La Superintendencia de Telecomunicaciones ha ratificado su compromiso de seguir luchando, como lo ha hecho hasta hoy, para erradicar toda práctica fraudulenta que se presente en el ámbito de su competencia. Por lo que, es importante tener en cuenta que, si bien cada entidad podría tener un Centro de Respuesta a incidentes informáticos, existen limitaciones en materia de operación que van desde el manejo de la información hasta aspectos relacionados con la autoridad dentro de su campo de acción; el alcance de un CERT ha sido destinado inicialmente para proporcionar servicios de respuesta a incidentes a nivel de instituciones del Estado, con énfasis en el apoyo a los entes relacionados en el sector de las telecomunicaciones.
La idea de un Centro de Respuesta a Incidentes Informáticos debe ser: detectar e identificar la amenaza, bloquearla, monitorizarla, reportar, guardar registros y evidencias de la amenaza, responderla, pedir información a los organismos o actores involucrados dentro de la respuesta a la amenaza de ser necesario, hacer uso de la infraestructura disponible y necesaria y comunicar a los demás equipos de apoyo o CSIRT’s conectados, para así mitigar las posibles consecuencias que produce un incidente de seguridad informática y promover la recuperación eficaz y efectiva de la información que fue sujeto del incidente, para luego crear un registro almacenado y generar la información respectiva y generar experiencia para compartirla con otros miembros integrados en las redes de confianza.
Puesto que es vital que cada miembro de una comunidad sea capaz de entender lo que es razonable esperar de su equipo, un Centro de Respuesta a Incidentes Informáticos debe dejar claro que pertenece a su comunidad y definir los servicios que el equipo ofrece. Además, cada Centro de Respuesta a Incidentes Informáticos debe publicar sus políticas y procedimientos de operación.
Del mismo modo, estos mismos componentes necesitan saber qué se espera de ellos para que puedan recibir los servicios de su equipo. Esto requiere que el equipo también publique cómo y dónde reportar los incidentes.
Un equipo de respuesta a incidentes debe de tener como objetivo proteger infraestructuras críticas y de éstas, el principal capital es la información, y alrededor de ella es donde se debe construir la seguridad, por lo que, en base al segmento de servicio al que esté destinado, así deberá ser su alcance para cubrir requerimientos de protección sobre los servicios que brinda. El CSIRT debe brindar servicios de seguridad a las infraestructuras críticas de su segmento, de las cuales a las que mayor atención hay que prestar son: internet, hardware, software, sistemas de control.
Las infraestructuras críticas de la información están segmentadas de la siguiente manera:
• Internet: servicios Web, Hosting, correo electrónico, DNS, etc.
• Hardware: servidores, estaciones de trabajo, equipos de red.
• Software: sistemas operativos, aplicaciones, utilitarios.
• Sistemas de Control: SCADA, PCS/DCS.
Los servicios informáticos iniciales que brinde un Centro de Respuesta a Incidentes Informáticos deben ir de la mano del tipo de servicios que otorgue éste a su comunidad. Para ello es relevante tener claro qué tipos de servicios brindará el CERT y sus respectivas necesidades de servicios informáticos que tiene que implementar.
El nivel de autoridad que tendrá el centro de respuesta es decisión de la administración y es importante que quede bien definido para evitar mensajes equivocados al interior de la organización que eventualmente pueden mermar la credibilidad del centro de respuesta. Aún en este caso, la aportación del centro de respuesta puede resultar fundamental sugiriendo acciones y advirtiendo los riesgos para la información de la organización de no llevarlas a cabo.
Es recomendable que el Centro de Respuesta a Incidentes Informáticos publique sus directrices y procedimientos en su propio servidor de información, esto permitiría a los integrantes acceder fácilmente a la información, una vez que una de las partes ha decidido compartir información con otro equipo, todas las partes implicadas necesitan garantizar canales de comunicación seguros.
Una recomendación de buena práctica es que la mayor parte de los centros de respuesta a incidentes informáticos empiezan con la distribución de «alertas y advertencias», emiten «comunicados » y ofrecen «tratamiento de incidentes» a los distintos clientes del grupo. Estos servicios básicos suelen resultar valiosos para los clientes atendidos y normalmente se consideran valor añadido real.
Dentro de los servicios básicos que tienen los centros de respuesta a incidentes informáticos prácticamente por defecto, están los que buscan proteger contra los ataques más comunes; así, los servicios pueden ser proactivos, que son los que están ejecutándose permanentemente para prevenir un incidente; y, reactivos, que son los que se ejecutan o responden, ante la presencia de un incidente en tiempo real, además un servicio específico de un CERT es la coordinación entre los distintos centros de respuesta para la atención eficiente y oportuna de un incidente informático. Éste será el responsable de la correcta ejecución de las normas y procedimientos que se manejarán en la resolución del incidente.
En cumplimiento de las nuevas funciones asignadas a la Dirección Nacional de Investigación Especial en Telecomunicaciones, contempladas en el Artículo 17 del REGLAMENTO ORGÁNICO POR PROCESOS DE LA SUPERINTENDENCIA DE TELECOMUNICACIONES, suscrito el 25 de noviembre de 2010 por el Superintendente de Telecomunicaciones, Ing. Fabián Jaramillo, se propone la creación del CERT Ecuador como un área dentro de la Dirección Nacional de Investigación Especial en Telecomunicaciones que cumpla con las funciones creadas para la atribución y responsabilidad específica denominada “Respuesta a incidentes de seguridad informática”.
Dichas funciones se mencionan a continuación:
• Diseñar y ejecutar los procedimientos que se utilizarán para la identificación de los componentes de infraestructura informática de alto riesgo, evaluando sus vulnerabilidades con la finalidad de tomar las acciones apropiadas para controlar el nivel de riesgo en el ambiente de operación, tales como sistemas informáticos y personal involucrado,
• Realizar actividades proactivas y reactivas para ayudar a proteger y asegurar la integridad y confidencialidad de los datos de empresas y organizaciones públicas y privadas que utilizan TIC’s,
• Determinar el impacto, el alcance y la naturaleza del evento o incidente informático mediante la comprensión de la causa técnica, con el objetivo de recomendar, coordinar y apoyar la implementación de la solución a los casos presentados por Ciberdelito.
• Dar respuesta a los incidentes informáticos presentados a través de su investigación, recopilación de pruebas o evidencias de un indicio del cometimiento de fraude en las TIC’s,
• Mantener una relación de cooperación con los CSIRT (Grupo de Respuesta a Incidentes de Seguridad Informática) de otros países a fin de tener apoyo y soporte en la solución de incidentes dentro del Ecuador.
• Elaborar registros de las investigaciones realizadas por el Centro de Respuesta a Incidentes, para tener los antecedentes y referencias de los casos presentados,
• Proponer y elaborar proyectos de investigación, innovación y transferencia tecnológica relacionados a temas de respuesta a incidentes informáticos y control de Ciberdelitos,
• Gestionar a nivel interno y externo de este Organismo, la elaboración de Convenios con organizaciones nacionales e internacionales los cuales permitirán las investigaciones de casos de fraude en las TIC’s,
• Coordinar y colaborar con organizaciones públicas y privadas, tales como proveedores de servicio de internet (ISP), empresas proveedoras de seguridad del Ecuador, Grupos de Respuesta a Incidentes de Seguridad Informática (CSIRT) de otros países, Fiscalía General del Estado y otras instituciones que por la naturaleza de los servicios prestados, cuentan con departamentos de seguridad informática con la finalidad de hacer cumplir la reglamentación correspondiente,
De acuerdo a estas funciones de “Respuesta a incidentes de seguridad informática” el CERT Ecuador/CC como área de coordinación Nacional será creado con los siguientes objetivos, alcance y funciones.
Dentro del plan de implementación del Centro de Respuesta a incidentes informáticos del Ecuador, se ha tomado en cuenta los aspectos de conformación técnica, administrativa, legal y de regulación, y que serán tratados con el tiempo conveniente para la correcta aplicación de las fases.
Con esto se cuenta que al haber iniciado la consultoría en cooperación con el gobierno de Corea, la cual se desarrolló en un período de 3 meses, desde el mes de julio al mes de septiembre de 2011, se ha definido los lineamientos principales que serán el sustento para la conformación de las bases del centro de respuesta a incidentes.
Con esta consultoría se ha definido los componentes necesarios para la implementación de los servicios de un CERT, para que pueda operar con todas sus posibilidades, por lo que se hace necesario poseer equipos de uso general y los elementos físicos necesarios a ser tomados en cuenta, así como los componentes de software que debe utilizar una organización CERT para que los sistemas operacionales y los procesos de aseguramiento de sistemas sigan un patrón lógico.
Además, se ha puesto en marcha una consultoría que va dirigida a establecer los elementos constitutivos y estudio de la infraestructura física del centro, la que está siendo implementada y que en el último trimestre del 2011 se llevó a cabo su contratación y ejecución hasta el primer trimestre del año 2012.
Después de los estudios y consultorías realizadas se aplicará el equipamiento en su primera fase del Centro de Respuesta a Incidentes Informáticos, esto durante el primer semestre del 2012, y en el segundo semestre del proyecto se prevería la implementación física de los sistemas constitutivos del centro.
El Centro de Respuesta a Incidentes Informáticos brindará asesoramiento a las entidades públicas para implantar medidas tecnológicas que mitiguen el riesgo de sufrir ataques informáticos mediante el estudio de los aspectos técnicos de ciberdelitos, colaborará también en la resolución de cualquier incidente en coordinación con la Fiscalía General del Estado y proporcionará información sobre vulnerabilidades, alertas y avisos de amenazas a los sistemas de información.
Para la conformación del proyecto CERT Ecuador/CC, se ha gestionado el presupuesto para la ejecución de la primera fase que comprende la implementación a nivel físico del centro con la adquisición de equipamientos específicos y software especializado, el cual servirá de base para el inicio de las operaciones en cuanto a la investigación y desarrollo de habilidades para el coherente tratamiento de los incidentes informáticos.
El proyecto CERT Ecuador/ CC, está contemplado dentro del Orgánico por Procesos de la SUPERTEL para el año 2012. Dentro del proceso de implementación del CERT Ecuador/CC se ha previsto dos fases:
Primera Fase:
• Conformación del grupo de trabajo
• Coordinar los servicios del CERT Ecuador/CC con organizaciones públicas y privadas del sector.
• Equipamiento: Herramientas de hardware y software de seguridad
Segunda fase:
• Consolidación a escala nacional e internacional del CERT Ecuador/CC.
MISIÓN: La principal misión del CERT Ecuador/ CC, es convertirse en el centro de alerta nacional que coordine, controle y contribuya con las instituciones del sector público y privado en lo concerniente a administración y gestión de incidentes de seguridad informática. Además de responder de forma rápida y eficiente a los incidentes de seguridad que pudieran surgir y afrontar de forma proactiva las nuevas amenazas en los sistemas y redes de tecnologías de la información.
VISIÓN: La visión para el año 2014, es que el CERT Ecuador/CC sea el líder nacional y referente internacional en seguridad de la información y miembro activo de las redes de confianza para el intercambio de información con otros CSIRT’s del país, de la región y del mundo.
Dentro de los servicios que bridará el CERT Ecuador/CC, una vez implementado en sus fases, y con los componentes de funcionamiento en completa operación, se tomarán las acciones de carácter preventivo, que se basan en:
• AVISOS, que serán del tipo de avisos de seguridad y búsqueda de vulnerabilidades,
• EVALUACIÓN, en lo referente a auditorías de seguridad y test de penetración,
• HERRAMIENTAS, para la investigación y desarrollo basado en hardware, software,
• INFORMACIÓN, por los medios de comunicación previstas como campañas de prevención y comunicación,
• DOCUMENTACIÓN, en los incidentes reportados a todo nivel, a través de informes, documentos y una capacitación adecuada a los agentes que conformen el centro. Asimismo, los servicios que serán brindados posterior al registro de un incidente de seguridad informática, el CERT podrá establecer los procedimientos y pasos a seguir de acuerdo a las normas y procedimientos de tipo reactivo, como por ejemplo:
• IDENTIFICACIÓN DEL INCIDENTE, procediendo a la identificación de procesos,
• RECOPILACIÓN DE EVIDENCIAS, mediante técnicas de informática forense y que se proponen para recuperar la operación,
• PRESERVACIÓN DE EVIDENCIAS, siguiendo los protocolos para almacenamiento, etiquetado y cadena de custodia
• ANÁLISIS DE EVIDENCIAS, mediante reconstrucción del hecho y establecimiento de respuestas
• DOCUMENTACIÓN, sustentada en informes técnicos y periciales.
Una de las principales funciones que tendrá el CERT Ecuador/CC, está enmarcado en dos grandes ejes de operación:
1.- La coordinación en el ámbito nacional, en la cual se establecerá los medios y convenios con los actores del sector para la obtención de Información que pueda de una manera eficiente realizar la descripción del incidente y posterior análisis y evaluación forense, apoyándose en la investigación de otros CSIRT, a escala nacional y poder realizar una difusión a través de los canales de comunicación hacia la ciudadanía.
2.- La coordinación internacional, en la que se pueda llegar a la determinación del origen del incidente, la evaluación a nivel internacional, basándose en el intercambio de experiencias y estableciendo canales de apoyo entre países.
Dentro de la implementación de la primera y segunda fase del CERT Ecuador/CC se estima empezar una con la consecución de metas y objetivos que sirvan de piloto para la posterior expansión del centro, esto es, los productos que se espera conseguir dentro de la implementación de la segunda fase, que son:
• Intercambio de información, para la implementación y posicionamiento exitoso del Centro Nacional de Respuesta a Incidentes Informáticos CERT Ecuador/CC.
• Capacitación del personal técnico que formará parte de la estructura organizacional del CERT Ecuador/CC.
• Establecimiento de las directrices de funcionamiento del CERT Ecuador/CC.
• Empezar con un grupo de clientes piloto, prestarle servicios básicos durante un periodo de tiempo y establecer recomendaciones y buenas prácticas en la gestión de incidentes.
• Ser parte de la red de confianza internacional FIRST.
Para esto se ha empezado a trabajar en coordinación directa con entidades bancarias, educativas y del sector de las telecomunicaciones; así como se tiene el proyecto de realizar un convenio de operación con las empresas telefónicas, portadoras e ISP’s, mediante acuerdos; y, la realización de eventos de capacitación a nivel de foros para tratar el tema del combate al ciberdelito.
También se ha previsto seguir trabajando en el fortalecimiento de un laboratorio de investigación de incidentes en donde se hace desarrollo de aplicaciones para la investigación del ciberdelito, además de continuar el trabajo con la Dirección de Atención al Ciudadano para el establecimiento de un canal directo para la recepción de denuncias de ciberdelito, más la concientización a través de campañas de difusión, charlas informativas a instituciones educativas y de conocimiento a la ciudadanía en general.
En el camino de la implementación hay mucho todavía por hacer, en cuanto a materia legislativa de leyes, normas y reglamentos que permitan el pleno funcionamiento de un proyecto de esta naturaleza; también empezar con campañas masivas de información para generar conciencia social de la problemática del ciberdelito que sustenten el trabajo del CERT.
Un Centro de Respuesta a Incidentes Informáticos debe comunicar toda la información necesaria acerca de sus políticas y servicios en una forma adecuada a las necesidades de sus integrantes. Es importante comprender que no todas las políticas y procedimientos deben ser accesibles al público. Por ejemplo, no es necesario entender el funcionamiento interno de un equipo con el fin de interactuar con él, como cuando se informa de un incidente, o recibir orientación sobre cómo analizar y asegurar uno de los sistemas.
Con autorización: Tomado de la Revista Institucional de la Supertel No. 13/2012
http://www.supertel.gob.ec/pdf/publicaciones/supertel13_2012.pdf