CSIRT

CSIRT

 

1. SOBRE ESTE DOCUMENTO
1.1.    ÚLTIMA ACTUALIZACIÓN
Versión 1.0, publicada el 24 de noviembre de 2018.
 
1.2. LISTA DE DISTRIBUCIÓN PARA NOTIFICACIONES
Para la realización de notificaciones de incidentes, eventos de seguridad y relacionados, se los realizará a través de nuestra lista de distribución notificaciones_clientes@telconet.ec.

 

1.3. LUGARES DONDE ESTE DOCUMENTO PUEDE SER ENCONTRADO.
La versión actualizada de este documento de descripción de CSIRT- Telconet puede ser obtenida en la web: http://www.telconet.net/index.php/csirt

 

 

2. INFORMACIÓN DE CONTACTO
2.1.    NOMBRE DEL EQUIPO

Nuestro CSIRT responde al nombre de CSIRT Telconet o Centro de Respuesta a Incidentes de Ciberseguridad de Telconet

2.2. DIRECCIÓN
CSIRT Telconet
Dir. Av. Perimetral Km 30.5 y Av. Leopoldo Carrera Calvo
Telconet CloudCenter GYE
Guayaquil - Ecuador
Ecuador

 

2.3. ZONA HORARIA
América/Guayaquil (GMT-5)

 

2.4. TELÉFONO

(593)-4-6020650 ext. 5605
(593)-9-8336-6730

 

2.5. FAX
No disponible

 

2.6. OTROS MEDIOS DE COMUNICACIÓN
No disponible.

 

2.7. CORREO ELECTRÓNICO
csirt@telconet.ec. Este es la dirección de correo electrónico que es atentido por nuestro CSIRT en modalidad 24x7.

 

2.8. CLAVES PÚBLICAS
El CSIRT Telconet tiene la siguiente clave PGP: D17A 29A4 B766 D807 D88E 310E 5D69 BEB2 52BB B06B
Esta clave y firma pueden ser encontradas en servidores de claves públicos y puede ser utilizada para enviarnos correos electrónicos confidenciales a csirt@telconet.ec.
 

2.9. MIEMBROS DEL EQUIPO
 

Coordinador:

Zully Espinoza PGP: F97D D6F1 7400 D1F0 7BD7 C852 913F 9C87 1444 7048

 

Nivel 1 (Gestión de Incidentes)

Jennifer Figueroa PGP:B277 96BD 4170 DDF6 BB2F 0680 D2F0 0FDE 664E 8899

Michelle Yager PGP: 38C0 E26C A2A5 C4D3 5CE9 A2A2 98B2 5FAD 67C1 6CC8

 

Nivel 2 (Análisis de Incidentes)

Juan Mera PGP: B6CD 11B0 BB9B 1CAC A476 78BE 1C01 3129 A9A6 C9CD

Ronald Sáenz PGP: 3F0C F2F0 1B9F 4E37 A72E DAC5 B094 C2D4 F35A 18C0

 

2.10. OTRA INFORMACIÓN

Información adicional sobre el CSIRT Telconet puede ser encontrada en http://www.telconet.net/index.php/csirt

 

 

2.11. FORMAS DE CONTACTO
El método preferido de contacto es vía correo electrónico: csirt@telconet.ec; los emails enviados a esta dirección llegarán a los responsables del CSIRT Telconet de forma inmediata. Si usted requiere de asistencia urgente escriba “urgente” en el asunto del correo.
 
Si no es posible o no es recomendable utilizar el correo electrónico, el CSIRT Telconet puede ser alcanzado vía telefónica durante la jornada laboral.

Las horas de operación del CSIRT Telconet son de Lunes a Viernes de 9AM a 6PM.
De ser posible, cuando vaya a enviar un reporte, utilice el formulario descrito en el punto 6. 

 

3. CHARTER
3.1.    PROPÓSITO Y MISIÓN
La misión del equipo de CSIRT es:
Proporcionar un servicio de respuesta sistemática a los incidentes de ciberseguridad apoyando empresas del grupo Telconet, clientes y entidades de control nacionales para recuperarse eficaz y eficientemente de los incidentes de seguridad, a través del uso de la mejor tecnología disponible, y el intercambio de conocimiento y sensibilización en seguridad de las tecnologías de información y comunicación.
 
 
3.2. MIEMBROS
Los miembros del CSIRT Telconet son quienes conforman las empresas del grupo Telconet y clientes.

 

3.3. AUSPICIOS Y AFILIACIONES
El CSIRT Telconet está auspiciado por el grupo Telconet. Está afiliado a instituciones internacionales con el objetivo de colaborar y apoyar en la respuesta a incidentes de seguridad informática.

 

3.4. AUTORIDAD
El CSIRT Telconet opera bajo el auspicio y es delegado por el Gerente de Seguridad Lógica de Telconet. Para información adicional sobre la autoridad del CSIRT Telconet, contactar al Coordinador del CSOC de Telconet.
 
El CSIRT Telconet intenta cooperar con los administradores de sistema y clientes del grupo Telconet y, dentro de lo posible, evitar relaciones de autoridad o formación de cadenas de ordeno y mando. Sin embargo en caso de ameritar la situación, CSIRT Telconet buscará que las autoridades de las redes ejerzan su autoridad de forma directa o indirecta.
 
 
Los miembros de la comunidad del CSIRT Telconet que requieran apelar las acciones del mismo pueden contactar al Coordinador del CSIRT (zespinoza@telconet.ec).

 

4. POLÍTICAS
4.1. TIPOS DE INCIDENTES Y NIVELES DE SOPORTE
CSIRT Telconet se ocupa de recibir, atender y procesar los eventos de seguridad que ocurran en las empresas del grupo Telconet y sus clientes.
Los niveles de soporte del CSIRT Telconet, variarán en dependencia del tipo y severidad del incidente o problema presentado, el tipo de miembro, el tamaño de la comunidad afectada y los recursos del CSIRT Telconet en el momento de ocurrido el evento, en todos los casos la respuesta se dará en el plazo de hasta diez días laborables. Los recursos serán asignados de acuerdo a las siguientes prioridades listadas en orden decreciente:
 
  • Ataques a los sistemas de las soluciones provistas a las empresas del grupo Telconet y clientes o a cualquier parte de la infraestructura de red del grupo Telconet.
  • Ataques al sector financiero que puedan afectar masivamente a usuarios.
  • Ataques de negación de servicio volumétrico.
  • Cualquiera de los anteriores ataques originados desde el CSIRT Telconet.
  • Ataques en gran escala de cualquier tipo.
  • Compromiso de cuentas de usuarios individuales en sistemas multiusuarios.
  • Compromiso de sistemas de escritorio.
  • Falsificación y suplantación y cualquier otra violación de reglas locales y regulaciones.
  • Negación de servicio en cuentas de usuario individuales.
 
 
 

Los incidentes no descritos anteriormente serán priorizados de acuerdo a la percepción de severidad y alcance de estos, se espera que la información escalada sea revisada por el usuario con su equipo de soporte técnico interno.

CSIRT Telconet comprende que existen diferencias en las experiencias que el personal de administración de las redes tienen, y mientras el CSIRT Telconet tratará de presentar la información y proveer asistencia a un nivel apropiado para cada persona, el CSIRT Telconet realizará acciones bajo el alcance de servicios contratados o situaciones excepcionales escaladas. En la mayoría de los casos el CSIRT Telconet proveerá indicaciones e información que posiblemente requieran para tomar las medidas apropiadas para solucionar sus problemas.

El CSIRT Telconet busca mantener una comunidad de administradores informada de vulnerabilidades potenciales y dentro de lo posible informarle a la comunidad de la existencia de estas vulnerabilidades antes de que sean activamente explotadas.

4.2. COOPERACIÓN, INTERACCIÓN Y PUBLICACIÓN DE INFORMACIÓN
Además de restricciones legales y éticas sobre el flujo de información del CSIRT Telconet, reconocemos la intención de contribuir al espíritu de cooperación que se ha creado en Internet. Por tanto, mientras se toman las medidas apropiadas para proteger la identidad de los usuarios miembros de las empresas del grupo Telconet y clientes, el CSIRT Telconet compartirá la información con la finalidad de apoyar a otras redes a resolver o prevenir incidentes de seguridad.

Con esto nos referimos a usuarios legítimos, operadores y usuarios de redes.
 
Para realizar la clasificación de la información se utilizará el protocolo TLP, según el cual la información será categorizada de acuerdo a uno de los siguientes criterios: pública general, pública comunitaria, sensible y confidencial.
 
4.3. COMUNICACIÓN Y AUTENTICACIÓN
 

Puesto que se pueden utilizar varios medios para el intercambio de información con el CSIRT Telconet, los teléfonos serán considerados suficientemente seguros para ser usados de forma no encriptada. Emails no encriptados no serán considerados suficientemente seguros pero serán adecuados para la transmisión de información poco sensitiva. De ser necesario enviar información sensitiva se sugiere el uso de PGP para encriptar la información.

Transferencias a través de la red debe ser consideradas de la misma forma que el email, estas deben ser encriptadas en caso de ser sensitivas.

Otros métodos apropiados serán usados, como búsqueda de miembros FIRST, el uso de WHOIS y otra información de registro de información, etc, además de uso de llamadas telefónicas y correo electrónico para asegurarnos que la contraparte no es un impostor. Emails entrantes cuyos datos deben se confiables serán revisados con el emisor de estos de forma personal o por medio del uso de firmas digitales.

 

5. SERVICIOS

 5.1. RESPUESTA A INCIDENTES

CSIRT Telconet apoyará a los administradores en el manejo de aspectos técnicos y organizacionales de los incidentes. En particular proveerá asistencia o aviso referente a los siguientes aspectos del manejo de incidentes:

 

Servicios Proactivos
  • Auditorías y evaluaciones de seguridad.
  • Adopción de herramientas de seguridad.
  • Servicios de detección de intrusos.

 

Servicios Reactivos
  • Alertas y Avisos
  • Análisis de incidentes.
  • Respuesta a incidentes en sitio.
  • Soporte de respuesta a incidentes.
  • Análisis de vulnerabilidades.
  • Respuesta a vulnerabilidades.
  • Análisis forense sobre redes y servicios. 
 
 

 5.1.1. INVESTIGACIÓN INICIAL DE INCIDENTES

• Investigar si en efecto un incidente ha ocurrido.
• Determinar el alcance del incidente.
 

 5.1.2. COORDINACIÓN DE INCIDENTES

• Determinar la causa inicial del incidente (vulnerabilidad explotada)
• Facilitar contacto con otros sitios que pueden haber estado involucrados.
• Facilitar contacto con departamentos de seguridad de Telconet y/o entidades a cargo del manejo de investigaciones judiciales y legales.
• Crear reportes para otros CSIRTs.
• Preparar anuncios a usuarios, si aplicara.
 
5.1.3. RESOLUCIÓN DE INCIDENTES
 
 
• Eliminar la vulnerabilidad
• Apoyo en el aseguramiento de sistemas derivados de lo aprendido en el incidente.
• Evaluar si ciertas acciones pueden arrojar resultados en proporción con su costo y riesgo, en particular acciones dirigidas a un eventual proceso judicial o acción disciplinaria: recolección de evidencias luego del hecho, observación de un incidente en progreso, plantando trampas al intruso, etc.
• Recolectar evidencia cuando se contemplen acciones judiciales, policiales, o acción disciplinaria dentro de la organización donde ocurre el evento.
 
Además, CSIRT Telconet recolectará estadísticas referentes a incidentes que ocurran dentro de o esté involucrado uno o varios de los miembros del CSIRT Telconet, notificando a la comunidad de ser necesario para apoyar en la protección contra ataques conocidos.
 
 
Para hacer uso de los servicios de respuesta a incidentes de CSIRT Telconet por favor envíe un Email a las direcciones indicadas en el punto 2.11 arriba indicado. Por favor recuerde que la asistencia disponible dependerá de acuerdo a los parámetros definidos en 4.1.
 

 

5.2. ACTIVIDADES PROACTIVAS

 

CSIRT Telconet coordina y mantiene los siguientes servicios dentro de las posibilidades que sus recursos le permiten:
 
 
  • Servicios de información

  • Lista de contactos de seguridad de instituciones miembros de Telconet. Esta

    información puede ser consultada vía correo electrónico a la dirección indicada

    en el punto 2.1

  • Listas de correo para informar a los contactos de instituciones miembro de

    información relevante a sus ambientes de seguridad. Estas listas estarán disponibles a los administradores de las redes de las instituciones miembro de T elconet.

  • Servicio de resúmenes de noticias de diversos sitios de internet dedicados a la seguridad. Los resultados de este servicio se harán disponibles de forma pública o a través de las listas de acuerdo al nivel de sensibilidad de la información y urgencia.

  • Los miembros del CSIRT Telconet participará en seminarios periódicos en tópicos relacionados con la seguridad; estos seminarios estarán abiertos a administradores de sistemas de las instituciones miembro de Telconet.

  • Servicios de auditoría de seguridad. Estos servicios estarán disponibles solamente a los administradores de la red auditada.

  • Referencias de incidentes de seguridad serán mantenidos de forma confidencial, estadísticas periódicas serán puestas a disposición de la comunidad de T elconet.

 

 

6. FORMULARIO DE REPORTE DE INCIDENTES

Se cuenta con un formulario de reporte de incidentes que se lo puede encontrar en el siguiente enlace: http://telconet.ec/?Itemid=453

 

7. AVISO LEGAL

 

Mientras se han tomado todas las precauciones en la preparación de información, notificaciones y alertas, el CSIRT Telconet no asume responsabilidad por errores, omisiones o daños resultantes de la información aquí contenida.
Clic para ir al Formulario de Reporte de Incidentes  

Holding Telconet

 

Galería Fotográfica

Síguenos en:

Facebook Telconet LATAM icon-rs-twitter icon-rs-instagram icon-rs-flickr icon-rs-linkedin icon-rs-youtube