Mejora de la ciberseguridad de la organización gracias a CSIRT

CSIRT para la Ciberseguridad

La ciberseguridad en las organizaciones mejora gracias al CSIRT, este contribuye a crear un ciberespacio más libre y seguro.

El ecosistema digital se vuelve fuerte cuando el CSIRT promueve políticas, buenas prácticas y protocolos de ciberseguridad para prevenir y reaccionar antes vulneraciones de la integridad, disponibilidad y confidencialidad de la información. Las estrategias de contingencia, planes y procedimientos que lidera el CSIRT contribuyen con la continuidad del negocio y preservación del éxito del sistema de información.

La gestión de emergencias y la resiliencia organizacional son el leitmotiv de todo CSIRT. Entre sus funciones se encuentran la creación de controles de seguridad, impulsar mejoras en las capacidades de planificación ante contingencias, entre otros. Responder a emergencias es solo una parte del servicio que brinda CSIRT, este equipo también trabaja arduamente para evitar que ocurran tales emergencias. Para ellos se dedican a ofrecer educación sobre ciberseguridad, crean consciencia, elaboran documentos técnicos, llevan a cabo programas de educación y capacitación, participan en foros para mejorar los estándares básicos de seguridad, etc.

¿Qué es CSIRT?

El acrónimo CSIRT significa Cybersecurity Incident Response Team (equipo de respuesta a incidentes de seguridad). Una agrupación como esta se conforma por profesionales en seguridad de la información y surge por la necesidad de prepararse y responder a los riesgos y amenazas que acechan a las organizaciones. Un CSIRT presta servicios de manejo de incidentes de seguridad informática. Aunque las siglas IR aluden a la respuesta a incidentes, lo cierto es que la misión es mucho más amplia y abarca:

• Servicios proactivos: brindan asistencia e información para ayudar a preparar, proteger y asegurar los sistemas constituyentes antes de ataques, problemas o eventos.
• Servicios reactivos: se ponen en marcha por un evento o solicitud, como un informe de algún host comprometido, un código malicioso de amplia difusión, una vulnerabilidad de software o algo identificado por un sistema de registro o detección de intrusos. Los servicios reactivos son el componente central del trabajo del CSIRT.
• Servicios de gestión de la calidad de la seguridad. Son independientes del manejo de incidentes y tradicionalmente son realizados por otras áreas de una organización, como los departamentos de TI, auditoría o capacitación. Si el CSIRT presta o ayuda o ejecuta estos servicios, el punto de vista y la experiencia del CSIRT pueden brindar información para ayudar a mejorar la seguridad general de la organización e identificar riesgos, amenazas y debilidades del sistema. Estos servicios son generalmente proactivos, pero contribuyen indirectamente a reducir el número de incidentes.

Estas son algunas de las labores en las que se enfocan los CSIRT:

• Análisis de incidentes.
• Respuesta a incidentes en el sitio.
• Soporte de respuesta a incidentes o coordinación de respuestas a incidentes.
• Distribución de avisos, alertas y advertencias.
• Manejo de vulnerabilidades.
• Capacitación y creación de conciencia.
• Vigilancia tecnológica.
• Auditorías o evaluaciones de seguridad.
• Configuración y mantenimiento de herramientas de seguridad.
• Creación y mantenimiento de aplicaciones, infraestructuras y servicios.
• Desarrollo de herramientas de seguridad.
• Servicios de detección de intrusos.
• Difusión de información relacionada con la seguridad.
• Análisis de riesgos.
• Planificación de la continuidad del negocio y la recuperación ante desastres.
• Consultoría de seguridad.
• Educación/entrenamiento.
• Asesorías en materia de procedimientos operativos, políticas, protocolos y directrices de ciberseguridad.
• Participación en eventos en los que se puedan compartir los más recientes avances y amenazas en ciberseguridad, como el Foro de Equipos de Seguridad y Respuesta a Incidentes (FIRST).

¿Cómo crear un CSIRT en tu organización o prestar ese servicio?

Una buena forma de comenzar es organizar las ideas del grupo hasta que sepan:

1. qué hacer,
2. para quién,
3. en qué entorno local y
4. en cooperación con quién.

Es necesario partir con metas, objetivos y prioridades para asumir cuál será nuestra posición dentro de la estructura organizacional. Esto debe ser parte de una misión y un alcance preciso y documentado. Como se requieren capacidades y recursos, es vital tener el apoyo irrestricto de la alta dirección. También se requiere el diseño de políticas y procedimientos de trabajo.

Un CSIRT puede ser el equipo de seguridad de una organización o solo una parte de este. Independientemente de ello, debe estar bien integrado en la estructura comercial de la organización. Usualmente pertenece al departamento de seguridad de TI de la organización o coopera con él. Por último, recomendamos identificar los problemas operativos que deben abordarse para implementar una capacidad de manejo de incidentes eficiente.

Software para la gestión de CSIRT para ciberseguridad

La seguridad de la información puede ser compleja y aún más cuando debe ser gestionada por múltiples personas de distintos equipos y ámbitos como los que pueden componer el Cybersecurity Incident Response Team. Para una correcta comunicación se hace imprescindible un entorno compartido en el que planificar, dirigir, organizar y monitorizar.

Un entorno colaborativo de trabajo que facilite la comunicación entre las distintas partes implicadas en cualquier proyecto, desde niveles de gestión hasta la mera notificación a usuarios. ISOTools es la respuesta para una gestión eficiente de su ciberseguridad mediante un CSIRT.