Equipo de Respuesta ante Emergencias Informáticas
Un Equipo de Respuesta ante Emergencias Informáticas (CERT, del inglés Computer Emergency Response Team) es un centro de respuesta para incidentes de seguridad en tecnologías de la información. Está formado por un grupo de expertos responsable del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información. Un CERT estudia el estado de seguridad global de redes y ordenadores y proporciona servicios de respuesta ante incidentes a víctimas de ataques en la red, publica alertas relativas a amenazas y vulnerabilidades y ofrece información que mejora la seguridad de estos sistemas. Fue creado en 1988 en respuesta al incidente del gusano Morris.[1]
También se puede utilizar el término CSIRT (Computer Security Incident Response Team, Equipo de Respuesta ante Incidencias de Seguridad Informáticas) para referirse al mismo concepto. De hecho el término CSIRT es el que se suele usar en Europa en lugar del término protegido CERT, que está registrado en EE. UU. por CERT Coordination Center (CERT/CC).
Motivación, objetivos y funciones
[editar]La razón de la creación de los CERT/CSIRT es la cantidad de pérdidas causadas por los virus, las vulnerabilidades, los casos de acceso no autorizado a información, el robo de información protegida, etc.
Un CERT o CSIRT recibe, analiza y responde informes de incidentes de seguridad recibidos desde miembros de su comunidad, otros CSIRT, o terceras personas, coordinando la respuesta entre las partes.
Las funciones de un CERT/CSIRT son:
- Ayudar al público objetivo (en la jerga profesional, constituency) a atenuar y prevenir incidentes graves de seguridad.
- Ayudar a proteger informaciones valiosas.
- Coordinar de forma centralizada la seguridad de la información.
- Dirigir de forma centralizada la respuesta a los incidentes de seguridad.
- Guardar evidencias, por si hubiera que recurrir a pleitos.
- Apoyar y prestar asistencia a usuarios para recuperarse de las consecuencias de los incidentes de seguridad.
- Promover confianza, la sensación de que alguien controla la situación.
Tipología según su público objetivo
[editar]Según su público objetivo podemos encontrar que un CERT puede ser:[2]
- Un CERT/CSIRT interno a una organización
- Un CERT/CSIRT comercial. Prestan distintos servicios a cambio de una contraprestación económica.
- Un CERT/CSIRT de infraestructuras críticas. Los CERT de este tipo se centran principalmente en la protección de las infraestructuras críticas y de las infraestructuras críticas de la información (Administración, Centrales y redes de energía, Tecnologías de la información y las comunicaciones, Sistema Financiero y Tributario, Sector sanitario, Espacio, Instalaciones de Investigación, Alimentación, Agua, Transportes, Industria Nuclear e Industria Química)
- Un CERT/CSIRT de sector. El área de responsabilidad de este tipo de equipos se circunscribe al sector en el que está encuadrado. Por ejemplo, En España está el INCIBE-CERT (antiguo INTECO-CERT), que dirige sus servicios a Pequeña y Mediana Empresa y los ciudadanos, los cuales es poco viable que puedan implementar de forma individual las funciones de un CERT.
- Un CERT/CSIRT del sector público/administración/gubernamental. Su principal objetivo es asegurar la infraestructura TIC de un Gobierno/Estado y los servicios ofrecidos a la población. Está dirigidos a administraciones públicas y sus distintos organismos. Un solo CERT/CSIRT puede dar servicio a todas las administraciones públicas del país o a solo parte, dejando el resto a otros CERT/CSIRT específicos. Por ejemplo, en España está el CCN-CERT que es el gubernamental y luego existen varios a nivel autonómico como el CSIRT-CV (Generalidad Valenciana), el CESICAT (Generalidad de Cataluña) Andalucía-CERT (Junta de Andalucía)
- Un CERT/CSIRT militar. Prestan servicios a organizaciones militares con responsabilidades en infraestructuras TIC necesarias con fines de defensa. Su Comunidad está conformada por las instituciones militares y de entidades estrechamente relacionadas con éstas. El CERT militar puede ser parte de un CERT gubernamental o ser independiente
- Un CERT/CSIRT nacional. Su responsabilidad general de coordinación sobre todos los sectores de la nación. Este centro funciona como punto focal de contacto tanto en el entorno nacional como para requerimientos internacionales. Puede considerarse como “CERT del último recurso”, por su papel de coordinación. En muchos casos el CERT nacional también actúa como CERT gubernamental o tiene su origen en él. Los CERT nacionales generalmente han evolucionado de los CERT gubernamentales como una consecuencia lógica de la ampliación de sus servicios
Tipos de servicios ofrecidos por un CERT
[editar]Cada CERT/CSIRT es diferente y en función de sus recursos y su público objetivo establece unas prioridades y decide aportar unos servicios diferentes. Tipos de servicios que puede ofrecer son:
Servicios preventivos
[editar]- Avisos de seguridad
- Búsqueda de vulnerabilidades
- Auditorías o evaluaciones de seguridad
- Configuración y mantenimiento de herramientas de seguridad, aplicaciones e infraestructuras
- Desarrollo de herramientas de seguridad
- Propagación de información relacionada con la seguridad
Servicios reactivos
[editar]- Gestión de incidentes de seguridad (análisis, respuesta, soporte y coordinación de incidentes de seguridad)
- Gestión de vulnerabilidades (análisis, respuesta y coordinación de vulnerabilidades detectadas)
Organizaciones
[editar]CSIRT
[editar]Norte América
[editar]En los Estados Unidos, en su mayoría los CSIRTs cooperan con los CERT-CC del CMU, que funciona como el Centro de Coordinación a nivel nacional y es uno de los contactos principales de corporaciones como la Apple Inc. quienes cooperan de manera cercana con organizaciones como El Centro de Coordinación de Equipos de Incidentes Informáticos (Computer Emergency Response Team Coordination Center, CERT/CC)
- CERT Coordination Center, Carnegie Mellon University
- US-CERT, United States Department of Homeland Security
- UNAM-CERT, Universidad Nacional Autónoma de México
- [TIC DEFENSE] https://www.ticdefense.com, TIC DEFENSE S.A. DE C.V.
- [MNEMO-CERT] https://cert.mnemo.com, MNEMO Evolution & integration services.
Centro América
[editar]- CuCERT (enlace roto disponible en Internet Archive; véase el historial, la primera versión y la última)., Cuba
- CERT Cyberseg, Guatemala, miembro de FIRST (Forum of Incident Response and Security Teams)
Sur América
[editar]- CERT.br, Brazil, miembro de FIRST (Forum of Incident Response and Security Teams)
- colCERT, Grupo de Respuesta a Emergencias Cibernéticas de Colombia, Colombia
- Ar-CERT, Argentina, también miembro de FIRST. Reemplazado por la Dirección Nacional de Ciberseguridad
- Venezuela CERT/VENCERT, Venezuela, Sistema Nacional de Gestión de Incidentes Telemáticos de la República Bolivariana de Venezuela.
- Colombia CERT/CSIRT Colombia
- CSIRT (Chile)
- CSIRT BANELCO, Argentina
- CERTuy, Uruguay
- CGII Centro de Gestión de Incidentes Informáticos, Bolivia
- CERT-PY Centro de Respuestas a Incidentes Cibernéticos, Paraguay
- pe-CERT Equipo de Respuestas frente a incidentes de Seguridad Digital, Perú
Europa
[editar]CSIRTs en Europa colabora con TERENA task force TF-CSIRT. TERENA's Proveedor de Servicio Confiable que suministra un esquema de certificación y acreditación para los CSIRTs en Europa. Una lista completa de CSIRTs conocidos en Europa.
Asociaciones
[editar]Las principales asociaciones son:[2]
- Forum of Incident Response and Security Teams (FIRST). Asociación global de los CSIRTs. Su principal objetivo es promover la cooperación y coordinación en la prevención de incidentes, así como compartir información entre sus miembros y la Comunidad en su conjunto. A través de sus miembros de pleno derecho, FIRST constituye una “red de confianza” para la respuesta a incidentes globales. En la actualidad cuenta con 218 miembros de 48 países distintos, repartidos por los cinco continentes.
- European Government CERT (EGC Group). Grupo informal de Equipos de Respuesta Gubernamentales europeos que está desarrollando una cooperación eficaz en materia de respuesta a incidentes entre sus miembros. Creado en 2001 A fecha de 2011 tiene como miembros: GovCERT.AT (Austria),Danish_GovCERT (Dinamarca), CERT-FI (Finlandia), CERTA (Francia), CERT-Bund (Alemania), CERT-Hungary (Hungría), GOVCERT.NL (Holanda), NorCERT (Noruega), CCN-CERT (España), CERT-SE (Suecia), GovCERT.ch (Suiza), CSIRTUK (Reino Unido) GovCertUK (Reino Unido) y CSIRT UK (Reino Unido).
- TRUST INTRODUCER. Grupo de trabajo creado por TERENA (Asociación Transeuropea de Investigación y Educación de Redes) que promueve la colaboración entre CSIRT a nivel Europeo. Su principal objetivo es proporcionar un foro (TF-CSIRT) donde sus miembros puedan intercambiar experiencias y conocimientos en un entorno de confianza
- NATO Computer Incident Response Capability (NCIRC). En él varios CSIRT de los miembros de los países miembros de la OTAN analizan y comparten información de seguridad.[3]
Véase también
[editar]- Centro Nacional de Inteligencia
- Instituto Nacional de Ciberseguridad
- Comunidad de Inteligencia en España
- Seguridad Informática
- Internet
- Internet en la ciencia ficción
- Hacker
- CCN-CERT
- Red.es
Referencias
[editar]- ↑ Zakon, Robert H. (noviembre de 1997). «RFC 2235 - Hobbes' Internet Timeline». Network Working Group (en inglés). Consultado el 15 de marzo de 2014.
- ↑ a b GUÍA DE SEGURIDAD(CCN-STIC-810). GUÍA DE CREACIÓN DE UN CERT / CSIRT. Centro Criptológico Nacional, 2011
- ↑ Spanish approach to cybersecurity. Decalogue CCN-CERT. Centro Criptológico Nacional, 2018