¿Qué es y cómo trabaja un CSIRT para dar respuesta a incidentes?

El crecimiento y la sofisticación de las amenazas informáticas plantean un nuevo panorama en el cual algunos creen que solo es cuestión de tiempo hasta padecer las consecuencias de algún incidente de seguridad, que podría estar relacionado con la información. Pero, además de la comunidad de expertos e investigadores, existen equipos dedicados a responder con rapidez ante nuevos riesgos.

Dado este escenario de evolución del malware y otras amenazas, cobran relevancia los equipos de respuesta a incidentes de seguridad (CSIRT por las siglas de Computer Security Incident Response Team).

Su razón de ser radica en que aunque resulte casi imposible evadir todos los riesgos, en caso de que alguno se materialice, sus consecuencias puedan ser mitigadas y las actividades primordiales restablecidas en el menor tiempo posible, con el impacto mínimo aceptable para las organizaciones.

En esta publicación abordaremos las principales características y los beneficios de contar con personal que integre este estratégico grupo de profesionales.

Funciones y objetivos del equipo de respuesta a incidentes de seguridad

Su importancia tiene que ver con distintos factores, entre los que podemos destacar:

  • El incremento del tipo y número de amenazas informáticas
  • La aparición de leyes y regulaciones orientadas a la protección de la información
  • La contribución en los procesos de gestión de riesgos y seguridad de la información

Por lo anterior, cuando se presenta un incidente, el CSIRT debe cumplir diferentes propósitos. El primero de ellos consiste en controlar y minimizar cualquier tipo de daño a la organización y su información, junto con la preservación de evidencia sobre lo ocurrido y la documentación correspondiente. De esta forma, se conocerá el contexto del incidente, que permitirá determinar su origen y posibles consecuencias.

También debe coordinar las actividades para una recuperación rápida y eficiente de las actividades que se han visto afectadas, en conjunto con los equipos de TI, de manera que la organización pueda operar con normalidad en el menor tiempo posible y con el menor impacto tolerable.

Además, debe prevenir que eventos similares puedan ocurrir en el futuro, de tal forma que puedan erradicarse las causas raíz del incidente, junto con mantener una base de conocimientos que permita registrar las lecciones aprendidas de estos sucesos, con el objetivo de que no se repitan y si esto sucede, se pueda contar con un antecedente de la solución o soluciones posibles.

Una función más incluye actividades para compartir información relacionada con incidentes de seguridad con otros CSIRT, con fines de difusión, e intentando mitigar el impacto de nuevas amenazas, vulnerabilidades o ataques.

Aunque pueden ser conocidos con distintos nombres o siglas, tienen los mismos objetivos y se han convertido en un componente importante dentro de los programas de tecnología en las empresas.

3 categorías de servicios ofrecidos por los CSIRT

Aunque a primera vista contar con un equipo de respuesta a incidentes dentro de la empresa, pueda ser visto como un gasto innecesario, ya que no se tiene un retorno de inversión, todas las acciones encaminadas a proteger los activos (principalmente la información) cumplen un propósito específico.

En este sentido, las actividades de los CSIRT pueden ser vistas como servicios ofrecidos por los equipos de respuesta a incidentes en las organizaciones, desde una perspectiva reactiva y proactiva. O bien, pueden ser contratados y tercerizados a través de empresas especializadas en ofrecer este tipo de servicios.

Los servicios reactivos se realizan debido a un evento de seguridad indeseado e inesperado detectado o como solicitud de algún miembro de la organización que haya identificado alguna anomalía en la infraestructura tecnológica. Este tipo de actividades son el componente principal de los CSIRT y están directamente relacionados con los planes de gestión de seguridad.

Existen distintos incidentes de seguridad que requieren la reacción de los equipos de respuesta a incidentes, por ejemplo, cuando un equipo o servidor ha sido comprometido debido a la explotación de vulnerabilidades, la infección de equipos por algún código malicioso, o la detección de intrusiones en los sistemas o la red corporativa, solo por mencionar algunos ejemplos.

Por otro lado, los servicios proactivos están diseñados para brindar información que contribuya a la protección de la infraestructura tecnológica, así como mejorar los procesos de seguridad, por lo que su objetivo principal es evitar ataques o incidentes. Entre otras actividades, pueden incluir auditorías y evaluaciones, la instalación, correcta configuración y mantenimiento de herramientas de seguridad.

Finalmente, una tercera categoría de servicios de los CSIRT está relacionada con la gestión de la seguridad, que aunque no se trata de su foco principal, puede participar y contribuir en el desarrollo de actividades como evaluaciones de riesgos, desarrollo de planes de continuidad del negocio, recuperación ante desastres, así como en lo relacionado a la concientización y educación de los usuarios.

Recursos necesarios y beneficios de contar con un CSIRT

La respuesta a incidentes representa una tarea compleja para las organizaciones, ya que se requiere definir y aplicar un conjunto de actividades que permitan mantener la capacidad para atender y dar solución a los eventos inesperados e indeseados que afectan los activos en las empresas, sobre todo a la información.

Además, junto con la efectiva planeación y los documentos relacionados como el Plan de Respuesta a Incidentes (IRP por las siglas de Incident Response Plan), es necesario contar con los recursos sustanciales, como el personal capacitado y entrenado para atender las incidencias, las herramientas para llevar a cabo las actividades, y el tiempo necesario para tales fines, para atender distintos retos en la materia.

Para cumplir de manera eficiente las funciones, un CSIRT podría contar con un laboratorio de investigación de nuevas amenazas, así como brindar capacitación técnica constante al personal que lo conforma.

De todas formas, una de las principales limitantes está relacionada con los recursos, por lo que no siempre es posible crear un CSIRT propio o contratar los servicios de alguno  -especialmente en PyMEs. Un buen comienzo puede ser la creación de manuales operativos, de manera que el personal de la organización tenga el conocimiento sobre la manera de atender incidencias, sin la necesidad de contratar otras personas enfocadas en estas actividades.

Por último y no menos importante, destaca la creciente necesidad de contar con un CSIRT dentro las empresas, ya que sus propósitos son específicos y en muchos casos pueden evitar la materialización de amenazas. En caso de que esto suceda, la efectiva aplicación del plan puede minimizar las consecuencias del incidente, como la reducción de gastos, pérdida de confianza de clientes o el tiempo necesario para restaurar las operaciones a la normalidad.

Créditos imagen: ©DVIDSHUB/Flickr

gestion_respuesta_incidentes_academiaeset

Autor , ESET

Síguenos