Muchos ataques a la infraestructura tecnológica de una organización se repiten en empresas o industrias similares, por lo que se necesita elevar el grado de cooperación entre ellas, conformando un ecosistema de respuesta a incidentes a través de los llamados CSIRTs (Computer Security Incident Response Teams).

Un CSIRT es el equipo humano de una institución que, mediante tecnologías y procesos, ofrece servicios y soporte a un grupo en particular con la finalidad de prevenir, gestionar, responder y aprender de los incidentes de ciberseguridad. Estos suelen estar conformados por especialistas multidisciplinarios que actúan según procedimientos y polí- ticas predefinidas, respondiendo con prontitud a los ataques y colaborando a mitigar los riesgos cibernéticos.

Un CSIRT podría operar en forma independiente, pero perdería efectividad al no compartir sus experiencias, el aprendizaje y la sinergia materializada en atender preventiva y proactivamente dichos incidentes. Por esta razón, se recomienda la creación de CSIRTs sectoriales, que trabajen coordinadamente para gestionar incidentes en lo preventivo, metodológico y proactivo, así como también frente a la ocurrencia de algún incidente para reaccionar de manera colaborativa entre las instituciones del mismo sector.

Por tanto, se hace necesario considerar una estructura que coordine estos equipos de respuesta sectoriales. El Gobierno comparte una visión similar, de establecer un ecosistema que reúna CSIRTs bajo un Centro de Coordinación Nacional; un CSIRT para Defensa (a nivel militar); CSIRTs de Proveedores; CSIRTs Sectoriales, y en ellos, los CSIRTs de cada institución. De igual modo, se busca diversificar servicios específicos en algunos CSIRTs que brinden funciones especializadas, como análisis forense, asesoría legal o aspectos de sensibilización.

Entonces, no todos los CSIRTs o equipos de respuesta debieran estar abocados únicamente a atender la contención y mitigación de los incidentes de seguridad. Hay que establecer un ecosistema que integre los diferentes tipos y servicios de CSIRTs para abordar la gestión de incidentes a nivel nacional, a nivel de sectores y los propios de cada institución.

Alrededor del mundo, existen centenares de CSIRTs que varían en misión, alcance, tecnología y servicios. Una de las maneras de agruparlos, está dada por la comunidad o sector al que prestan servicios, reconociéndose CSIRTs académicos, comerciales, de infraestructuras críticas, gubernamentales, militares (por rama y centralizado como Defensa Nacional), internos a cada organización, para Pymes, Centros de Coordinación Nacional, entre otros.

Asimismo, cabe recordar los referentes globales internacionales en la materia, como CERT/CC (creado en 1988) o el FIRST (Forum of Incident Response and Security Teams) que, en su rol de Foro, integra a 483 equipos miembros de un total de 92 países.

El alcance, además de la comunidad atendida, debe definir los servicios ofrecidos, siendo básicos los servicios reactivos (gestionar incidentes de ciberseguridad; gestionar vulnerabilidades detectadas). Sin embargo, en la medida que avanza el nivel de madurez del CSIRT, este debe integrar servicios proactivos y de valor agregado, definiendo y formalizando funciones específicas para cada tipo de servicio. Por ejemplo, en el servicio de Gestión de Incidentes, se deben considerar funciones como Clasificación y Validación de Incidentes, Recolección de Información, Seguimiento de Incidentes, Coordinación y Reportería.

Metodología local de desarrollo evolutivo

La precaria situación de los CSIRTs en la industria nacional se justifica por nuestra idiosincrasia, por ser “reacios” a seguir las metodologías internacionales que son extensas y, en muchos casos, secuenciales. Habiendo sido instructor oficial de los cursos CSIRT de Carnegie Mellon y luego de dictarlo reiteradas veces en Chile, la experiencia de seguimiento a los intentos de implementación se resume en resultados infructuosos, básicamente, por la complejidad de las metodologías descritas.

Casi una década atrás, presentamos una forma de desarrollar estos equipos de respuesta ante incidentes de una manera no lineal, sino que, en espiral, con ciclos evolutivos de desarrollo que hoy en día asimilaríamos a modelos ágiles. Esta propuesta considera tópicos que van aumentando su complejidad en cada ciclo, obteniendo después de cada iteración un producto funcional. Se comienza así con una implementación básica, una solución inicial que cumpla con todos los tópicos de desarrollo, pero potenciable en tres niveles, alineado a los niveles OWASP ASVS para la seguridad en desarrollo de aplicaciones o a lo que dice la última versión de los CIS Controls con tres grados de profundidad en su implementación. Así, el nivel 3 sería comparable con la metodología completa de Carnegie Mellon.

Los CSIRTs tienen directa relación con la Ciber-Resiliencia, pues los grandes problemas parten desde un incidente acotado, que crece hasta ser desastre y convertirse en un tema de sobrevivencia para la organización. El ámbito industrial no está ajeno a esto, dado que las zonas de gestión industrial siguen siendo entornos TCP/IP con plataformas muchas veces obsoletas, con servidores Linux y Windows pocas veces “endurecidos” (del inglés “hardened”) y que podrían sufrir los mismos tipos de ataque que un Data Center de servicios administrativos.

Hoy en día, el viejo paradigma de un entorno industrial aislado es un mito, ya que existen diversos canales (como conexiones de red, VPNs, incluso conexiones vía Internet) que permitirían tener acceso hacia dicha zona que debiera estar considerada como crítica y con altos niveles de seguridad.

El equipo de respuesta ante incidentes debe operar con consideraciones especí- ficas para el ámbito de red industrial; es más, podría ser uno distinto y específico para tal ámbito, coordinado con su homólogo de la red administrativa y con un gobierno unificado a nivel institucional, con la cooperación de un CSIRT sectorial y un Centro de Coordinación a nivel nacional. Dicho ecosistema permitiría abordar jerárquicamente una respuesta coherente, oportuna y efectiva.

A nivel país, se sigue avanzando en formalizar el marco normativo que permita implementar lo requerido en la Política Nacional de Ciberseguridad (PNCS), así como también hace falta continuar trabajando en una Legislación de Infraestructuras Críticas y la visión de un modelo jerárquico de CSIRT nacional. Si bien contamos con un CSIRT.gob para los organismos públicos, otro para la Defensa nacional, el clCERT de la Universidad de Chile, y otras pocas y honrosas excepciones, el camino está muy solitario en el ámbito industrial. De hecho, referentes internacionales como el CERT/CC y FIRST solo mencionan uno o dos CSIRTs en Chile. Esa es nuestra realidad.

Por todo lo anterior, hacemos un llamado a propiciar la conformación de un CSIRT en la propia empresa y motivar la conformación de un CSIRT Sectorial según el área industrial en la que se desarrolle. La ciberseguridad viene con la Industria 4.0 para quedarse y hay que estar preparado. ¡Seamos parte de este ecosistema!