CERTSI. Cert de Seguridad e Industria

Posted on 0 comentarios

Descripción corta:

El CERT de Seguridad e Industria (CERTSI), es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Ministerio de Energía, Turismo y Agenda Digital y del Ministerio del Interior. Por Acuerdo del Consejo Nacional de Ciberseguridad de 29 de mayo de 2015, el CERTSI es el CERT Nacional competente en la prevención, mitigación y respuesta ante incidentes cibernéticos en el ámbito de las empresas, los ciudadanos y los operadores de infraestructuras críticas.

Fecha:

Enero de 2018.

Autor: Club de Innovación

Administración / Proveedor que lo propone: Ministerio de Energía, Turismo y Agenda Digital / Ministerio del Interior.

Área responsable del proyecto: INCIBE

Estado del Proyecto / Caso en la fecha del alta: Operativo. Se constituyó en el año 2012.

Carácter innovador:

Resuelve de forma técnica los incidentes de ciberseguridad de los operadores de infraestructuras críticas ya sean públicos o privados a través de un equipo operado por INCIBE.

Problemática:

La importancia del ciberespacio y del avance tecnológico ha supuesto un cambio sustancial en las relaciones entre ciudadanos, empresas, Administraciones Públicas, Infraestructuras Críticas, etc., así como un impulso el desarrollo de las sociedades actuales.
Garantizar la seguridad en el ciberespacio se ha convertido en un objetivo prioritario en las agendas de la mayoría de los Gobiernos, ya que en ocasiones puede llegar a afectar a la Seguridad Nacional.

Este objetivo requiere de un plan que, en España, se ha elaborado partiendo de la Estrategia de Ciberseguridad Nacional aprobada en diciembre de 2013 por el Consejo de Seguridad Nacional. Se requiere de una acción sincronizada y coordinada de todos los recursos del Estado destinados a este fin. Se debe hacer partícipe de esta estructura al sector privado y a la ciudadanía en general, teniendo en cuenta a la Unión Europea, organizaciones internacionales y regionales y con los países de nuestro entorno.

Un ciberespacio seguro es posiblemente el mayor desafío al que se enfrenta España desde el punto de vista de la seguridad por lo que los riesgos y las amenazas que se ciernen en él requieren una respuesta oportuna, proporcionada, eficaz y coordinada que garantice la libre y segura utilización del mismo por el conjunto de la sociedad española.

Solución planteada:

Operado técnicamente por INCIBE, y bajo la coordinación del CNPIC e INCIBE, el CERTSI se constituyó en el año 2012 a través de un Acuerdo Marco de Colaboración en materia de Ciberseguridad entre la Secretaría de Estado de Seguridad y la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información. Actualmente es regulado mediante Acuerdo de 21 de octubre de 2015, suscrito por ambas Secretarías de Estado.

Los operadores de infraestructuras críticas, públicos o privados, designados en virtud de la aplicación de la Ley 8/2011, tienen en el CERTSI su punto de referencia para la resolución técnica de incidentes de ciberseguridad que puedan afectar a la prestación de los servicios esenciales, según establece la Resolución de 8 de septiembre de 2015 (publicada en el BOE de 18 de septiembre), de la Secretaría de Estado de Seguridad, por la que se aprueban los nuevos contenidos mínimos de los Planes de Seguridad del Operador y de los Planes de Protección Específicos.

Detalles de la solución:

El certsi hace frente a los siguientes incidentes:

RESPUESTA A INCIDENTES

En su labor de CERT (Computer Security Response Team) el CERTSI presta servicio a los incidentes de ciberseguridad que notifican ciudadanos y empresas de este país. La finalidad del servicio consiste en poner a disposición de los tres públicos objetivo del CERTSI capacidad tecnológica y de coordinación que permita ofrecer un apoyo operativo ante ciberamenazas o ante la ocurrencia de ciberincidentes.

Este servicio está disponible de forma continuada para ciudadanos, empresas, entidades afiliadas a RedIRIS y operadores de infraestructuras críticas en formato 24x7x365.

El equipo técnico especializado de respuesta a incidentes del CERTSI ofrece soporte técnico ante incidentes de ciberseguridad. Para proteger la confidencialidad de los datos que se suministren, el CERTSI dispone de claves públicas PGP que permiten su cifrado.

Asimismo, en el caso de que el incidente implique un delito, el CERTSI facilita la llegada y coordinación con las Fuerzas y Cuerpos de Seguridad del Estado en caso de que el afectado desee interponer una denuncia.

demás de la recepción de incidentes a través de los buzones destinados a ello, el CERTSI emplea técnicas de anticipación y detección temprana de incidentes a partir de la agregación de fuentes de información. Esto permite, por una parte elaborar alertas y avisos sobre campañas para mejorar la protección frente a ciberamenazas. Por otra parte, en el caso de la detección temprana de incidentes, se procede a la notificación del afectado y mantiene contacto con los proveedores de internet y otros CERT si fuera necesario.

El servicio de Respuesta a incidentes va dirigido a:

  • Ciudadanos y empresas: A través de la OSI (www.osi.es y el teléfono 901 111 121) y de la dirección de e-mail Incidencias CERTSI.
  • Instituciones afiliadas a la red académica y de investigación española (RedIRIS): A través de la dirección de e-mail Mailbox of RedIris.
  • Operadores estratégicos y de infraestructuras críticas: A través de la dirección de e-mail Buzón PIC de CERTSI.

Ciudadanos y empresas

El CERT de Seguridad e Industria (CERTSI) dispone de un equipo especializado en el análisis y gestión de incidencias de seguridad y fraude electrónico. Puede reportar un incidente o un caso de fraude electrónico a través de dirección Buzón de incidencias de CERTSI. detallando en el mismo su información de contacto y una descripción lo más completa posible del incidente. Recuerde que cuanta más información del incidente nos remita, más sencillo será para nosotros gestionarla de manera efectiva. Si la incidencia contiene información sensible, le recomendamos que la envíe cifrada con PGP

Dentro de las actuaciones en marcha para colaborar en la lucha contra el fraude, prestamos una especial atención a casos relacionados con dominios “.es” para los que trabajamos de forma muy estrecha con dominios.es. La colaboración de los clientes y usuarios del servicio afectado es fundamental para poder bloquear de forma adecuada el contenido fraudulento y evitar el impacto que pueda tener en dichos usuarios.

Una incidencia de seguridad generalmente involucra a uno o más recursos informáticos que han sido afectados o que están, de alguna manera, relacionados con la misma. Dentro de las funciones del CERT de Seguridad e Industria se encuentra la detección proactiva de información sobre recursos comprometidos en el ámbito español y maliciosos en todo el ámbito de internet.

El CERTSI dispone de un equipo especializado en el análisis y gestión de incidencias de Ciberseguridad que opera de forma continuada 24 horas al día, 7 días a la semana. Una vez reportado el incidente a través del correo indicado, nuestros técnicos se encargarán de evaluarlo y ofrecerle soporte para su mitigación y resolución tanto en el ámbito técnico como en el de la coordinación con otras entidades.

Tiene especial relevancia la participación activa en el equipo de respuesta a incidentes de agentes de la Oficina de Coordinación Cibernética del Ministerio del Interior, que permite trasladar de una forma muy ágil los casos constitutivos de delito telemático a las unidades técnicas de las Fuerzas y Cuerpos de Seguridad del Estado.

redIRIS

  • Quién puede usar el servicio de atención de incidentes a las instituciones afiliadas a RedIRIS, operado por CERTSI?

Instituciones afiliadas a RedIRIS. Incluye universidades y otros centros de investigación. En caso de duda la persona de enlace con RedIRIS (PER) puede contactar con la secretaría de RedIRIS.

Al principio de la prestación del servicio RedIRIS facilitó el servicio de atención de incidentes a organizaciones no afiliadas a RedIRIS dado que no había otros CSIRT de ámbio nacional que pudieran realizar esta función, desde hace hace algún tiempo al haber otros equipos de seguridad de ámbito nacional el servicio solo se presta a las organizaciones afiliadas a RedIRIS.

  • ¿Cuánto cuesta?

El servicio de atención de incidentes a las instituciones afiliadas a RedIRIS, operado por CERTSI no tiene coste y se ofrece sólo a instituciones afiliadas a RedIRIS.

Que sea un servicio sin coste para usuarios NO quiere decir que sea gratis. El Plan Nacional de I+D financia RedIRIS como red de investigación, y dentro del catalogo de servicios que RedIRIS presta sus instituciones afiliadas, se encuentra el servicio de atención de incidentes.

  • ¿Qué servicios ofrece CERT para RedIRIS?

El CERT ofrece el servicio de atención a incidentes de seguridad a los centros afiliados a RedIRIS, principalmente la coordinación e intercambio de información entre la institución afiliada a RedIRIS involucrada en el incidente (ya sea como origen o destino del ataque) y una fuente externa a la red académica.

El CERT prestará asesoramiento técnico, procedimientos, guias de actuación, recomendaciones, etc a la institución afiliada afectada por el problema de seguridad.

  • ¿Qué información debo mandar al CERT en un informe de incidente?

Cuando nos envíe información sobre un incidente de seguridad es muy importante que incluya la mayor cantidad de datos que pueda recopilar de la máquina/s afectada/s. Para ayudarle, le recomendamos consultar el punto 6 del RFC 2350 que evitará perdidas de tiempo innecesarias cuando el CERT necesite información no proporcionada en el informe inicial.

Una vez rellenado, deberá remitir la información a Buzón de consultas para RedIRIS.. Si no puede acceder a su correo electrónico, lo podrá remitir vía fax (no seguro) a: +34 987 261 016. RedIRIS se compromete a no hacer uso de la información proporcionada para su propio beneficio o el de otros. Así mismo, se compromete a no divulgar información a terceros sin su permiso explícito, aunque ello pueda entorpecer la investigación.

  • ¿Dónde puedo encontrar más información?

Puede contactar con el personal del CERTSI en la dirección Mailbox of RedIris.
Encontrará información de contacto adicional en la sección de contacto de INCIBE.
Aconsejamos el uso de PGP para comunicaciones confidenciales.

INFRAESTRUCTURAS CRÍTICAS

Tal y como se indica en el apartado de presentación del CERTSI, éste se encuentra coordinado tanto por el Instituto Nacional de Ciberseguridad (INCIBE) como por  el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), competente en la Protección de las Infraestructuras Críticas según la Ley 8/2011 y el Real Decreto 704/2011.

Entre los servicios puestos en marcha en el marco del CERTSI destaca la respuesta ante incidentes de Ciberseguridad para operadores designados como críticos en base a que el Plan Estratégico Sectorial correspondiente considere al menos una de sus infraestructuras como críticas. En caso de que un operador crítico sufra un problema de ciberseguridad, podrá beneficiarse de los servicios del equipo técnico especializado encargado del apoyo durante tales situaciones.

En este sentido, se entiende por problema de ciberseguridad cualquier incidente que, empleando o estando dirigido a elementos tecnológicos, afecte al correcto funcionamiento de la infraestructura afectada, como por ejemplo ataques para la parada o inutilización de servicios tecnológicos, acceso a información privilegiada, alteración de información para manipular de forma fraudulenta los sistemas tecnológicos y la información que manejan, etc.

Puede reportar un incidente de Ciberseguridad en un operador de infraestructuras críticas a través de dirección Buzón de PIC de CERTSI. detallando en el mismo su información de contacto y una descripción lo más completa posible del incidente. Recuerde que cuanta más información del incidente nos remita, más sencillo será para nosotros gestionarla de manera efectiva. Si la incidencia contiene información sensible, le recomendamos que la envíe cifrada con PGP. De forma análoga, todos los mensajes que provengan del CERTSI se enviarán firmados digitalmente con la clave del equipo.

Una vez recibida la notificación el equipo de respuesta a incidentes se pondrá en contacto con los contactos del operador afectado y comenzará el proceso de gestión del incidente. Cabe destacar que esta gestión se realiza de forma continuada 24 horas al día, 7 días por semana.

Dada la sensibilidad de la información a tratar en la gestión de estos incidentes, el CERTSI ofrece a los operadores de infraestructuras críticas la firma de un acuerdo de confidencialidad que establezca unas clausulas de protección legal sobre toda la información intercambiada. Para la firma de dicho acuerdo solicitarlo a la dirección Buzón

Ventajas:

La puesta a disposición de un equipo de estas características tiene varios beneficios directos para el operador, entre los que destacan:

  • El acceso a un equipo técnico especializado.
  • Contar con un servicio de notificación de alerta temprana de riesgos, amenazas o incidentes que puedan afectar a los sistemas de información del operador.
  • Aumentar la capacidad de mitigación del incidente a través de la coordinación con los diferentes agentes implicados, como proveedores de servicios en internet, Fuerzas y Cuerpos de Seguridad del Estado u otros CERTs, incluso en el ámbito internacional en el caso de incidentes originados en fuera de la jurisdicción española.
  • Acceso a servicios de carácter preventivo orientados a proteger de una manera más eficiente las infraestructuras nacionales.
  • Contar con un soporte jurídico y legal en todo el ciclo de vida del incidente.
  • El seguimiento de los incidentes en base a un protocolo de actuación común.

Financiación: Pública.

Persona de contacto en el proyecto: —

Teléfono: —

Correo electrónico: —

Dirección:

  • Oficinas de INCIBE en Madrid: Plza Manuel Gómez Monreno s/n. Edificio Bronce. 28020 Madrid
  • Oficinas de INCIBE en León: Avenida José Aguado, 41. Edificio INCIBE. 24005 León

Sigue toda la actualidad con Club de Innovación:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *