manejo de incidentes de seguridad en la organizacin julio

Anuncio
Manejo de Incidentes de Seguridad
dentro de la Organización
Julio César Ardita, CISM
jardita@cybsec.com
www.isaca.org.uy
Agenda
- ¿Porque necesitamos un CSIRT interno?
- Tipos de CSIRT`s.
- Armando un CSIRT interno
- Recomendaciones en base a la experiencia
www.isaca.org.uy
Introducción
En 1988, surge el primer “CERT” en la Universidad Carnegie
Mellon, después de que la aparición del gusano de Morris
bloqueara Internet.
Este incidente puso en evidencia varios problemas:
- ¿Cómo notificar a los usuarios la existencia de problemas
de seguridad?
- ¿Cómo ponerse en contacto con los responsables de un
equipo?
www.isaca.org.uy
Introducción
CERT/CC - Computer Emergency & Response Team
(Coordination Center)
– “CERT” es una marca registrada por la Universidad
– No hace referencia expresa a aspectos de seguridad
CSIRT - Computer Security Incident & Response Team
– Termino más ajustado a la situación actual
– Equipo dentro de una organización encargado de
responder a los problemas de seguridad
www.isaca.org.uy
¿Qué es un CSIRT?
Es una Organización o Equipo que provee servicios y
soporte, en un entorno definido (constitución), para
prevenir, manejar y responder a los incidentes de
seguridad informática.
Es una parte vital de la Organización y es responsable de
coordinar e investigar incidentes de seguridad de forma
metódica.
En grandes organizaciones se debe establecer un equipo
formal. En organizaciones pequeñas se puede establecer
un equipo “informal”.
www.isaca.org.uy
¿Por qué ahora el CSIRT?
www.isaca.org.uy
¿Por qué ahora el CSIRT?
www.isaca.org.uy
¿Por qué ahora el CSIRT?
Desde 1998 hasta
hoy hubo más de
3.381 ataques
exitosos a sitios
web en Uruguay.
Fuente: www.zone-h.org
www.isaca.org.uy
¿Por qué ahora el CSIRT?
Por qué se generan más incidentes que antes:
- Crecimiento de la dependencia tecnológica
- No hay una conciencia sobre la privacidad
- Amplia disponibilidad de herramientas
- No hay leyes globales (y pocas locales)
- Falsa sensación de que todo se puede hacer en Internet
- Gran aumento de vulnerabilidades de seguridad (sólo en
el 2012 se reportaron 12.340 según CERT)
www.isaca.org.uy
¿Por qué ahora el CSIRT?
Por qué se generan más incidentes que antes:
- Traslado de negocios con dinero real a Internet (servicios
financieros, juegos de azar, sitios de subastas, etc.)
- Oferta y demanda de información confidencial más abierta
www.isaca.org.uy
¿Por qué ahora el CSIRT?
La rapidez con que una organización puede reconocer,
analizar y responder a un incidente va a limitar el
potencial daño y minimizar los costos de recupero.
Hasta la mejor infraestructura de seguridad de la
información no puede garantizar que no sucederán
incidentes. Cuando suceden, es vital para las organizaciones
tener mecanismos de respuesta eficientes.
Fuerte crecimiento de CSIRT’s desde el
año 2004.
www.isaca.org.uy
Beneficios de un CSIRT
- Esfuerzo de respuesta focalizado.
- Una respuesta más rápida, coordinada y estandarizada.
- Equipo estable con know-how sobre Manejo de Incidentes.
- Colaboración con la comunidad de seguridad.
- Punto centralizado de coordinación y diseminación de
información.
www.isaca.org.uy
Tipos de CSIRT’s
Internos
- Educativos
- Gubernamentales
- Comerciales
Centros de coordinación
- Estado/Provincia
- País
- Región
Todos los CSIRT’s son “diferentes”.
www.isaca.org.uy
Tipos de CSIRT’s
CSIRT Nacionales
Algunos países han establecido CSIRT’s nacionales y
usualmente tienen responsabilidades de:
- Coordinación de incidentes regionales.
- Protección de infraestructuras críticas.
- Fomento del desarrollo de CSIRT’s en el país.
- Comunicación interna con otros CSIRT’s.
www.isaca.org.uy
Tipos de CSIRT’s
CSIRT Comerciales
El servicio de CSIRT es brindado por empresas de
seguridad como un servicio hacia las Organizaciones.
El servicio puede abarcar:
- Aviso y Alertas
- Manejo de incidentes
- Soporte en las investigaciones forenses
- Etc.
www.isaca.org.uy
Tipos de CSIRT’s
CSIRT Gubernamentales
Aparecen a partir del año 2000 para dar soporte a los
usuarios de un país:
– Ofrecen servicios de alerta y avisos personalizados en el
idioma del país.
– Campañas de concientización sobre seguridad en
Internet.
– Coordinación con empresas privadas, proveedores de
Internet y otros CSIRT a un nivel nacional.
www.isaca.org.uy
Tipos de CSIRT’s
CSIRT Gubernamentales
Comunidad objetivo: “La comunidad
objetivo del CERTuy puede entenderse
como todo aquello vinculado a los
sistemas informáticos que soporten
o estén vinculados a los activos de
información críticos del Estado
uruguayo.”
www.isaca.org.uy
FIRST
¿Qué es el FIRST?
Forum of Incident Response and Security Teams
www.first.org
Concentra
281 equipos
en 62 países
www.isaca.org.uy
FIRST
CSIRT’s a nivel mundial
www.isaca.org.uy
OEA – Seguridad Cibernética
www.isaca.org.uy
Madurez de los CSIRT´s internos
No poseen (85%)
Manejo de incidentes desorganizado (8%)
Manejo de incidentes formal para la foto (compliance) (4%)
Manejo de incidentes formal real (2%)
CSIRT interno (<1%)
www.isaca.org.uy
Armado de un CSIRT interno
La gran mayoría de las organizaciones no posee equipos
de respuesta ante incidentes formalizados.
Current Situation
A partir del año 2009 un creciente número de
organizaciones ha comenzado a crear CSIRT’s internos.
Las principales razones:
- Han tenido y tienen incidentes graves.
- Hay regulación que obliga a tener un plan de respuesta.
- Proactivamente el CSO muestra la necesidad.
www.isaca.org.uy
Armado de un CSIRT interno
Etapas en el desarrollo de un CSIRT
Etapa 1: Educar a la organización
Etapa 2: Planificar el esfuerzo
Etapa 3: Implementación inicial
Etapa 4: Fase de operación
Etapa 5: Evaluación y mejora
www.isaca.org.uy
Armado de un CSIRT interno
Como cada organización es diferente a otras, no hay una
única receta para armar un CSIRT.
Cada CSIRT es único y depende de:
- Grado de madurez de la organización.
- Necesidades y requerimientos (que pueden variar).
- Misión y objetivo.
- Recursos.
- Apoyo disponible.
www.isaca.org.uy
Armado de un CSIRT interno
Autoridad
- ¿Qué puede hacer el equipo y con qué derecho?
Escalamiento
- Ruta jerárquica acordada de antemano
- Para llegar a los directivos, contactos de prensa,
administración de riesgos
Contactos externos (otros CSIRTs, policía, etc)
1. Usar el esfuerzo de forma efectiva y eficiente
2. Evitar mensajes/acciones contradictorias
www.isaca.org.uy
Marco de Trabajo del CSIRT
Es esencial (aquí está la clave del éxito) definir el servicio.
Declaración de la Misión
– Enuncie las actividades que realizará el equipo
– Y que cosas no hará
– Sea realista (los mejores CSIRT’s hacen pocas cosas,
pero las hacen bien)
Área de trabajo
– A quién le dará el servicio el equipo
Relación con otros CSIRT’s
www.isaca.org.uy
Servicios que ofrece un CSIRT
www.isaca.org.uy
Servicios que ofrece un CSIRT
www.isaca.org.uy
Lugar del CSIRT dentro de la Organización
¿Dónde se puede ubicar el CSIRT en la organización?
¿A quién va a reportar?
Usualmente se ubica dentro de la parte de la organización
responsable de la seguridad.
Puede depender del CSO o CRO.
Mientras más arriba dependa, mejor.
www.isaca.org.uy
Personal para el equipo de CSIRT
¿Qué habilidades serán necesarias?
– Generales: sentido común, comunicación,
diplomacia, aprendizaje, trabajo bajo presión,
jugador en equipo, integridad, aceptación de
errores, solución de problemas, manejo del
tiempo…
– Técnicas: que correspondan a las actividades que el
CSIRT ofrecerá.
¿Qué validaciones/certificaciones necesita?
– El personal del CSIRT debe ser confiable
– Construir la confianza es un proceso largo
Requerimientos de confidencialidad
www.isaca.org.uy
Personal para el equipo de CSIRT
Una vez que se ha definido el servicio, se puede estimar:
– Personal requerido
– Experiencia/Habilidad necesaria para proveerlo
¿Qué otros recursos se pueden utilizar?
– Especialistas, mesa de ayuda, legal, prensa etc.
– Acuerdos de trabajo antes de las emergencias
¿Qué personal será necesitado para 24x7?
Retención de Personal
– Ofrecer recompensas apropiadas
– Rotación de puestos
– Mantenga el trabajo variado e interesante
www.isaca.org.uy
Personal para el equipo de CSIRT
Apoyo de primer, segundo y tercer nivel
Puede no ser personal de tiempo completo para el CERT
– Puede usar parte del personal existente
– Debe acordar sus deberes y tiempos con los gerentes y
el personal
– Las emergencias están por “arriba” de cualquier otra
cosa
Equipos virtuales
– Llame a otros expertos dentro de la organización
– De redes, grupos de sistemas o personal del
departamento de IT
– Personal de Legales y RH puede ser esencial
www.isaca.org.uy
Financiamiento del CSIRT
Recursos económicos:
- Creación del CSIRT (Documentación, Web Site, etc).
- Compra de equipamiento (hardware y software).
- Contratación del equipo humano.
- Training y capacitación.
- Lugar físico para la operación.
Si el equipo funciona bien y se da soporte ante un
incidente solucionándolo rápidamente, probablemente no
llegue a generarse un grave “problema”.
ES CLAVE QUE SE MUESTREN
RESULTADOS!!!
www.isaca.org.uy
Recomendaciones generales para un CSIRT
1. Identificar a los sponsors y participantes del proyecto.
2. Obtener apoyo y aceptación de la alta gerencia.
3. Definir liderazgo para implementar el CSIRT.
4. Armar un proyecto para el CSIRT, asignar roles y
responsabilidades.
5. Obtener información para las
siguientes fases.
www.isaca.org.uy
Recomendaciones generales para un CSIRT
5. Obtener información para las siguientes fases.
www.isaca.org.uy
Recomendaciones generales para un CSIRT
6. Identificar y definir el alcance del CSIRT.
7. Definir la misión del CSIRT.
8. Determinar el rango y nivel de servicio a ofrecer.
9. Armar el presupuesto y conseguir la aprobación.
10. Definir CSIRT (modelo de reporte, ubicación,
regulaciones, armar organigrama, etc).
11. Identificar recursos requeridos (personal, equipamiento,
infraestructura, training, etc).
www.isaca.org.uy
Recomendaciones generales para un CSIRT
12. Definir las interacciones del CSIRT con el resto de la
organización y el exterior.
13. Definir roles y responsabilidades en forma clara.
14. Establecer workflows y documentación (políticas,
procedimientos, guías, estándares, checklists, etc).
15. Crear un plan de implementación y hacerle seguimiento.
16. Una vez que el CSIRT se encuentre en operación,
anunciarlo!!!.
www.isaca.org.uy
Recomendaciones generales para un CSIRT
17. Definir métodos y métricas para evaluar la performance
del CSIRT.
18. Tener un backup plan para todos los componentes
del CSIRT.
19. Ser flexible y adaptable!!!
www.isaca.org.uy
¿Preguntas?
Muchas Gracias
Julio César Ardita, CISM
jardita@cybsec.com
www.isaca.org.uy
Descargar