FIRST es la principal organización mundial que fomenta la respuesta de forma coordinada y colaborativa a incidentes de seguridad y promueve acciones de prevención. Surgió en 1990 a causa de dos grandes incidentes de seguridad informática ocurridos en los años anteriores:
- El “Internet Worm”, en noviembre de 1988
- El “Wank Worm”, en octubre de 1989
A finales de 2021, la asociación contaba ya con más de 600 miembros repartidos por los cinco continentes. La pertenencia a FIRST permite a los equipos de respuesta actuar de una manera más rápida y eficaz frente a los incidentes.
El principal objetivo de FIRST es promover un entorno digital global cada vez más seguro, y también:
- Fomentar la cooperación y coordinación para la gestión de incidentes.
- Estimular una reacción rápida a los incidentes.
- Promover el intercambio de información entre sus miembros y la comunidad.
Los tipos de servicios ofrecidos por FIRST pueden ser proactivos, reactivos o de gestión de la calidad de la seguridad (security quality management).
Los servicios proactivos se contratan antes de que suceda el incidente y pueden ser, entre otros:
- Avisos de seguridad
- Búsqueda de vulnerabilidades
- Auditorías y evaluaciones de seguridad
- Configuración y mantenimiento de herramientas de seguridad, apps e infraestructuras
- Desarrollo de herramientas de seguridad
- Concienciación y difusión de información relativa a la seguridad informática
Por otra parte, los servicios reactivos implican una reacción ante un incidente que ya ha sucedido, y pueden ser de dos tipos:
- Gestión de incidentes de seguridad, basada en el análisis, respuesta, coordinación y soporte del mismo
- Gestión de vulnerabilidades
Entre los servicios de gestión de la calidad se incluye la formación del propio equipo de respuesta o el mantenimiento de la documentación asociada a los procedimientos que dan soporte a los servicios de dicho equipo.
Al tratarse de una asociación internacional, es importante que tenga establecidas una serie de políticas y normas para un correcto funcionamiento. Las principales políticas que guían la actividad del FIRST son:
- Política anticorrupción: FIRST se compromete a realizar sus negocios de manera ética y legal.
- Política antimonopolio: cuando los competidores entren en contacto, deben ser conscientes de sus responsabilidades.
- Programa de recompensa por errores: FIRST alienta a revelar cualquier error o vulnerabilidad en la web o en los servidores del FIRST.
- Política de destrucción de documentos: cuando se complete el período de retención de documentos, estos se destruirán.
- Política de Prensa: FIRST se compromete a colaborar con los medios, sin revelar información confidencial.
Además, FIRST también presenta una estructura bien definida: una Junta Directiva encargada de la política operativa general, una Secretaría que sirve como punto de referencia administrativo, comités a corto plazo y una Junta General Anual, donde todos los miembros se reúnen para decidir el camino que seguirá la entidad.
La labor de un equipo de respuesta ante incidentes es muy importante. Por ello, FIRST recomienda a todas las organizaciones contar con una estrategia de planificación ante un posible incidente, siguiendo estas pautas:
- Identificar con claridad qué persona lidera la gestión de incidentes.
- Gestionar las posibles brechas y fugas de información.
- Asegurar el apoyo legal y de las Administraciones públicas.
- Estudiar los requisitos de textos legales como, por ejemplo, el RGPD.
- Realizar diversos simulacros y ensayos.
- Trabajar la forma y el tiempo de la respuesta. Es muy importante saber comunicar el problema.
- Comunicar con sinceridad y claridad.
- Estudiar y documentarse acerca de posibles problemas, nuevas vulnerabilidades, etc.
- Compartir los aprendizajes propios con el resto del equipo.
También te puede interesar: Equipo de respuesta ante incidentes, CSIRT
