con afiliados Desarrollo de herramientas y soporte Análisis de vulnerabilidades Análisis de artefactos Monitoreo y análisis de redes Desarrollo de capacidades y habilidades de un CSIRT Evaluación de los requerimientos de madurez y capacidad de un CSIRT Patrocinio ante FIRST e introducción a otras organizaciones y socios estratégicos 26 Cursos oficiales del CERT • • • • • • • • • • • • Creating a Computer Security Incident Response Team Managing Computer Security Incident Response Teams Fundamentals of Incident Handling Advanced Incident Handling Information Security for Technical Staff Malware Analysis Apprenticeship Insider Threat Workshop Introduction to the CERT Resilience Management Model CERT Resilience Management Model Appraisal Boot Camp Managing Enterprise Information Security Advanced Forensic Response and Analysis Assessing Information Security Risk Using the OCTAVE Approach 27 CERT Resilience Management Model • Elasticidad Operativa: capacidad de una organización de hacerle frente a sus riesgos • Modelo enfocado a procesos. Guías y prácticas para: – – – – Gestión de la seguridad Continuidad del negocio Gestión de las operaciones de TI Medición y madurez • 26 áreas de procesos en 4 categorías 28 CERT Resilience Management Model 29 Enlaces relevantes • FIRST: www.first.org • CERT / CSIRT: www.cert.org • CERT-Certified Computer Security Incident Handler (CSIH) certification program http://www.sei.cmu.edu/certifica tion/security/csih/index.cfm 30 United States International Email: [email protected] Phone: +1 415.598.8905 Email: [email protected] Phone: +507 260.9820 Address: 1288 Columbus Ave. Suite #218 San Francisco, CA 94133 United States of America Address: Building 235 International Technopark of Panama City of Knowledge, Clayton PO Box 0819-07121 Panama, Rep. of Panama Contacto: Rolando Armuelles / [email protected]
