Panel Nro. 4, Legal and Socio-Cultural Impact of Csirt
OEA
Vladimir Cobarrubias L.Certificado CSIRT Internacional, Profesor CISSPPerito Forense Informático, Investigador Crimen InformáticoAcadémico Universidad de Chile, en Seguridad & Auditoría Informática.
Importancia de un “Importancia de un “CSIRTCSIRT” ” Equipo de Respuesta ante Incidentes de Equipo de Respuesta ante Incidentes de
Seguridad ComputacionalSeguridad ComputacionalY aspectos legales.Y aspectos legales.
Temas
• El modelo CSIRT• Funcionamiento• Actos criminales• Herramientas Legales• Conclusiones
Que es CSIRT ?(Computer Security Incident Response Team)
Punto central para analizar eventos, coordinar soluciones técnicas, asegurar que la información necesaria se transmite a aquellos que la necesitan, y adiestrar a otros equipos o individuos en la gestión de incidentes de seguridad.SCHULTZ, 1989 Shultz, E. Eugene, The Computer Incident Advisory Capability (CIAC) Centre for Computer Security News, Vol 8, 1989
Un CSIRT recibe, analiza y responde informes de incidentes recibidos desde los miembros de su comunidad, otros CSIRT, o terceras partes, coordinando la respuesta entre las partes implicadas.CERT/CC: Computer Security Incident Response Team FAQ http://www.cert.org/csirts/csirt_faq.html
Que hace un CSIRT
1. Provee un punto único de contacto.2. Asiste en la prevención y manejo de
incidentes de Seguridad Computacional. 3. Comparte información con otros equipos
de respuesta y organizaciones a nivel mundial.
4. Establece la Notificación y Comunicación formal apropiada.
¿Por qué una organización necesita un CSIRT?
•Es necesario que exista un equipo local que comprenda las necesidades y características locales, y opere en la misma zona horaria
•Reconocimiento internacional– 150 miembros del FIRST (Forum of Incident Response and Security Teams) http://www.first.org/team-info/– 97 CSIRTs conocidos en Europa http://www.ti.terena.nl/teams/level0.html
•Es crítico para una organización tener mecanismos para responder de forma rápida y eficiente ante una amenaza de seguridad.
•Mejorar la seguridad en la comunidad en general (prevención)– Educar a los administradores de sistemas, publicar alertas, promover la implantación de políticas de seguridad,....
•Para enfrentar el incremento de ataques y vulnerabilidades de los sistemas, explotados por los criminales informáticos.
ISO 17799, 10 DOMINIOS :1. Política de Seguridad
2. Seguridad Organizacional
3. Clasificación y Control del Activo
4. Seguridad del Personal
5. Seguridad Física y Del Medio Ambiente
6. Administración de Comunicaciones y Operaciones
7. Control de Acceso
8. Desarrollo y Mantención de Sistemas
9. Administración de la Continuidad del negocio
10. Conformidad
ISO 17799
Dominio 6“Administración de Comunicaciones y Operaciones”
• Objetivo, “Garantizar la correcta y Segura Operación de las instalaciones de procesamiento”, “Minimizar el riesgo de fallas en los sistemas”
• Procedimientos adecuados
• Procedimientos en manejo de incidentes• Políticas de respaldos• Generaciones de Logs
TRIAGE
TRIAGETRIAGE
EspecialistasEspecialistas
Fuentes de informaciónFuentes de información
Ciclo en un CSIRT
Incidente
Triage Solicitud de Información
Reporte de Vulnerabilidad
Obtener Información de contactos e informar a
otros
Análisis inicial y recolección de Datos
Realizar análisis TécnicosCoordinar
Información y Responder
Todo Incidente tiene ID y se debe Cerrar
Directivos de laDirectivos de la OrganizaciónOrganización
Foros de discusiónForos de discusión
AdministradoresAdministradoresDe SistemasDe Sistemas
Grupos deGrupos deNoticias (News)Noticias (News) Proveedores Servicio Proveedores Servicio
De RedesDe Redes
Contactos con SitiosContactos con SitiosDe SeguridadDe Seguridad
LEYLEYOtros CSIRTOtros CSIRT
Usuarios de la Usuarios de la OrganizaciónOrganización
GLOBALGLOBALCSIRTCSIRT
Interacciones de un CSIRT
Para aquellos casos en que los incidentes constituyen delito de debe Notificar o Denunciar a la Policía – Fiscalía.
BRICIBBrigada Investigadora del Ciber Crimen
Equipo de Oficiales Porfesionales expertos en Crimen Informático, en operación desde 1995.
• Peritos Expertos en Tratamiento de Evidencia Digital
• Procedimientos Forenses Informáticos
• Investigación de Crimen Informático
• Investigación de Fraudes en Telecomunicaciones
• Investigación de Cyber terrorismo – Amenazas
• Investigación de Fraudes Bancarios vía Web o CC.
Legislación Vigente
Ley N° 19.223, Delitos Informáticos
Ley N° 17.336, Propiedad Intelectual
Ley N° 19.628, Protección Datos Personales
Ley N° 19.799, Firma Electrónica
Ley N° 18.168, General de Telecomunicaciones
Ley N° 19.927, Ley contra la Pedofília
Ley Nº 20.009, Ley Medios de Pago.
Código Penal, leyes tradicionales “Asociación Ilícita”
Conclusiones
• Es importante hacer extensivo el trabajo CSIRT a la Banca con objetivo Criminal y Terrorista.
• Compartir Información de manera más activa entre los CSIRT organizados en la Nación y la OEA
• Contar con apoyo de operaciones para enfrentar el tipo “Incidente Criminal” en el menor tiempo.
Consultas ???
OEA
Vladimir Cobarrubias L.Certificado CSIRT Internacional, Profesor CISSPPerito Forense Informático, Investigador Crimen InformáticoAcadémico Universidad de Chile, en Seguridad & Auditoría Informática.