CSIRT significa "Computer Security Incident Response Team", ou Equipos de Ciberseguridade e Xestión de Incidentes españois, e refírese a un grupo especializado na prevención, detección, xestión e resposta a incidentes de ciberseguridade.
Os CSIRT xorden a finais dos anos 80 como reacción ao grave incidente do verme Morris. En EE.UU. utilízase o termo orixinal CERT, pero trátase de siglas rexistradas pola Universidade Carnegie Mellon, entidade de referencia neste ámbito, que non poden utilizarse noutros países.
Cales son as funcións dun CSIRT
A principal función dun CSIRT é xestionar e mitigar os riscos asociados a ataques informáticos, malware, fendas de datos e demais ameazas dixitais.
En xeral, un CSIRT estuda, detecta e controla en remoto o estado de seguridade global de redes e computadores e proporciona servizos de resposta ante incidentes, ademais de lanzar alertas relativas a ameazas e vulnerabilidades e ofrecer información e asesoramento sobre ciberseguridade. Algúns CSIRT contan con observatorios de tecnoloxía e hainos que investigan e desenvolven ferramentas propias de ciberseguridade.
Un CSIRT coordina e dirixe de maneira centralizada a seguridade da información e a resposta aos incidentes de seguridade. Tamén exerce labores importantes en investigacións, como a recollida e custodia de evidencias dixitais.
Existen CSIRTs públicos, corporativos, académicos, sectoriais, empresariais, comerciais...
CSIRT en Galicia
En Galicia contamos con CSIRT.gal.
Aínda que foi creado inicialmente como un grupo de resposta a incidentes de seguridade só para sistemas de información da Xunta de Galicia, administrado pola AMTEGA (Axencia para a Modernización Tecnolóxica de Galicia), dende 2021 o seu ámbito de actuación estendeuse ao conxunto da administración autonómica, local, entidades públicas e cidadanía da comunidade autónoma galega.
A súa finalidade é mellorar a capacidade de detección e ofrecer respostas eficaces e coordinadas ante incidentes de ciberseguridade, priorizando a prevención, a formación, a concienciación e a sensibilización na seguridade da información. CSIRT.gal. ocúpase de:
• Establecer políticas, estándares e procedementos de seguridade.
• Administrar ferramentas e plataformas de seguridade e controlar en remoto os sistemas de
información.
• Xestionar e darlles resposta a incidentes de seguridade.
• Realizar probas de intrusión e Red Team.
• Vixilancia Dixital.
• Auditorías de cumprimento normativo.
• Colaboración internacional con asociacións de CSIRT e CERTs de referencia.
Como conseguir certificados CSIRT
As empresas e organizacións poden contar con certificados CSIRT para os seus equipos cando acrediten a súa formación, coñecementos e capacidade de actuación en materia de ciberseguridade.
Para conseguir a acreditación dun equipo CSIRT existen dous organismos:
• INCIBE-CERT (Instituto Nacional de Ciberseguridade), entidade que coordina CSIRTs no sector privado e cidadán.
• CCN-CERT (Centro Criptolóxico Nacional), entidade que acredita CSIRTs gobernamentais e do sector público.
Dependendo do tipo de CSIRT deberán cumprirse unha serie de requisitos técnicos e operativos; entre eles, contar con persoal capacitado, procedementos de xestión de incidentes ou dispoñer dunha infraestrutura segura. Unha vez acreditado, inclúese na rede española de CSIRTs oficiais.
