Equipo de Respuesta frente a Incidencias de Seguridad Informática (CSIRT)

Un Equipo de Respuesta frente a Incidencias de Seguridad Informática (CSIRT) es un grupo de profesionales que recibe los informes sobre incidentes de seguridad, analiza las situaciones y responde a las amenazas. Un CSIRT puede ser un grupo ya establecido o un grupo ad hoc.

Existen diversos tipos de CSIRTs. Un equipo CSIRT interno forma parte de una organización mayor, como un gobierno, una empresa, una universidad o una red de investigación. Los CSIRTs (un tipo de CSIRT interno) por ejemplo, gestionan todas las incidencias de un país. Normalmente los CSIRT evalúan las situaciones de forma periódica mediante tareas proactivas como el DR, y a medida que es necesario ante brechas de seguridad existentes. Un CSIRT ofrece servicios de pago bajo demanda o a nivel tradicional.

El CERT (Equipo de Disponibilidad de Emergencia Informática) incluye las siguientes funciones entre los miembros del CSIRT:

• Gestionar o liderar el equipo.
• Ayudar a los gestores, supervisores y líderes de grupo.
• Personal de Hotline, help desk, o triage.
• Gestión de incidentes.
• Tratamientos de vulnerabilidad.
• Personal de análisis de artefactos.
• Especialistas de plataforma.
• Formadores.
• Control de tecnología.

Estos servicios varían de un CSIRT a otro. 

Un incidente informático puede ser un hecho real o una sospecha que puede provocar una vulnerabilidad o un incidente. Los incidentes típicos incluyen los virus y gusanos que afectan a una red, los ataques DoS (denegación de servicio), las alteraciones no autorizadas de software o hardware y la identificación de ladrones en redes individuales o institucionales. El hacking en general debe ser considerado como incidente salvo que los atacantes hayan sido contratados para probar un sistema o buscar vulnerabilidades. (En este caso los hackers forman parte del CSIRT en un trabajo preventivo). Los CSIRT ofrecen servicios proactivos como formación de seguridad, más que responder ante incidencias.

El tiempo de respuesta es algo vital a la hora de crear, mantener y desplegar un CSIRT efectivo. Una respuesta rápida y efectiva puede minimizar el daño financiero, de hardware y software causado por un incidente concreto. Otra cuestión importante es la capacidad del CSIRT para identificar a los causantes del incidente, de manera que los atacantes puedan ser perseguidos y castigados. La tercera cuestión se refiere al “endurecimiento del software y la estructura para reducir el número de ataques a lo largo del tiempo.

Entre los términos equivalentes al CSIRT se incluye el CIRC (Capacidad de respuesta frente a incidentes informáticos), CIRT (Equipo de respuesta ante incidentes informáticos), IRT (Equipo de respuesta frente a incidentes), SERT (Equipo de respuesta ante emergencias de seguridad) y SIRT (Equipo de respuesta ante incidentes de seguridad). Los CSIRTs internos normalmente usan el término con el que más se identifican. El CSIRT de Estados Unidos, por ejemplo es el US-CERT.