www.antel.com.uy

Centro de Respuesta a Incidentes de Seguridad Informática y de Telecomunicaciones

Desafío 2007

Agenda

• Incidentes de seguridad: un dato de la realidad

• Cómo enfrentarlos• Situación actual del CSIRT y próximos

hitos

Incidentes de seguridad

• Internet y las TIC, han revolucionado la forma de hacer negocios pero, también han introducido nuevos riesgos

• No es una opción dejar de brindar servicios por Internet

• Debemos en consecuencia reconocer y asumir que la seguridad total no existe

• El impacto de los incidentes es cada vez más significativo, en ocasiones pone en riesgo la continuidad del negocio de las organizaciones

• Debemos a su vez aprender a tomar los incidentes de seguridad como un dato de la realidad y a tratar con ellos

Difusión de herramientas, complejidad e impacto de su uso

19

90

19

90

19

95

19

95

20

00

20

00

20

05

20

05

DDoSGusanos, troyanos, virus

Phishing,PharmingPocas personas

accediendo a herramientas complejas y de impacto limitado

Muchas personas accediendo a herramientas de fácil uso y de impacto importante

ScanningSniffers

Incidentes de seguridad

• Cuando ocurren incidentes de seguridad entonces, es crítico que nuestra comunidad tenga un modo efectivo y coordinado de responder

• La velocidad con la cual las organizaciones de nuestra comunidad puedan reconocer, analizar y responder a un incidente de seguridad limitará los daños y disminuirá los costos de recuperación

Estrategias posibles

• La óptica de las O&M

– Su premisa básica es la disponibilidad del

servicio

– En dicho contexto, se busca minimizar el

tiempo medio de “reparación”

• La óptica del “equipo de seguridad”

– Su premisa es entender que está pasando, de

manera de minimizar su impacto, cuantificar

los daños que el incidente ha provocado y

eliminar la posibilidad de re-ocurrencia

Enfrentando un incidente de seguridad

• Es cada vez más frecuente que los incidentes de seguridad involucren a varios sectores de una empresa

• Los sistemas son cada vez más especializados, lo que provoca problemas de comunicación y coordinación entre especialistas

Enfrentando un incidente de seguridad

• No necesariamente la suma de los mejores esfuerzos de cada una de las partes involucradas en un incidente de seguridad redunda en el mejor resultado en cuanto a analizarlo y combatirlo

• Porque,

– pueden haber intereses distintos

• Por ejemplo: restablecer el servicio vs. analizar

qué está pasando

– se puede duplicar, triplicar, ... el esfuerzo

– se pierde tiempo tratando de coordinar o por no

coordinar

La propuesta

• Un equipo de personas que se dedica a gestionar los Incidentes de Seguridad de la Comunidad Objetivo.

• Alejados de la “línea de fuego” de O&M y sin interferir en ella

• Comunidad Objetivo:

– Organizaciones del Estado, Grandes Clientes,

Antel, Anteldata, Ancel y subsidiarias.

Servicios brindados• Reactivos

– Alertas

– Manejo de incidentes

• Proactivos– Anuncios

– Detección proactiva

de incidentes

– Elaboración de políticas y

“best practices”

• Valor agregado

– Capacitación y

entrenamiento

– Análisis de riesgo

– Consultoría en

seguridad

– Concientización de la

comunidad en temas

de seguridad

El equipo CSIRT

• Computer Security Incident Response Team

• En nuestro caso se trata de un Equipo de Respuesta a Incidentes de Seguridad Informática y de Telecomunicaciones

• Es un estrategia innovadora en América Latina, pero está ampliamente difundida en los países desarrollados

• CERT/CC®, FIRST, TERENA

Equipos de respuesta a incidentesFuente: FIRST – 11/06

184 Equipos en 36 184 Equipos en 36 paísespaíses

Estados Estados UnidosUnidos

7171

CanadCanadáá

1010

América América LatinaLatina

66

Asia y Asia y OceaníaOceanía

2222

EuropaEuropa

7575

ÁfricÁfricaa 00

Beneficios esperados

• La Comunidad Objetivo obtiene un lugar para reportar incidentes de seguridad informáticos y de telecomunicaciones los que se tratarán con el compromiso profesional, la confidencialidad y la celeridad necesarias

• La existencia de coordinación en la respuesta:

– Disminuye los tiempos de reacción de todos los

actores

– Disminuye el impacto y el costo de recuperación

en las organizaciones integrantes de la comunidad

– Aumenta la resiliencia de las empresas a las crisis

en sus sistemas de información

Situación actual

• El CSIRT de ANTEL se encuentra operativo

• Ha resuelto más de 40 incidentes de seguridad

informática en el presente año

• Algunos de ellos de gran significancia, obteniendo

reducciones en las resoluciones de los incidentes

de hasta dos días de disponibilidad promedio

• Se ha realizado informática forense para otros

organismos del Estado

Qué estamos haciendo• Gestionando incidentes de seguridad informática

y de telecomunicaciones• Aprendiendo (de los errores y de los aciertos) y

documentando las resoluciones de los incidentes• Difundiendo técnicas y metodologías de

seguridad• Siguiendo la metodología del CERT/CC®• Preparándonos para aplicar al FIRST (Forum

Incident Response Security Teams), en mayo 2007.

• Promoviendo la existencia de un CERT para Uruguay

• Para contactarnos,

email: csirt@antel.com.uy; tel: +598.2.928.2838

FUENTE: EL OBSERVADOR

¡Muchas gracias por su atención!

Ing. Eduardo CarozoIng. Leonardo Vidal

www.antel.com.uy