Modelo de csirt colombiano



Descargar 1.08 Mb.
Página16/27
Fecha de conversión27.05.2018
Tamaño1.08 Mb.
1   ...   12   13   14   15   16   17   18   19   ...   27

4.2.SERVICIOS REACTIVOS


Aquellos servicios que se provocan o se desencadenan por un evento o requerimiento. Este tipo de servicios, son un componente clave para un trabajo de atención de incidentes.

  • Tratamiento de incidentes: Servicio que abarca la recepción, evaluación, priorización y respuesta a peticiones y comunicaciones, así mismo al análisis de incidentes y acontecimientos. Las actividades de respuestas pueden ser entre otras las siguientes:

    • Actuaciones para proteger sistemas y redes afectadas o amenazadas por la actividad de intrusos.

    • Aportación de soluciones y estrategias de mitigación a partir de avisos o alertas.

    • Reconstrucción de sistemas.

    • Filtrado del tráfico de la red.

    • Búsqueda de actividad de intrusos en otras partes de la red.

    • Corrección o reparación de sistemas.

    • Desarrollo de otras estrategias de respuesta o provisionales.

  • Análisis de Incidentes: Este servicio busca definir el alcance del daño e incidentes causados, su naturaleza, así como también la estrategia definitiva o temporal de respuesta. Este análisis es un examen general de la información disponible y de las pruebas o instancias relacionadas con un incidente o evento. Existen muchos niveles de análisis de incidentes y numerosos subservicios, que dependen del servicio mismo, objetivos y procesos del CSIRT. A continuación se detallan dos subservicios.

    • Recopilación de pruebas forenses: Acción que incluye la recolección, la conservación, la documentación y análisis de las pruebas procedentes de un sistema informático comprometido, para determinar cambios en el sistema y ayudar a reconstruir los eventos que han desembocado en el compromiso. Las actividades de recopilación de pruebas forenses incluyen, entre otras cosas, la realización de una copia bit a bit del disco duro de los sistemas afectados, la búsqueda de cambios en el sistema, tales como nuevos programas, archivos, servicios y usuarios, el examen de los procesos en ejecución y los puertos abiertos, y la búsqueda de troyanos y juegos de herramientas. Es usual que las personas que tengan a cargo este tipo de responsabilidades, declaren como testigos periciales en actos judiciales.

    • Seguimiento o rastreo: Busca rastrear los orígenes de un intruso o identificar sistemas a los que éste haya tenido acceso. Con este servicio además de incluir la identificación del intruso, se podrá en los sistemas afectados y redes relacionadas, incluir el seguimiento al acceso del intruso.

  • Coordinación de la respuesta a incidentes: Servicio que busca coordinar tareas de respuesta entre las partes implicadas en el incidente. Dentro de estos se incluye, la víctima del ataque, los sitios relacionados con el ataque y cualquier otro sitio necesario de asistencia para el análisis del ataque. Este se hace extensivo inclusive, aquellas áreas de soporte (IT) de la víctima, tales como proveedores de servicio de internet, administradores de sistema y la red, así como también a otros CSIRT. La recolección de información sobre contactos, la notificación a los sitios de su implicación potencial (como víctimas o como orígenes de un ataque), la recolección de datos estadísticos sobre el número de sitios implicados y tareas dirigidas a facilitar el intercambio y el análisis de la información, así como el reporte del incidente a departamentos internos o externos, serán entre otras las tareas de coordinación que pueden abarcar este servicio. Este no incluye una respuesta a los incidentes directa e in situ.

  • Apoyo respuesta a incidentes: Servicio proporcionado a través de orientación remota, para que el personal in situ realice por si mismo las tareas de recuperación. La función del CSIRT será la de orientar y ayudar al grupo víctima del ataque, a recuperarse del incidente, pero lo hará por medios telefónicos, correo electrónico fax o documentación. Dentro del servicio se podrá incluir, entre otros, la interpretación de los datos recogidos, la entrega de información sobre contactos o la orientación en cuanto a estrategias de mitigación y recuperación.

  • Coordinación del Manejo de evidencias: Con fines policivos, se coordina la labor de recopilación y manejo de evidencias en casos de incidentes de la información, con el fin de garantizar el debido proceso en el manejo de evidencias digitales (Servicios Forenses).

  • Respuesta a incidentes in situ: Asistencia directa, que busca ayudar a los clientes del grupo atendido a recuperarse de un incidente. El CSIRT se encargara de analizar físicamente los sistemas afectados, repararlos y recuperarlos, en especial en aquellos casos que no exista un equipo local respondiendo al incidente. Para sospecha de incidente, el servicio incluye todas las actividades necesarias para su corrección o mitigación.

4.3.GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN


Son servicios establecidos y muy conocidos, diseñados para mejorar la seguridad general de una organización. Estos servicios están diseñados para tener en cuenta los comentarios recibidos y las lecciones aprendidas basándose en los conocimientos adquiridos al responder a incidentes, vulnerabilidades y ataques. Lo anterior hace que se oferten productos que permitan a terceros ayudar a mejorar toda la seguridad de una organización, identificar riesgos, amenazas y debilidades del sistema. Son servicios generalmente no técnicos pero preventivos en naturaleza, contribuyendo indirectamente a la reducción en el número de incidentes.

  • Consultoría sobre seguridad: Este servicio busca asesorar y orientar, a los grupos de clientes atendidos en las mejores prácticas de seguridad. Por lo cual el CSIRT participará en las recomendaciones o identificación de requisitos de compra, instalación o protección de nuevos sistemas, aplicaciones de software, dispositivos de red entre otros. Así mismo se ofrece asistencia y orientación en la definición de políticas de seguridad.

  • Publicaciones: Se busca elaborar y distribuir folletos que expliquen de manera simple, las diferentes amenazas, acciones preventivas y correctivas para el tratamiento de riesgos informáticos. Estas publicaciones podrán tener adjuntos Discos Compactos de libre uso doméstico de herramientas de seguridad y de control parental50.

  • Sensibilización: Buscando que los grupos de clientes atendidos y/o potenciales, desarrollen sus labores cotidianas de manera más segura, así como también de mejorar el grado de entendimiento de las temáticas relacionadas con seguridad, se ofrece un servicio que intenta reducir el número de ataques con éxito y aumentar la probabilidad de que se detecten y comuniquen ataques. Lo anterior, por medio de la sensibilización de incidentes de seguridad de la información a través de artículos y desarrollando pósteres, boletines, sitios web u otros recursos informativos que explican las mejores prácticas en seguridad y consejos sobre las precauciones que conviene tomar. Durante este proceso de sensibilización también se incluye reuniones o seminarios de actualización.

  • Prensa: Participar en emisiones periódicas en los principales medios nacionales, creando así un posicionamiento del CSIRT.

  • Educación / Formación: Este servicio busca capacitar tanto a primer respondiente en las entidades, como a los grupos de clientes atendidos y/o potenciales, entre otros temas en la comunicación de incidentes, métodos de respuesta adecuados, herramientas de respuesta a incidentes, métodos de prevención de incidentes y otras temáticas necesarias para protegerse de incidentes de seguridad de la información, detectarlos, comunicarlos y responder a ellos. El servicio podrá ofrecerse a través de seminarios, talleres, cursos y/o tutoriales. Incluso podrá crearse diplomados especializados en seguridad. Teniendo en cuenta la importancia de la seguridad de la información dentro de cualquier organización, su amplio campo de acción laboral y el incremento a la demanda de personal capacitado, se pueden crear y ofrecer con colaboración de la academia programas de capacitación. Estos servicios se enfocarán y desarrollarán teniendo en cuenta las necesidades propias de cada uno de los sectores públicos y privados, sin embargo este servicio será cobrado únicamente al sector privado.

  • Formación Comunitaria: Este servicio podría enfocarse y ofrecerse a la sociedad en general y específicamente a la familia a través de entidades estatales que lo promuevan. El objeto principal será la de explicar de manera didáctica en especial a los niños, los riesgos y reglas básicas de la protección, en diferentes temas que afecten su vida cotidiana. Este servicio busca inculcar a edades tempranas una cultura de protección y mitigación de cualquier tipo de riesgo, incluidos los informáticos. Lo anterior podrá ser ofrecido a través de concursos, historietas, obras de teatro, juegos pedagógicos, etc.

  • Graduación y certificación: El CSIRT valorará el grado al cual las entidades se nivelen dentro del Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea: RSI Grado 1, Grado 2 y Grado 3, siendo el RSI Grado 1 el más básico y el RSI Grado 3 el más avanzado. Lo anterior, se realizará inicialmente en las entidades a través de una auto-evaluación de diferentes criterios (ver documento “Modelo Seguridad - SANSI –SGSI.doc”, capítulo 6.11), para el cual, el CSIRT generará un registro del grado que será otorgado a las entidades y establecimientos como sello de operación y facilitará a los usuarios identificar que establecimientos son seguros para realizar sus trámites electrónicos.

    De la misma forma, el SANSI a través del CSIRT podrá facultar a terceros para que actúen como empresas certificadoras basándose en sus competencias, conocimiento, características técnicas, de infraestructura y know how en torno a la seguridad de la información, para que certifiquen de manera directa, a las entidades públicas y privadas que cumplan con el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea. Lo anterior se realizará a través de una marca de certificación para el Modelo de Seguridad, la cual será validada nacionalmente como un sello de seguridad en la información a las empresas premiadas, esto actuará como un incentivo para fomentar la participación de las entidades en el Modelo de Seguridad y la ventaja competitiva entre entidades. A continuación, se detallan los tipos de certificación otorgadas por los terceros facultados:



    • Certificación de entidades: Certificación otorgada a las entidades públicas y privadas que cumplan con los requerimientos plasmados en el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, evidenciando el mejoramiento y evolución de su sistema de gestión en seguridad de la información SGSI. Esta certificación se otorga teniendo en cuenta los siguientes criterios:

      • La certificación es renovada anualmente.

      • La certificación provee un sello que puede ser usado tanto en la página web de la Entidad como en las firmas de sus empleados.

      • La certificación no es renovada cuando la Entidad no evidencie el mejoramiento de su sistema de gestión en seguridad de la información SGSI o cuando una auditoría encuentre no conformidades mayores con el Modelo.

    • Certificación de establecimientos: Otorgada a los establecimientos que pertenezcan a la cadena de prestación de servicios para la Estrategia de Gobierno en Línea (ISP, Telecentros, Compartel, centros de acceso comunitario, cafés Internet, entre otros), que cumplan con los requerimientos plasmados en el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, evidenciando la implementación de sus controles y recomendaciones. Estas certificaciones se otorgan con los siguientes periodos de renovación para los establecimientos:

      • Certificación renovada anualmente para los ISP.

      • Certificación renovada bi-anualmente para los Telecentros, Compartels y centros de acceso comunitario.

      • Certificación renovada tri-anualmente para los cafés internet / otros.

  • Alquiler de Software: Este servicio permite que el CSIRT, tenga la posibilidad de cobrar el uso de sus licencias de software de seguridad de la información (por internet), a través del pago de una cuota periódica. Entre las ventajas para el cliente, están entre otras dedicar el dinero que destinaría a las licencias y al proyecto, a su actividad principal, ahorro de costos, reducir el riesgo de obsolescencia del software, libertad de continuidad en caso de que el software no cumpla con las expectativas, etc.

  • Alquiler de Equipo Forense: Permite al CSIRT la generación de ingresos provenientes de la plataforma instalada y su óptimo aprovechamiento.

  • Centro de interacción multimedia: Línea de atención a nivel de seguridad, que tendrá como función, facilitar la comunicación entre el CSIRT y los clientes a través de cualquier medio interactivo (Ej, internet, chat, teléfono, SMS, etc), permitiendo que estos últimos contacten o sean contactados para solución de problemas e inquietudes de seguridad de la información. Este servicio será fuente de información que podrá materializarse en estadísticas y diseño de nuevos servicios.

  • Estandarización de pliegos de seguridad de la información del sector gobierno: Con el objeto de apoyar la contratación pública, y dar un acompañamiento a las interventorías de seguridad de la información, el CSIRT con su experiencia normalizara parámetros que permitan a las entidades del Gobierno, de acuerdo con sus necesidades de seguridad de la información, realizar contrataciones públicas con estándares mínimos exigibles para cada caso.


Compartir con tus amigos:
1   ...   12   13   14   15   16   17   18   19   ...   27


La base de datos está protegida por derechos de autor ©composi.info 2017
enviar mensaje

    Página principal