CSIRT i CSOC

Què és CSIRT

CSIRT són les sigles de Computer Security Incident Response Team. És a dir, de l'equip de resposta a incidents de seguretat informàtica. Si fem cas a la definició que facilita el Software Engineering Institute de la Universitat Carnegie Mellon, un CSIRT és “una entitat organitzativa concreta (és a dir, un o més membres del personal) a la qual s'assigna la responsabilitat de coordinar i donar suport a la resposta a un esdeveniment o incident de seguretat informàtica”. El seu objectiu, per tant, és controlar i minimitzar els possibles danys que pugui provocar un incident de seguretat. A més, s'encarrega de proporcionar una orientació eficaç per a les activitats de resposta i recuperació, i treballa per evitar que es produeixin futurs incidents.

Per poder realitzar aquest objectiu, el National Institute of Standards and Technology del govern dels Estats Units dona una sèrie de recomanacions, com

• Crear i actualitzar plans de resposta a incidents
• Mantenir i comunicar la informació a entitats internes i externes
• Identificar, avaluar i analitzar els incidents
• Coordinar i comunicar els esforços de resposta
• Remediar els incidents
• Informar sobre els incidents
• Gestionar les auditories
• Revisar les polítiques de seguretat i
• Recomanar canvis per prevenir futurs incidents.

Cal assenyalar que els CSIRT poden estar en qualsevol organització, independentment de la seva mida i el seu propòsit. Per tant, pot haver-hi CSIRT en els propis països, però també en empreses o fins i tot en entitats sense ànim de lucre.

Què és CSOC

CSOC és el mateix que un SOC. Aquest últim acrònim respon a les sigles de Security Operations Center, o centre d'operacions de seguretat. Altres prefereixen afegir el terme “Cyber” a tot l'anterior per parlar de Cyber Security Operations Center o CSOC.

El CSOC està format generalment per un equip d'analistes de seguretat de xarxa organitzats per detectar, analitzar, respondre, informar i prevenir incidents de seguretat de xarxa les 24 hores del dia i els 365 dies de l'any. És a dir, que la seva tasca és més àmplia, ja que abasta totes les fases i etapes de la seguretat, mentre que el CSIRT estaria més delimitat a les àrees de resposta davant d'un incident.

Encara que poden treballar amb altres equips o departaments, normalment els professionals del CSOC treballen de manera independent. Poden estar dins de les companyies o en proveïdors de serveis externs que compten amb empleats que tenen alts coneixements de TI i ciberseguretat.

Una de les peculiaritats dels CSOC és que funcionen les 24 hores del dia (els empleats treballen per torns) per registrar constantment l'activitat i mitigar les amenaces. Al CSOC, el trànsit d'Internet, les xarxes, els ordinadors de sobretaula, els servidors, els dispositius de punt final, les bases de dades, les aplicacions i altres sistemes s'examinen contínuament a la recerca de signes d'un incident de seguretat.

Els CSOC són una part integral per minimitzar els costos d'una possible violació de dades, ja que no només ajuden les organitzacions a respondre a les intrusions amb rapidesa, sinó que també milloren constantment els processos de detecció i prevenció.

Tipus de CSOC

Hi ha diferents tipus de CSOC que es defineixen pel seu model organitzatiu i operatiu més que pels seus conjunts bàsics de capacitats. Evidentment, el CSOC també pot (i ha de) contemplar aquesta reacció davant possibles incidències, però sense deixar de banda altres funcions.

Així, i encara que cada vegada l'oferta és més àmplia, en funció del tipus de CSOC que decideixi cada empresa, podem parlar de.

• CSOC dedicat o autogestionat (en la pròpia organització)

• CSOC gestionat (un proveïdor de serveis externs ofereix la seguretat)

• CSOC distribuït (una combinació dels dos anteriors)

• CSOC multifunció (en el qual els professionals i les seves responsabilitats s'estenen a altres àrees de gestió informàtica, com les xarxes)

• CSOC virtual (en el qual no hi ha instal·lacions dedicades on-premise)

• CSOCaaS (ofertat com a servei, sol comportar una subscripció, generalment mensual o anual, per rebre aquests serveis)

Conclusió

A manera de conclusió podem dir que ambdós equips són importants per a la seguretat de qualsevol empresa. Mentre el CSIRT té l'encàrrec de donar una resposta davant possibles incidents, el CSOC ha de ser el vigilant que faci el seguiment i l'anàlisi de possibles comportaments anòmals per evitar un incident.

Ambdues responsabilitats són importants i complementàries per a l'activitat de qualsevol empresa i organització.