CSIRT significa "Computer Security Incident Response Team", o Equipos de Ciberseguridad y Gestión de Incidentes españoles, y se refiere a un grupo especializado en la prevención, detección, gestión y respuesta a incidentes de ciberseguridad.

Los CSIRT surgen a finales de los años 80 como reacción al grave incidente del gusano Morris. En EE.UU. se utiliza el término original CERT, pero se trata de siglas registradas por la Universidad Carnegie Mellon, entidad de referencia en este ámbito, que no pueden utilizarse en otros países.

Cuáles son las funciones de un CSIRT

La principal función de un CSIRT es gestionar y mitigar los riesgos asociados a ataques informáticos, malware, brechas de datos y demás amenazas digitales.

En general, un CSIRT estudia, detecta y monitorea el estado de seguridad global de redes y ordenadores y proporciona servicios de respuesta ante incidentes, además de lanzar alertas relativas a amenazas y vulnerabilidades y ofrecer información y asesoramiento sobre ciberseguridad. Algunos CSIRT cuentan con observatorios de tecnología y los hay que investigan y desarrollan herramientas propias de ciberseguridad.

Un CSIRT coordina y dirige de manera centralizada la seguridad de la información y la respuesta a los incidentes de seguridad. También ejerce labores importantes en investigaciones, como la recogida y custodia de evidencias digitales.

Existen CSIRTs públicos, corporativos, académicos, sectoriales, empresariales, comerciales...

CSIRT en Galicia

En Galicia contamos con CSIRT.gal.

Aunque fue creado inicialmente como un grupo de respuesta a incidentes de seguridad solo para sistemas de información de la Xunta de Galicia, administrado por la AMTEGA (Axencia para a Modernización Tecnolóxica de Galicia), desde 2021 su ámbito de actuación se ha extendido al conjunto de la administración autonómica, local, entidades públicas y ciudadanía de la comunidad autónoma gallega.

Su finalidad es mejorar la capacidad de detección y ofrecer respuestas eficaces y coordinadas ante incidentes de ciberseguridad, priorizando la prevención, la formación, la concienciación y la sensibilización en la seguridad de la información. CSIRT.gal. se ocupa de:

  • Establecer políticas, estándares y procedimientos de seguridad.

  • Administrar herramientas y plataformas de seguridad y monitorizar los sistemas de información.

  • Gestionar y dar respuesta a incidentes de seguridad.

  • Realizar pruebas de intrusión y Red Team.

  • Vigilancia Digital.

  • Auditorías de cumplimiento normativo.

  • Colaboración internacional con asociaciones de CSIRT y CERTs de referencia.

Cómo conseguir certificados CSIRT

Las empresas y organizaciones pueden contar con certificados CSIRT para sus equipos cuando acrediten su formación, conocimientos y capacidad de actuación en materia de ciberseguridad.

Para conseguir la acreditación de un equipo CSIRT existen dos organismos:

  • INCIBE-CERT (Instituto Nacional de Ciberseguridad), entidad que coordina CSIRTs en el sector privado y ciudadano.

  • CCN-CERT (Centro Criptológico Nacional), entidad que acredita CSIRTs gubernamentales y del sector público.

Dependiendo del tipo de CSIRT deberán cumplirse una serie de requisitos técnicos y operativos; entre ellos, contar con personal capacitado, procedimientos de gestión de incidentes o disponer de una infraestructura segura. Una vez acreditado, se incluye en la red española de CSIRTs oficiales.