FAQ

¿Qué es un CSIRT/CERT?

CSIRT significa Computer Security Incident Response Team (equipo de respuesta a incidentes de seguridad informática). El término CSIRT suele emplearse en Europa en lugar del término protegido CERT, registrado en EE.UU. por el CERT Coordination Center (CERT/CC). Se usan diferentes abreviaturas para el mismo tipo de equipos:

  • CERT o CERT/CC (Computer Emergency Response Team / Coordination Center, equipo de respuesta a emergencias informáticas / Centro de coordinación)
  • CSIRT (Computer Security Incident Response Team, equipo de respuesta a incidentes de seguridad informática)
  • IRT (Incident Response Team, equipo de respuesta a incidentes)
  • CIRT (Computer Incident Response Team, equipo de respuesta a incidentes informáticos)
  • SERT (Security Emergency Response Team, equipo de respuesta a emergencias de seguridad)

En general viene a definir a un equipo de personas dedicado a la implantación y gestión de medidas tecnológicas con el objetivo de mitigar el riesgo de ataques contra los sistemas de la comunidad a la que se proporciona el servicio. La Universidad Carnegie Mellon, de Estados Unidos, es la creadora del primer equipo de estas características en 1988. Desde entonces han ido formándose Centros en todo el mundo y en distintos ámbitos de la sociedad (Administración, Universidad, investigación, empresa, etc).

¿Quién puede ser miembro de pleno derecho del Foro CSIRT.es?

Se considera miembro candidato del Foro CSIRT.es a cualquier CSIRT español que cumpla con la definición genérica ofrecida por la ENISA, FIRST o Trusted Introduced para este tipo de equipos (recogida en este mismo portal o en wikipedia).

Además de lo anterior, es requisito indispensable para ser miembro del Foro el prestar servicio a una comunidad de usuarios del territorio español, tener capacidad de reacción ante incidentes de seguridad y cuyas misiones y objetivos vengan sobrevenidos por mandato legislativo u organizativo para mejorar la seguridad de las tecnologías y comunicaciones de la Comunidad a la que presta servicio.

También es requisito para ser admitido en el grupo ser miembros del foro FIRST o estar acreditados en el foro Trusted Introducer. Se podrán hacer excepciones a esta norma en el caso de Centros de ámbito público, para los que se podría proponer su entrada si disponen de al menos dos miembros que avalen su entrada al Foro, o en el caso de FFCCS, en el que tienen entrada directa. Se entiende que se admitirá como miembro de CSIRT.es un sólo grupo (CSIRT, grupo de respuesta) por NIF o entidad. La solicitud de alta de un nuevo miembro del foro la debe realizar su representante a través de un correo electrónico a la cuenta de correo que aparece en la sección de contacto de la web del foro.

¿Cuáles son los derechos de los miembros?

Los miembros de pleno derecho dispondrán de los siguientes derechos:

  • Podrán votar en las reuniones del Foro o por correo electrónico si así se requiere. Un voto por miembro de pleno derecho.
  • Podrán participar en las listas de distribución asociada al Foro.
  • Dispondrán de claves para acceder a la zona Web privada habilitada para el Foro.
  • Podrán proponer iniciativas.
  • Podrán participar en los grupos de trabajo e iniciativas.
  • Podrán asistir a las reuniones.
  • Podrán proponer a nuevos miembros.
  • Podrán proponer invitados especiales a las reuniones.
  • Sus integrantes podrán ser elegidos para entrar a formar parte del Comité Coordinador.

¿Cuáles son las obligaciones de los miembros?

Los miembros de pleno derecho tendrán las siguientes obligaciones:

  • Mantener su información de contacto - pública y privada - siempre actualizada para el resto de miembros del Foro, incluyendo las claves GPG de cada uno de los representantes.
  • Proporcionar toda aquella información que pueda ser de utilidad para el resto de miembros del Foro o para la comunidad española salvo que las normas y procedimientos establecidos en la Organización a la que pertenecen impidan la difusión completa de dicha información.
  • Garantizar que dicha información está actualizada.
  • Fomentar la creación de nuevos CSIRTs en el territorio nacional.
  • Mejorar la visibilidad de los CSIRTs miembros del Foro y del propio Foro en la comunidad española e internacional.
  • Mantener la información, que se comparta tanto en la lista como en la reuniones, de forma privada a no ser que se de permiso expreso para compartirla con otros. El protocolo de semáforo para el intercambio de información (TLP) dentro del Foro está disponible en la página del foro.
  • Participar y colaborar en los grupos de trabajo e iniciativas del Foro.
  • Promover actividades en el seno del Foro.
  • Asistir al menos a una reunión del Foro al año.
  • Ratificar el Código Ético definido para el Foro , definido en la página del foro
  • Realizar al menos una vez al año en una de las reuniones presenciales una pequeña actualización de estado del equipo, en la que se expondrán, entre otros, proyectos que se realizan como CSIRT y novedades de personal.

¿Qué es un incidente?

Interrupción no planificada de un servicio de Tecnología de la Información o reducción en la calidad del mismo. También lo es el fallo de un elemento de configuración que no ha impactado todavía en el servicio o cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

¿Qué servicios puede prestar un CSIRT?

Son muchos los servicios que un CSIRT puede prestar, pero hasta ahora ningún CSIRT los presta todos. Así pues, la selección del conjunto adecuado de servicios constituye una decisión crucial. A continuación se presenta una breve visión general de todos los servicios conocidos de CSIRT, tal como se definen en el «Manual del CSIRT» publicado por el CERT/CC.

Servicios reactivos (el tratamiento de los incidentes y la mitigación de los daños resultantes)

  • Alertas y advertencias
  • Tratamiento de incidentes
  • Análisis de incidentes
  • Apoyo a la respuesta a incidentes
  • Coordinación de la respuesta a incidentes
  • Respuesta a incidentes in situ
  • Tratamiento de la vulnerabilidad
  • Análisis de la vulnerabilidad
  • Respuesta a la vulnerabilidad
  • Coordinación de la respuesta a la vulnerabilidad

Servicios proactivos (orientados a la prevención de incidentes mediante la sensibilización y la formación)

  • Comunicados
  • Observatorio de tecnología
  • Evaluaciones o auditorías de la seguridad
  • Configuración y mantenimiento de la seguridad
  • Desarrollo de herramientas de seguridad
  • Servicios de detección de intrusos
  • Difusión de información relacionada con la seguridad

Manejo de instancias (incluye el análisis de cualquier fichero u objeto encontrado en un sistema que pueda intervenir en acciones maliciosas, como restos de virus, gusanos, secuencias de comandos, troyanos, etc.)

  • Análisis de instancias
  • Respuesta a las instancias
  • Coordinación de la respuesta a las instancias

Gestión de la calidad de la seguridad (tienen objetivos a más largo plazo e incluyen la consultoría y las medidas de tipo educativo)

  • Análisis de riesgos
  • Continuidad del negocio y recuperación tras un desastre
  • Consultoría de seguridad
  • Sensibilización
  • Educación / Formación
  • Evaluación o certificación de productos

¿Qué otros foros de CSIRTs existen en la actualidad?

  • Forum de Respuesta a Incidentes y Equipos de Seguridad Informática, FIRST (Forum of Incident Response and Security Teams), la primera y más importante de las organizaciones internacionales existentes, con más de 180 miembros de Europa, América, Asia y Oceanía, procedentes del entorno gubernamental, económico, educativo, empresarial y financiero (https://www.first.org)
  • Trusted Introducer, principal foro europeo de CERTs en el que colaboran, innovan y comparten información los CERTs más destacados del continente, y que forma parte de TERENA, la Asociación Transeuropea de Investigación y Educación de Redes. Forman parte del Trusted Introducer (TI) más de cincuenta CERTs europeos. (http://www.trusted-introducer.nl)
  • EGC (European Government CERTs (EGC) group. Organización que reúne a los principales CERTs gubernamentales en Europa (http://www.egc-group.org)
  • Agencia Europea de la Seguridad de las Redes y la Información (ENISA - European Network & Information Security Agency) de la Unión Europea. (http://www.enisa.europa.eu).