Un Equipo de Respuesta frente a Incidencias de Seguridad Informática está formado por personal técnico especializado que analiza las situaciones y responde a las amenazas. Un CSIRT (en inglés Computer Security Incident Response Team) puede ser un grupo ya establecido o un grupo ad hoc. Su labor consiste en el desarrollo de medidas de prevención y reacción como respuesta ante incidentes.
Los términos CSIRT y CERT (Computer Emergency Response Team) a menudo se usan indistintamente. A pesar de que algunas organizaciones utilicen el término CERT de forma genérica es una marca registrada de Carnegie Mellon University. Las empresas pueden solicitar la autorización para usar la marca CERT. El primero se creó en 1988 en la Universidad Carnegie Mellon de Estados Unidos, tras la infección de los sistemas producida por el gusano MORRIS que afectó a un 10% de los sistemas de Internet. Otras universidades norteamericanas siguieron su ejemplo y crearon sus propios CERT. Desde entonces se han ido creando equipos de respuesta por todo el mundo y en diferentes ámbitos de la sociedad: administraciones estatales y regionales, universidades, empresas…
¿Qué entendemos por un incidente? Un incidente de seguridad en informática es la existencia de uno o varios sucesos, o sospechas, que atentan contra la confidencialidad, la integridad y la disponibilidad de la información y que violan la Política de Seguridad de la Información de la organización, en el caso de que se disponga de ella. En caso de incidente, el objetivo de un CSIRT es reducir el tiempo de respuesta y aumentar su efectividad para mitigar las consecuencias y que el impacto sobre la organización sea el mínimo.
Con esta intención han surgido diferentes foros y organizaciones que coordinan a los CSIRT para compartir entre ellos información sobre vulnerabilidades y ataques a nivel global. Se dedican a divulgar medidas tecnológicas que mitigan el riesgo de ataques a sistemas y usuarios conectados a Internet. A nivel nacional, en España disponemos del grupo CSIRT.es y, en el ámbito europeo, del grupo Trusted Introducer de TERENA.
Funciones del CSIRT:
- Responder de forma urgente y coordinada ante ataques.
- Detener el impacto de ataques en curso.
- Coordinar las acciones legales.
- Facilitar a la organización indicaciones sobre su seguridad a corto y medio plazo.
- Realizar acciones periciales forenses sobre los incidentes.
- Investigar nuevas posibles amenazas.
Servicios de los equipos de respuesta: Dentro de su ámbito de actuación, cada CSIRT realiza una serie de servicios o tareas que pueden variar de uno a otro. Estos servicios podemos clasificarlos de la siguiente forma:
- Servicios Reactivos: Se ponen en marcha ante un evento o petición, ante cualquier hecho o elemento que haya sido identificado por un sistema de detección de intrusos o de registro de eventos. Son el componente esencial del trabajo de un CSIRT. Entre estos servicios tenemos: Alertas, Gestión, Análisis y Respuesta a Incidentes, Detección de Intrusiones…
- Servicios Preventivos: Ofrecen asistencia e información para ayudar a preparar, proteger y asegurar los sistemas de información. Pretenden anticiparse a los ataques o incidentes y son la principal arma para reducir la cantidad de incidentes en el futuro: Monitorización de sitios web, Auditorías, Tests de intrusión, Divulgación de información de seguridad…
- Servicios de Valor Añadido: Son servicios independientes de la gestión y resolución de incidentes, pero que tratan de ayudar a la prevención y a mejorar la seguridad en general: Concienciación, Formación, Asesoría Técnica.
