Marco para el establecimiento de una Red Interamericana CSIRT de vigilancia y alerta (CICTE/INF.4/04) de 29 de enero de 2004

Marco, Red Interamericana CSIRT,

Marco para el establecimiento de una Red Interamericana CSIRT de vigilancia y alerta (CICTE/INF.4/04) de 29 de enero de 2004.

MARCO PARA ESTABLECER UNA RED INTERAMERICANA CSIRT DE VIGILANCIA Y ALERTA (Presentado por la Embajadora Margarita Escobar, Presidenta del Grupo de Trabajo de la Comisión de Seguridad Hemisférica de la OEA, en la Tercera Sesión Plenaria celebrada el día 29 de enero de 2004)

Objetivo:           

Crear una red hemisférica, que funcione 24 horas al día, 7 días a la semana, de puntos nacionales de contacto entre equipos de respuesta a incidentes de seguridad en computadoras (Computer Security Incident Response Teams: CSIRT) con responsabilidad nacional (CSIRT nacionales), en los Estados miembros de la OEA, con la capacidad y a cargo de responder debida y rápidamente a las crisis, incidentes y peligros relacionados con la seguridad cibernética.

Dado que los intrusos emplean instrumentos de ataque cada vez más sofisticados, lanzan ataques muy automatizados que se desplazan a la velocidad de la Internet, y emplean intencionalmente técnicas de ataque que hacen difícil entender la naturaleza y origen de tales ataques, la colaboración mundial en tiempo real entre los equipos de respuesta tiene una importancia creciente. Dicha colaboración permitiría lo siguiente:

•             un diagnóstico rápido y preciso del problema;

•             la pronta diseminación mundial de advertencias sobre ataques;

•             la pronta diseminación mundial de advertencias sobre vulnerabilidades genéricas;

•             un alerta mundial sobre actividades sospechosas, y la colaboración para investigar y diagnosticar tales actividades;

•             el suministro de información sobre medidas para mitigar y remediar los ataques y amenazas; y

•             una reducción de duplicaciones de análisis entre los equipos.

La colaboración refuerza los conocimientos técnicos existentes entre los equipos para limitar los perjuicios y permitir que continúen funcionando los servicios de importancia crítica.

Principios:

Locales .– El programa debe ser manejado y controlado por entidades locales de cada país participante, designadas por su Gobierno.

Sistémicos .– El sistema debe ser una operación multifacética que requiere un personal consciente y especializado, una distribución regular de la información relativa a las amenazas y vulnerabilidades vigentes, una reevaluación e implementación constantes de las mejores prácticas, y una interacción adecuada con las autoridades públicas.

Permanentes .– Debido a la evolución diaria inherente de la Internet, para que tenga buen resultado un programa deberá actualizarse y mantenerse con regularidad. La seguridad en la Internet no se logrará mediante una acción única.

Responsables .– La “seguridad” en la ciberseguridad. Deben entenderse y seguirse reglas estrictas respecto de cuestiones tales como el manejo de la información, ya que de otra manera los usuarios perderían la confianza, y los esfuerzos para proteger el sistema serán perjudicados e incluso serán contraproducentes.

Basados en disposiciones ya existentes .– Hay un número de entidades preexistentes en el hemisferio que proporcionan servicios de seguridad cibernética en mayor o menor medida. Un sistema nuevo deberá basarse en esas instituciones ya existentes a fin de evitar duplicaciones y promover una participación activa.

Identificación de organizaciones existentes

En todo el mundo, hay más de cien organizaciones que usan el nombre CERT (Computer Emergency Response Team: equipo de respuesta a emergencias de computación), o CSIRT (el término genérico de significado equivalente). Muchas de ellas, pero no todas, tienen una cierta relación con el Centro de Coordinación CERT (CERT/CC) en la Universidad de Carnegie Mellon, en donde se creó el primer “CERT”. Incluso los CSIRT relacionados con el CERT/CC tienen diferentes métodos de respuesta a los incidentes, dependiendo de diversos factores tales como la uniformidad, cuestiones geográficas y técnicas, la autoridad, los servicios suministrados, y los recursos. En los Estados Unidos, el Departamento de Seguridad de la Patria, División de Ciberseguridad Nacional, ha creado el US-CERT, para que sea el “Equipo de emergencias informáticas”, con responsabilidad nacional en los Estados Unidos. En el Canadá, la División de Ciberprotección, dentro de la organización de Seguridad Pública y Preparación para Emergencias-Canadá (PSEPC) cumple una función similar de responsabilidad nacional.

El Foro sobre Equipos de Respuesta a Incidentes (Forum on Incident Response Teams: FIRST), una asociación mundial voluntaria de equipos CSIRT, cuenta con 79 miembros en los Estados miembros de la OEA, 68 de ellos en los EE.UU. De los restantes, seis son del Canadá, dos del Brasil, con sendos miembros en Chile, México y Perú. Además, algunas compañías, tales como ATT, Symantec, y Visa, ofrecen servicios CSIRT a sus clientes de todo el mundo, y puede haber otros CSIRT en la región, tales como Ar-CERT en la Argentina, que no forman parte de la red FIRST.

Dadas las lagunas en la información, llevar a cabo un censo de los CSIRT es el primer paso para la creación de una red de seguridad cibernética.

Establecimiento de un modelo de servicio

Si bien no hay normas internacionales acordadas sobre qué es lo que constituye un CSIRT, hay una serie de documentos y actividades que pueden servir para definir un equipo CSIRT, y que están relacionados con la certificación y autorización de tales equipos.

El CERT/CC ha publicado varios documentos que pueden servir de ayuda para la creación de un CSIRT, entre los que se cuentan los siguientes:

•             Handbook for Computer Security Incident Response Teams (CSIRTs) (Manual para equipos de respuesta a incidentes de seguridad de computadoras [CSIRT]): guía actualizada sobre cuestiones genéricas que deben considerarse al formar un CSIRT;

•             State of the Practice of Computer Security Incident Response Teams (Estado actual de las prácticas de los equipos de respuesta a incidentes de seguridad de computadoras). Este informe contiene información recogida mediante un estudio piloto de estos equipos, la experiencia propia del CERT/CC, discusiones con otros CSIRT y observaciones de éstos, e investigación y críticas de las publicaciones actuales sobre la respuesta a incidentes; y

•             Creating a Computer Security Incident Response Team:  A Process for Getting Started (Creación de un equipo de respuesta a incidentes de seguridad de computadoras: un método para su comienzo). Éste es un documento en el que se describen los requisitos básicos para crear un CSIRT.

Además, el Departamento de Defensa de los Estados Unidos (US DoD) ha creado un programa de certificación y autorización de proveedores de servicios de defensa de redes de computadoras dentro de dicho Departamento. Ese programa puede usarse de punto de partida para establecer criterios para la certificación de equipos CSIRT nacionales.

Cuando se establece una red regional de CSIRT nacionales cooperantes, debe preverse un conjunto mínimo de normas y servicios, entre los que se contarían los siguientes:

•             designación de responsabilidad por el Gobierno del CSIRT nacional;

•             convenio sobre los principios para compartir información entre los equipos cooperantes;

•             responsabilidad por recibir información de otros CSIRT nacionales, y por diseminar dicha información entre las entidades idóneas dentro del país;

•             autorización para diseminar información entre otros CSIRT nacionales; y

•             proporcionar asistencia de coordinación a otros CSIRT nacionales para incidentes y amenazas.

Cuestiones de confianza

Gran parte de la información que tienen que intercambiar los CSIRT es de propiedad exclusiva, o es de carácter delicado por otros motivos, y hay pocos modelos buenos que sirvan para compartir uniformemente datos entre tales equipos. La confianza—el ingrediente esencial cuando se comparte información—, cuando existe, se desarrolla entre individuos que se conocen y han trabajado juntos, más bien que institucionalmente entre organizaciones. Para establecer la confianza, todas las partes deben entender y seguir pautas claras sobre la forma en que la información intercambiada será usada o diseminada. Todos los CSIRT nacionales cooperantes deben convenir en los principios para compartir información que indiquen cómo tal información puede usarse o diseminarse.

Las normas de divulgación de la vulnerabilidad describen las circunstancias en las cuales se disemina información sobre tal vulnerabilidad, y entre quiénes. En tales normas debe establecerse un equilibrio entre la necesidad de diseminar información procesable entre las audiencias debidas y la necesidad de minimizar las posibilidades de que un intruso pudiera obtener tal información antes de contar con parches o soluciones improvisadas.

Entre los atributos de los CSIRT necesarios para promover la confianza en las comunicaciones y la cooperación respecto de asuntos delicados de seguridad figuran los siguientes:

•             una infraestructura segura para el manejo de información delicada;

•             la capacidad para comunicarse sin riesgos con los interesados;

•             la capacidad para reunir expertos y autoridades;

•             una infraestructura que permita la notificación anticipada a determinadas audiencias;

•             procedimientos de protección contra fugas de información;

•             una interfaz pública bien conocida para la diseminación de información crítica; y

•             la capacidad para llegar rápidamente a una gran audiencia.

La creación de una capacidad CSIRT regional requiere la formación de un consenso sobre los principios para el intercambio de información, incluso qué información puede compartirse, con quién, y cuándo.

Financiamiento

No es barato financiar los CSIRT. Además de suministrar equipos y personal especializado permanentemente, los administradores de dichos equipos tienen que proporcionar asistencia técnica periódica y organizar ejercicios regulares para mantener sus operaciones a punto. Los Estados miembros y la Organización deberán considerar cuidadosamente los mecanismos de financiación de los CSIRT y probablemente tengan que establecer un orden de prioridades de su cobertura, o buscar fuentes estables de financiación externa.

Cabe señalar que en octubre de 2002 los líderes de la APEC pidieron la creación de una capacidad regional CSIRT 24/7 para octubre de 2003. Tanto la APEC como el Gobierno de Australia convinieron en financiar proyectos de creación de capacidad CSIRT en las economías de cuatro miembros. En su informe más reciente sobre el proyecto, funcionarios de la APEC admitieron que hay dificultades para atraer candidatos aceptables y para obtener fondos adecuados para cubrir el costo del proyecto.

Conciencia pública

El apoyo del Gobierno y la industria para los programas (y financiación) de los CSIRT está directamente relacionado con la conciencia que tiene el público del problema de la ciberseguridad y sus posibles repercusiones en objetivos sumamente deseables en materia de desarrollo. Si los sistemas de una economía interconectada no se protegen debidamente, las redes e infraestructuras de todas las economías interconectadas son vulnerables. Los participantes en una red, ya sea como creadores, propietarios, explotadores o usuarios individuales, deben tener conciencia de las amenazas a la red y de sus vulnerabilidades, y asumir la responsabilidad de su protección según la posición que ocupen y la función que cumplan. La Organización, trabajando con los Estados miembros y los CSIRT, debe llevar a cabo un programa de concientización del público acerca de la seguridad y la ética cibernéticas en el que se destaquen (1) las ventajas y responsabilidades del uso de redes de información; (2) las mejores prácticas de seguridad y protección; y (3) las posibles consecuencias negativas del uso indebido de las redes. Existen varias organizaciones y sitios en línea con datos útiles para dicho fin, y la Organización debe hacer uso de ellos.

Extensión de la red

Si bien la conciencia del público es un elemento esencial de esta propuesta, establecer una capacidad regional de CSIRT requerirá compromisos políticos en donde éstos puedan no existir. El grupo de trabajo deberá proponer un proyecto de resolución sobre la seguridad cibernética para su aprobación por la Comisión de Seguridad Hemisférica y transmitirlo a la Asamblea General con el mismo fin, que comprometa a los Estados miembros a establecer equipos CSIRT en sus países, y a implementar las recomendaciones que pudiera presentar el grupo y aprobar la Comisión. Así se aplicará la voluntad política de los Estados miembros al logro de una cobertura regional de los CSIRT, y se proporcionará a la Organización el marco institucional necesario para proceder. Con esta resolución, el grupo de trabajo puede asistir a los Estados a formular planes concretos y, suponiendo una financiación adecuada, a organizar proyectos para crear capacidad en sus respectivos países. Hasta el momento, ningún Estado ha ofrecido financiar este proyecto.

Plan de acción

Acción 1: Llevar a cabo un censo para identificar los CSIRT existentes, su variedad de miembros y los servicios que proporcionan. Esto nos permitirá identificar las lagunas en la cobertura, tanto geográfica como sectorialmente, y establecerá las bases para fijar un conjunto consensual de servicios que ofrecerán los CSIRT miembros. Se adjunta un posible cuestionario de censo.

Acción 2: Establecer un consenso para un conjunto mínimo de servicios que ofrecerán todos los CSIRT miembros. Eso ayudará a formar una doctrina de operación hemisférica uniforme, y servirá de base para las actividades subsiguientes de asistencia técnica.

Acción 3: Redactar una resolución para presentarla a la Comisión de Seguridad Hemisférica y la Asamblea General, pidiendo a los Estados miembros que creen equipos CSIRT y que implementen las otras propuestas que figuren en el informe del grupo de trabajo. De los 11 CSIRT no estadounidenses que son miembros de la red FIRST, seis son estatales, cuatro son privados, y uno es dirigido por una universidad.

Acción 4: Producir un compendio de mejores prácticas basado en los servicios y normas CSIRT consensuales, acordes con las prácticas similares en Europa y Asia. Incluiría normas y protocolos para llevar a cabo monitoreo en tiempo real y un subsiguiente intercambio de información en toda la red, y servirán de base para protocolos consiguientes de pruebas y asistencia técnica.

Acción 5: Establecer un sistema de asistencia técnica e intercambio de información permanente para los CSIRT. Algunos países necesitarán asistencia para crear capacidad, o asistencia técnica para crear una capacidad de coordinación de la protección informática, o mejorar las capacidades existentes a fin de cumplir con las normas requeridas. Será necesario obtener financiamiento.

Al finalizarse la acción 1, realizar una reunión interamericana de representantes de los CSIRT existentes, a fin de adelantar las acciones y las cuestiones de compartimiento de información, la identificación de lagunas en la cobertura y asistencia técnica, la capacidad de interfuncionamiento, y la intercomunicación. Podrían asistir representantes del Grupo de Trabajo de Seguridad Cibernética de la OEA a fin de proporcionar información normativa cuando ello sea necesario, y asegurarse de que se aborden las cuestiones descritas en el presente documento. Esa reunión también sería un paso importante para enfrentar la cuestión de la confianza y, como sería a nivel técnico, no dependería de las acciones de la Asamblea General.

Twittear
Compartir
Compartir
0 Compartir

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.