ACADEMIC. La Gestión de Procesos en un centro de Gestión de incidencias de seguridad (CERT CSIRT)

IX CONGRESO ACADÉMICO INTERNACIONAL DE GOBIERNO Y

GESTIÓN TIC

ACADEMIC

ITGSM

14

“La Gestión de Procesos en un centro de Gestión de

incidencias de seguridad (CERT – CSIRT)”

4 Junio 2014

Autor Juan Carlos Vigo, jdVF monitoring y ATI Autor Diego Franco, ATI

Speaker Bio & Company Information

v  I am a lawyer specialized in Intellectual Property

by the San Pablo CEU Business School. I´m Institutional Relations Ships and Law Professor at ESNE, I founded Agencia Escrow specialized in software escrow and information security.

I have published in Aranzadi Publisher my doctoral dissertation on Intellectual Property and its reform in the categorization of works. Currently, I am continuing my legal research for the reinforcement of the industrial design and intellectual property.

v Ingeniero Agrónomo por la UPM, MBA por el Instituto de

Empresa y Master en Dirección Financiera. Certificado en ITIL, CISA, CRISC, CGEIT, PRINCE2, HCMBoK, COBIT5 y Scrum Master.

v  Presidente de la Asociación de Técnicos Informáticos

(ATI –Madrid), Miembro del Consejo editorial de la Revista Novatica, Miembro de ISACA, vocal del Comité de Calidad en los Sistemas y las Tecnologías de la Información y

Comunicaciones de AEC, vocal del comité AEN/CTN 157/ SC 1 de AENOR, colaboración con la asociación de

normativas de Canada.

v Participa en grupos de trabajo del itSMF (coordinador

grupo COBIT5 & ITSM), y Factor Humano. Escrito

artículos para Novatica, Update, revista del Colegio de Montes, Tecnonews.

v  Experiencia profesional en Everis, jdVF, Andersen

Consulting, Votorantim, CEPSA, Canal de Isabel II y

exDirector de Tecnología y Organización en Grupo Zena, Parquesol y Punto Inmobiliario.

Gestión de la Seguridad

v

La rapidez con que

se pueda reconocer,

analizar y responder

a las amenazas,

minimizará el daño y

disminuirá los costos

de recuperación

…

.”

¿Qué es un CSIRT?

v

Equipo de Respuesta a incidentes de seguridad

informática (Computer Security Incident Response

Team). Término acuñado a finales de los 90’s .

v

CERT o CERT/CC

Equipo de respuesta a

emergencias informáticas / Centro de Coordinación

(Computer Emergency Response Team). Término

registrado en EE.UU.

v

IRT

Equipo de respuesta a incidentes (Incident

Response Team)

Funciones de un CSIRT

v

Ayudar al público objetivo a atenuar y prevenir

incidentes graves de seguridad.

v

Ayudar a proteger informaciones valiosas.

v

Coordinar centralizamente la seguridad de la

información.

v

Guardar evidencias, para forensica.

v

Apoyar y a usuarios para recuperarse de las

consecuencias de los incidentes de seguridad.

•  prestan servicios comerciales a sus clientes.

CSIRT

comercial

•  se centran principalmente en la protección de la

información vital (CIP) y de la información y las infraestructuras vitales (CIIP).

CSIRT del

sector CIP/CIIP

•  prestan servicios a agencias públicas y, en

algunos países, a los ciudadanos.

CSIRT del

sector público

•  únicamente prestan servicios a la organización a

la que pertenecen, lo que describe más su

funcionamiento que su pertenencia a un sector.

CSIRT interno

Forma de trabajo de un CISRT

Servicios de los CISRT

Servicios  Reac,vos

• Servicio  de  Alertas

• Ges1ón  de  Incidentes  

• Análisis  de  incidentes  

• Respuesta  a  incidentes  en  si1o  

• Soporte  de  respuesta  a  incidentes  

• Coordinación  de  respuesta  a  

incidentes  

• Ges1ón  y  Análisis  de  vulnerabilidades  

•   Respuesta  a  vulnerabilidades  

• Coordinación  de  respuesta  a  

vulnerabilidades  

• Ges1ón  de  herramientas  

• Análisis  de  herramientas  

• Respuesta  con  herramientas  

• Coord.  de  respuesta  con  

herramientas  

Servicios  Proac,vos

• Comunicados

•   Vigilancia  tecnológica  

• Auditorias  de  seguridad  o          

evaluaciones  

• Configuración  y  mantenim.  de  

seguridad,  herramientas  y   aplicaciones  e  infraestructura   • Desarrollo  de  herramientas  de  

seguridad  

• Servicios  de  detección  de  intrusos  

• Difusión  de  información  relacionada  

Calidad de los Servicios de los CSIRT

Análisis  de  riesgos

Con1nuidad  de  negocio  y  plan  de   recuperación  de  desastres  

Consultoría  de  seguridad   Sensibilización  en  seguridad    

Educación  /  Entrenamiento  

Calidad de los Servicios de los CISRT

Contexto

Operativo

Herramienta

Procesos

Contexto Operativo § La monitorización centralizada de sistemas (disponibilidad) y seguridad, § Herramienta de ticketing (incidencias abiertas). Y cuadro de mando para la capacidad. § Gestión de las actividades de mantenimiento. Contexto Operativo Herramienta Procesos

§ En las pantallas de los

operarios,

monitorización de los clientes, y las

incidencias que están abiertas, y la wiki para la gestión colaborativa y los procedimientos de trabajo. § Y la gestión de las herramientas personales. § Facilidades de escritorio extendido.

Contexto Operativo Contexto

Operativo Herramienta Procesos

Contexto de las Herramientas Contexto Operativo Herramienta Procesos

Subprocesos Alto Nivel ITIL. Gestión de la seguridad Diseño de Controles de Seguridad Pruebas de Seguridad Gestión de Incidentes de Seguridad Revisión de Seguridad Contexto Operativo Herramienta Procesos

Preparación y

Prevención Detección y notificación preliminar Análisis Contención y recuperación Investigación Actividades posteriores

Subprocesos Alto Nivel ITIL & Gestión incidencias de seg.

Gestión de la seguridad Diseño de Controles de Seguridad Pruebas de Seguridad Gestión de Incidentes de Seguridad Revisión de Seguridad Contexto Operativo Herramienta Procesos

Gestión de incidencias de Seguridad

Preparación y

Prevención Detección y notificación preliminar Análisis Contención y recuperación Investigación Actividades posteriores

Criterios de categorización de incidentes:

• 

Por tipo de incidente

•

Por el Impacto de los

daños Producidos

Contexto Operativo Herramienta Procesos

Gestión de incidencias de seguridad

Contexto Operativo Herramienta Procesos

Gestión de incidencias de seguridad

Contexto Operativo Herramienta Procesos

Preparación y Prevención

Preparación y

Prevención Detección y notificación preliminar Análisis Contención y recuperación Investigación Actividades posteriores

v

Análisis periódicos de riesgos

v

Mejores prácticas de seguridad

v

Auditorías periódicas

v

Administración de actualizaciones

v

Fortalecimiento de la seguridad de los equipos

v

Sensibilización y formación

v

………

Detección y notificación

Preparación y

Prevención Detección y notificación preliminar Análisis Contención y recuperación Investigación Actividades posteriores

Contexto Operativo Herramienta Procesos

Análisis preliminar

Preparación y

Prevención Detección y notificación preliminar Análisis Contención y recuperación Investigación Actividades posteriores

Contexto Operativo Herramienta Procesos

Contención y recuperación

Preparación y

Prevención Detección y notificación preliminar Análisis Contención y recuperación Investigación Actividades posteriores

Contexto Operativo Herramienta Procesos

Investigación

Preparación y

Prevención Detección y notificación preliminar Análisis Contención y recuperación Investigación Actividades posteriores

Contexto Operativo Herramienta Procesos

Actividades Posteriores

Preparación y

Prevención Detección y notificación preliminar Análisis Contención y recuperación Investigación Actividades posteriores

v

Organizar reuniones

v

Mantener la documentación

v

Crear bases de conocimiento

v

Integrar la gestión de incidentes al análisis de

riesgos

v

Elaborar Informes y Cuadros de Mando

v

………

Contexto Operativo Herramienta Procesos

Detalle de Políticas y procedimientos Contexto Operativo Herramienta Procesos

¡ Muchas gracias !

insert photo

Contact details: Juan Carlos Vigo

• Email: [email protected]

• Web: www.ati.es

• Twitter: juancarlosati@