Equipo de Respuesta a Incidentes

El Equipo de Respuesta a Incidentes de la Anella Científica (CSUC-CSIRT) ayuda a las instituciones a mejorar la seguridad en sus redes, tanto detectando posibles incidentes como ayudando una vez se han producido.

El CSUC-CSIRT coordina y gestiona la resolución de incidentes de seguridad TIC en la Anella Científica y proporciona un punto de contacto para reportar, identificar, analizar el impacto y las amenazas de lo que sucede, así como proponer soluciones y estrategias de mitigación.

El equipo de respuesta a incidentes también difunde las notificaciones críticas de alerta ante amenazas inminentes a través de las listas de distribución y da soporte técnico en tecnologías de seguridad informática (análisis de tráfico, seguridad en el perímetro, etc.).

Diferentes herramientas especializadas para la gestión de la seguridad

• Gestión de incidentes de seguridad

Permite realizar el seguimiento de un incidente de seguridad o de fugas de información a todas las entidades implicadas (instituciones, proveedores de servicios de internet, etc.) y documentar la evolución desde su detección hasta su resolución. 

• Monitorización de la Anella Científica

Ayuda a monitorizar el tráfico intercambiado entre la Anella Científica y RedIRIS para obtener estadísticas de las diferentes instituciones y puntos de acceso de la Anella, así como detectar ciertas anomalías y usos irregulares de la red. 

• Detección de intrusiones

Permite inspeccionar el tráfico para aquellos recursos críticos de la Anella Científica gracias al hardware especializado de detección de intrusiones instalado en el nodo central de la Anella Científica.

• Servicios externos de detección

Establecemos acuerdos con organizaciones especializadas en seguridad de la red con el objetivo de detectar anomalías y aumentar nuestra efectividad hacia amenazas globales.  

¿Cuál es el ciclo de vida de un incidente? 

Un incidente de seguridad de la información se define como un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información, un impedimento en la operación normal de las redes, sistemas o recursos informáticos, o una violación de la política de seguridad.

El ciclo de vida de un incidente se divide en diferentes fases:

• Fase inicial (preparación y prevención, y detección y preanálisis).
• Contención, erradicación y recuperación (notificación, análisis, contención y erradicación).
• Recuperación del incidente (recuperación).
• Actividad después del incidente (reflexión y documentación).

La información generada por los diferentes incidentes permite responder de forma sistemática, minimizar su ocurrencia y facilitar una recuperación rápida y eficiente de las actividades.

También ayuda a minimizar la pérdida de información y la interrupción de los servicios, a mejorar contínuamente la seguridad y el proceso de tratamiento de incidentes, y a gestionar correctamente los aspectos legales que pedan surgir durante este proceso.