FAQ

¿Qué es un CSIRT/CERT?

¿Quién puede ser miembros de pleno derecho del Foro CSIRT.es?

¿Qué es un incidente?

¿Qué servicios puede prestar un CSIRT?

¿Qué otros foros de CSIRTs existen en la actualidad?

 

 

¿Qué es un CSIRT/CERT?

CSIRT significa Computer Security Incident Response Team (equipo de respuesta a incidentes de seguridad informática). El término CSIRT suele emplearse en Europa en lugar del término protegido CERT, registrado en EE.UU. por el CERT Coordination Center (CERT/CC). Se usan diferentes abreviaturas para el mismo tipo de equipos:

  • CERT o CERT/CC (Computer Emergency Response Team / Coordination Center, equipo de respuesta a emergencias informáticas / Centro de coordinación)
  • CSIRT (Computer Security Incident Response Team, equipo de respuesta a incidentes de seguridad informática)
  • IRT (Incident Response Team, equipo de respuesta a incidentes)
  • CIRT (Computer Incident Response Team, equipo de respuesta a incidentes informáticos)
  • SERT (Security Emergency Response Team, equipo de respuesta a emergencias de seguridad)

En general viene a definir a un equipo de personas dedicado a la implantación y gestión de medidas tecnológicas con el objetivo de mitigar el riesgo de ataques contra los sistemas de la comunidad a la que se proporciona el servicio. La Universidad Carnegie Mellon, de Estados Unidos, es la creadora del primer equipo de estas características en 1988. Desde entonces han ido formándose Centros en todo el mundo y en distintos ámbitos de la sociedad (Administración, Universidad, investigación, empresa, etc).

¿Quién puede ser miembro de pleno derecho del Foro CSIRT.es?

Cualquier CSIRT-CERT ubicado en España que pertenezcan a los foros internacionales FIRST o TERENA para este tipo de equipos. Aquellos equipos que no se encontraran listados en ninguno de los anteriores, necesitarán de la esponsorización de, al menos, dos equipos del CSIRT.es

¿Qué es un incidente?

Interrupción no planificada de un servicio de Tecnología de la Información o reducción en la calidad del mismo. También lo es el fallo de un elemento de configuración que no ha impactado todavía en el servicio o cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

¿Qué servicios puede prestar un CSIRT?

Son muchos los servicios que un CSIRT puede prestar, pero hasta ahora ningún CSIRT los presta todos. Así pues, la selección del conjunto adecuado de servicios constituye una decisión crucial. A continuación se presenta una breve visión general de todos los servicios conocidos de CSIRT, tal como se definen en el «Manual del CSIRT» publicado por el CERT/CC.

Servicios reactivos (el tratamiento de los incidentes y la mitigación de los daños resultantes)

  • Alertas y advertencias
  • Tratamiento de incidentes
  • Análisis de incidentes
  • Apoyo a la respuesta a incidentes
  • Coordinación de la respuesta a incidentes
  • Respuesta a incidentes in situ
  • Tratamiento de la vulnerabilidad
  • Análisis de la vulnerabilidad
  • Respuesta a la vulnerabilidad
  • Coordinación de la respuesta a la vulnerabilidad

Servicios proactivos (orientados a la prevención de incidentes mediante la sensibilización y la formación)

  • Comunicados
  • Observatorio de tecnología
  • Evaluaciones o auditorías de la seguridad
  • Configuración y mantenimiento de la seguridad
  • Desarrollo de herramientas de seguridad
  • Servicios de detección de intrusos
  • Difusión de información relacionada con la seguridad

Manejo de instancias (incluye el análisis de cualquier fichero u objeto encontrado en un sistema que pueda intervenir en acciones maliciosas, como restos de virus, gusanos, secuencias de comandos, troyanos, etc.)

  • Análisis de instancias
  • Respuesta a las instancias
  • Coordinación de la respuesta a las instancias

Gestión de la calidad de la seguridad (tienen objetivos a más largo plazo e incluyen la consultoría y las medidas de tipo educativo)

  • Análisis de riesgos
  • Continuidad del negocio y recuperación tras un desastre
  • Consultoría de seguridad
  • Sensibilización
  • Educación / Formación
  • Evaluación o certificación de productos

¿Qué otros foros de CSIRTs existen en la actualidad?

  • Forum de Respuesta a Incidentes y Equipos de Seguridad Informática, FIRST (Forum of Incident Response and Security Teams), la primera y más importante de las organizaciones internacionales existentes, con más de 180 miembros de Europa, América, Asia y Oceanía, procedentes del entorno gubernamental, económico, educativo, empresarial y financiero (https://www.first.org)
  • Trusted Introducer, principal foro europeo de CERTs en el que colaboran, innovan y comparten información los CERTs más destacados del continente, y que forma parte de TERENA, la Asociación Transeuropea de Investigación y Educación de Redes. Forman parte del Trusted Introducer (TI) más de cincuenta CERTs europeos. (http://www.trusted-introducer.nl)
  • EGC (European Government CERTs (EGC) group. Organización que reúne a los principales CERTs gubernamentales en Europa (http://www.egc-group.org)
  • Agencia Europea de la Seguridad de las Redes y la Información (ENISA - European Network & Information Security Agency) de la Unión Europea. (http://www.enisa.europa.eu)