Entidades de apoyo a la seguridad de la información

1. Introducción

Las entidades de apoyo a la seguridad de la información y ciberseguridad abarcan una variedad de organizaciones, como Centros de Operaciones de Seguridad (SOC), Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT), Centros de Operaciones de Red (NOC) y Equipos de Respuesta a Emergencias Informáticas (CERT). Su función principal es salvaguardar la integridad, confidencialidad y disponibilidad de la información, así como garantizar la resiliencia de las infraestructuras tecnológicas.

Aunque los términos son comúnmente utilizados, no hay una especificación única y formal que defina de manera precisa cómo debe funcionar cada uno. Sin embargo, existen algunas pautas y estándares ampliamente aceptados que proporcionan orientación sobre sus funciones y responsabilidades generales.

Sus principales funciones son:

• Vigilancia Activa: Las entidades de apoyo mantienen una vigilancia activa sobre las amenazas emergentes y las vulnerabilidades potenciales. Utilizan tecnologías avanzadas de detección y análisis de amenazas para identificar patrones y comportamientos anómalos en tiempo real.

• Respuesta a Incidentes: Ante la detección de un incidente, estas entidades desencadenan respuestas rápidas y efectivas. Esto implica la coordinación de esfuerzos para contener la amenaza, analizar el impacto y desarrollar estrategias de mitigación.

• Coordinación y Colaboración: La colaboración entre entidades de apoyo y la coordinación con otras organizaciones, incluidas fuerzas del orden y entidades gubernamentales, son esenciales. Esto permite una respuesta más integral y el intercambio de inteligencia de amenazas.

• Mejora Continua: La mejora continua es un pilar fundamental. Las entidades evalúan constantemente sus procedimientos, implementan lecciones aprendidas de incidentes anteriores y actualizan sus capacidades para mantenerse al día con las tácticas cambiantes de los actores malintencionados.

2. Las entidades de apoyo

2.a. NOC (Network Operations Center)

El NOC, o Centro de Operaciones de Red, constituye una parte esencial de la infraestructura tecnológica de una organización al enfocarse en la supervisión y gestión de su red. Su función principal es mantener un rendimiento óptimo y garantizar la disponibilidad continua de los sistemas de red. Aunque juega un papel crítico en la eficiencia operativa, es importante destacar que sus funciones principales no están directamente orientadas a la seguridad de la información.

El NOC se ocupa de tareas operativas como la monitorización del tráfico de red, la identificación de posibles cuellos de botella y la resolución de problemas relacionados con el rendimiento. Además, se encarga de gestionar la configuración de dispositivos de red, asegurando que estén correctamente alineados con los objetivos de la organización.

A diferencia de otros centros especializados, como los Centros de Operaciones de Seguridad (SOC), el NOC no está primariamente enfocado en la detección y respuesta a amenazas de seguridad cibernética. Su enfoque reside en el mantenimiento eficiente de la infraestructura de red para garantizar una comunicación fluida y un acceso continuo a los recursos.

2.b. SOC (Security Operations Center)

Un Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) es un componente esencial en la infraestructura de seguridad de una organización. Funcionando internamente, el SOC opera como una entidad operativa más que estratégica, concentrándose en la supervisión activa, la detección de amenazas y la gestión de incidentes de seguridad cibernética. Las funciones principales del SOC abarcan un ciclo integral de respuesta a incidentes, que incluye identificación, validación, priorización, notificación, investigación, respuesta, restitución y monitoreo continuo de los activos de información.

El SOC tiene la responsabilidad de mantener la postura de seguridad de la organización, actuando como el primer frente de defensa contra amenazas cibernéticas. Esto implica no solo la detección y respuesta a incidentes, sino también la sensibilización y capacitación permanente del personal para fortalecer la resiliencia de la organización frente a las amenazas en constante evolución. Además, el SOC desempeña un papel crucial en la restauración de la normalidad después de un incidente, garantizando la continuidad de las operaciones y minimizando el impacto en la seguridad de la información.

2.c. CERT (Computer Emergency Response Team) y CSIRT (Computer Security Incident Response Team)

Los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) y los Equipos de Respuesta a Emergencias Informáticas (CERT) son entidades estratégicas que operan típicamente a nivel nacional o sectorial, y suelen no funcionar internamente en una empresa individual. En cambio, son creados por asociaciones de empresas, gremios o el gobierno para consolidar información de informes de incidentes de seguridad cibernética. Estos equipos desempeñan un papel crucial en la coordinación, análisis y respuesta a incidentes a nivel de la industria.

Los CSIRT y CERT investigan activamente los ataques, analizan los informes de incidentes individuales para generar informes consolidados y desarrollan mecanismos de protección compartidos. Emiten alertas tanto para las organizaciones miembros como para el público en general, proporcionando recomendaciones de protección y respuesta. Además, estos equipos pueden colaborar con las autoridades para identificar, rastrear y perseguir a los ciberdelincuentes, contribuyendo así a la aplicación de la ley y la seguridad cibernética a nivel más amplio.

Su enfoque estratégico y su capacidad para consolidar y analizar datos de múltiples fuentes les permiten comprender mejor las amenazas cibernéticas a gran escala y desarrollar respuestas más efectivas. Los CSIRT y CERT desempeñan un papel crucial en la defensa cibernética a nivel nacional o sectorial, promoviendo la colaboración y la respuesta coordinada a amenazas cibernéticas.

ColCERT

El COLCERT, o Centro de Operaciones para la Lucha Contra Eventos de Red (CERT), es una entidad Colombiana que tiene como objetivo coordinar y asesorar a los CSIRT's (Equipos de Respuesta ante Incidentes de Seguridad Informática) para responder eficientemente a eventos de seguridad cibernética. Sus funciones principales son:

1. Coordinación y Asesoramiento a CSIRT's: Brinda coordinación y asesoramiento a los Equipos de Respuesta ante Incidentes de Seguridad Informática para mejorar la respuesta y mitigación de eventos de seguridad.

2. Ofrecer Servicios de Prevención: Proporciona servicios orientados a la prevención de amenazas informáticas, colaborando en la identificación y mitigación proactiva de posibles riesgos.

3. Respuesta Frente a Incidentes Informáticos: Desarrolla capacidades para la respuesta efectiva ante incidentes informáticos, facilitando la coordinación entre diferentes actores para abordar y resolver situaciones críticas.

4. Información, Sensibilización y Formación: Suministra información actualizada, actividades de sensibilización y programas de formación para fortalecer la conciencia y competencias en ciberseguridad.

5. Punto de Contacto Internacional: Actúa como punto de contacto internacional, colaborando y compartiendo información con entidades similares a nivel global.

6. Promover la Creación de CSIRT's Sectoriales: Impulsa la creación de Equipos de Respuesta ante Incidentes especializados en sectores críticos nacionales, en el sector privado y en la sociedad civil.

7. Desarrollar y Promover Procedimientos y Protocolos: Establece y promueve procedimientos, protocolos, guías de buenas prácticas y recomendaciones en el ámbito de la ciberdefensa y ciberseguridad.

8. Apoyo a Organismos de Seguridad e Investigación: Colabora con organismos de seguridad e investigación para la prevención e investigación de incidentes cibernéticos.

9. Fomentar un Sistema de Gestión de Conocimiento: Trabaja en el desarrollo y fomento de un sistema de gestión de conocimiento relacionado con la ciberdefensa y ciberseguridad, facilitando la compartición y utilización eficiente de conocimientos en el ámbito de la seguridad informática.

Así como Colombia cuenta con el COLCERT para unificar esfuerzos y fortalecer la ciberseguridad a nivel nacional, cada país tiene la responsabilidad de establecer un centro similar y homólogo en funciones. Estos centros, a menudo conocidos como Centros de Respuesta a Incidentes de Seguridad Informática (CSIRT) o CERT, desempeñan un papel crucial en la coordinación, prevención, respuesta y colaboración internacional para hacer frente a las amenazas cibernéticas. Establecer estas entidades refleja el compromiso de cada nación con la seguridad digital y la protección de la infraestructura crítica, el sector privado y la sociedad en general frente a los desafíos emergentes en el ciberespacio. La colaboración internacional entre estos centros promueve un enfoque colectivo para abordar las amenazas cibernéticas transfronterizas y fortalecer la ciberresiliencia a nivel global.

2.d. FIRST (Forum of Incident Response Security Teams)

El FIRST es una comunidad internacional que reúne a profesionales y expertos en respuesta a incidentes de seguridad cibernética. Su objetivo principal es facilitar la colaboración y el intercambio de información entre los CSIRT y equipos de respuesta a incidentes en todo el mundo.

Aunque el FIRST no emite certificaciones formales para equipos, desempeña un papel crucial en el desarrollo de estándares, prácticas y pautas para la respuesta a incidentes de seguridad. Proporciona un foro para que los profesionales de la seguridad cibernética compartan conocimientos, experiencias y mejores prácticas. A través de sus actividades, el FIRST contribuye al fortalecimiento de las capacidades de respuesta a incidentes a nivel global.

En resumen, el FIRST no certifica SOC, CERT o CSIRT directamente, pero su contribución al establecimiento de estándares y prácticas en el campo de la seguridad cibernética es esencial para la mejora continua de los equipos de respuesta a incidentes en todo el mundo.

Las principales funciones del FIRST incluyen:

• Acceso a Documentos de Mejores Prácticas Actualizados: Proporciona acceso a documentos actualizados que contienen las mejores prácticas en el campo de la respuesta a incidentes de seguridad cibernética.

• Coloquios Técnicos para Expertos en Seguridad: Organiza coloquios técnicos que reúnen a expertos en seguridad para discutir y compartir conocimientos sobre cuestiones técnicas y desafíos en el ámbito de la seguridad cibernética.

• Clases Prácticas: Ofrece clases prácticas que permiten a los profesionales de seguridad adquirir habilidades prácticas y conocimientos específicos para mejorar la respuesta a incidentes.

• Conferencia Anual de Respuesta a Incidentes: Organiza una conferencia anual centrada en la respuesta a incidentes, proporcionando un foro para compartir experiencias, investigaciones y desarrollos en el campo de la seguridad cibernética.

• Publicaciones y Servicios en Línea: Publica información relevante y proporciona servicios en línea para mantener a la comunidad actualizada sobre las últimas tendencias, amenazas y soluciones en el ámbito de la seguridad cibernética.

• Grupos de Interés Especial: Facilita grupos de interés especializados que permiten a los profesionales de seguridad colaborar en áreas específicas de interés o desafío en el ámbito de la respuesta a incidentes.

Estas funciones contribuyen a fortalecer la colaboración y mejorar las capacidades de respuesta a incidentes a nivel global.

3. Roles de los funcionarios

En un Security Operations Center (SOC), los roles desempeñan funciones especializadas y complementarias para garantizar una gestión integral de la seguridad. Estos roles incluyen:

1. CISO (Chief Information Security Officer): Actúa como el estratega principal y el enlace clave con la junta directiva. Su responsabilidad es establecer la visión estratégica de seguridad y garantizar que las políticas y prácticas de seguridad estén alineadas con los objetivos de la organización.

2. Information Security Manager: Coordina las actividades del equipo del SOC. Este profesional asegura que todas las funciones operativas se lleven a cabo de manera eficiente y en línea con las estrategias de seguridad establecidas.

3. Inteligencia de Amenazas: Este rol se centra en monitorear y analizar la inteligencia de amenazas para anticipar posibles riesgos. Proporciona información valiosa sobre las tendencias actuales y emergentes en ciberseguridad.

4. Análisis de Amenazas: Contextualiza las amenazas identificadas con las vulnerabilidades específicas de la empresa. Este análisis ayuda a comprender el riesgo potencial y a tomar decisiones informadas sobre la respuesta.

5. Gestión de Vulnerabilidades: Conoce el inventario de activos y las vulnerabilidades asociadas. Su función es evaluar continuamente la seguridad de los sistemas y aplicar medidas para mitigar las vulnerabilidades identificadas.

6. Operadores 24/7: Responsables de la operación continua del SOC. Monitorizan eventos de seguridad en tiempo real, investigan alertas y responden a incidentes, asegurando que la seguridad esté siempre vigilante.

7. Respuesta a Incidentes: Actúa para contener y mitigar los incidentes de seguridad tan pronto como se detectan. Este rol es crucial para limitar el impacto y restaurar la seguridad de manera eficiente.

8. Restituidores de la Continuidad: Trabajan para restaurar la continuidad operativa después de un incidente. Su objetivo es minimizar el tiempo de inactividad y garantizar la recuperación rápida de los sistemas afectados.

9. Análisis Forense: Se encarga de realizar análisis forenses detallados para comprender la naturaleza y el alcance de un incidente. Ayuda en la recopilación de pruebas y en la preparación de informes para acciones legales si es necesario.

10. Comunicaciones: Gestiona la comunicación interna y externa relacionada con incidentes de seguridad. Esto incluye la coordinación con partes interesadas, la preparación de comunicados de prensa, las denuncias ante las autoridades y la garantía de la transparencia en la divulgación de eventos de seguridad.

En un SOC, no es necesario contar con una persona para cada uno de los roles de manera permanente a tiempo completo. La flexibilidad es clave, y muchas organizaciones optan por asignar responsabilidades de roles específicos según la necesidad y la magnitud de las operaciones de seguridad. Puede ser más práctico tener un equipo multifuncional donde los miembros puedan desempeñar varios roles según sea necesario. Además, se puede complementar con asesores externos especializados que aporten conocimientos específicos en áreas críticas de seguridad. Lo esencial es que, en conjunto, el equipo, ya sea interno, externo o una combinación mixta, tenga las competencias y habilidades necesarias para abordar integralmente las operaciones de seguridad, desde la inteligencia de amenazas hasta la gestión de vulnerabilidades y la respuesta a incidentes.

4. Conclusiones

En un entorno cibernético cada vez más complejo, las entidades de apoyo a la seguridad de la información y ciberseguridad son fundamentales para la resiliencia y la supervivencia de las organizaciones. Su capacidad para operar de manera eficiente y coordinada, adaptarse a nuevas amenazas y fomentar la colaboración son aspectos cruciales para enfrentar los desafíos de seguridad digital en constante evolución.

Licencia

Entidades de apoyo a la seguridad de la información está bajo una licencia de Creative Commons Reconocimiento-CompartirIgual 4.0 Internacional.