SEIDOR | CSIRT ist ein privates Incident Response Center, das von der Firma SEIDOR gegründet wurde, um auf Cybersecurity-Bedrohungen des Unternehmens, der Tochtergesellschaften und Kunden, ob öffentliche oder private Einrichtungen, zu koordinieren und zu reagieren. Seine Hauptaufgabe besteht darin, die erforderlichen menschlichen, technischen und technologischen Maßnahmen zu implementieren, um das Risiko von Sicherheitsvorfällen zu reduzieren und bei Bedarf auf alle Infrastrukturen, Systeme und Dienste in seinem Zuständigkeitsbereich zu reagieren.
SEIDOR | CSIRT wird mit dem festen Willen geboren, die CSIRT-Community bei einer globalen Reaktion auf Bedrohungen zu unterstützen, die die Sicherheit aller Akteure gefährden, die Dienstleistungen für Unternehmen, Institutionen und die Öffentlichkeit anbieten.

Um diese Ziele zu erreichen, führt das SEIDOR | CSIRT unter anderem folgende Aufgaben durch:
- Definition von Sicherheitswarnungen basierend auf benutzerdefinierten Anforderungen.
- Kontinuierliche Schwachstellenanalyse und -verwaltung
- Serviceentwicklung-Dashboards
- Empfehlungen zur Verbesserung der Sicherheit
- Sammlung und Analyse von Informationen aus verschiedenen verfügbaren Quellen zu neuen Schwachstellen und Bedrohungen.
- Kommunikation an die Empfänger der generierten Informationen, die für ihren Betriebskontext relevant sind.
- Verteilung von technischen Informationen über Vorfälle mit anderen CSIRT.
- Überwachung von Sicherheitsereignissen und Erkennung von Vorfällen.

Um diese Ziele zu erreichen, hat sich SEIDOR | CSIRT seit seiner Gründung an folgende Werte gehalten:
- Einhaltung der gesetzlichen Vorschriften.
- Verfolgung und Anwendung von Best Practices, die jedem Produktions- und Betriebsumfeld zugeordnet sind. Kontinuierliche Verbesserung in diesem beschriebenen Bereich, der im dafür vorgesehenen Repository liegt.
- Seien Sie umfassend bei der spezifischen Risikomanagement-Audit für die angebotenen Dienste, indem Sie das gesamte CSIRT über den Stand informieren und die Bemühungen aller zur Verbesserung der Gemeinschaft fördern.
- Die größtmögliche Wohlfühlatmosphäre für die Nutzer des Dienstes schaffen, um ein optimales Umfeld des Vertrauens und der Sicherheit zu gewährleisten, das bewertbar und anpassbar ist.
- Strikte und zeitnahe Durchführung der definierten Audits, sowohl intern als auch extern, um exzellenten Standards in Bezug auf Qualität und Sicherheit in jedem der katalogisierten Dienstleistungen gerecht zu werden.
- Erstellung und Pflege von Kommunikations- und Bewertungsprozessen zur regelmäßigen Überprüfung der Bedürfnisse interner und externer Kunden der Dienstleistungen im Rahmen eines kontinuierlichen Verbesserungsprozesses.

Circunscripción

Die von SEIDOR | CSIRT bereitgestellten Dienstleistungen richten sich an alle Abteilungen von SEIDOR sowie an externe Unternehmen und Institutionen, die sich dafür anmelden.

Affiliation

SEIDOR | CSIRT wird von SEIDOR S.A. gesponsert

Autoridad

SEIDOR | CSIRT operiert innerhalb von SEIDOR unter der Schirmherrschaft und Autorität des Corporate Cybersecurity Office von SEIDOR und seines verantwortlichen Corporate Information Security Officers, personalisiert in der Figur des globalen CSO/CISO.
En cuanto a clientes externos, modificable según acuerdos cliente/empresa, SEIDOR | CSIRT actúa como consultor de seguridad de dichos clientes y no dispone de autoridad sobre los mismos, por lo cual la implementación de las recomendaciones que se proporcionen será exclusivamente responsabilidad del cliente.

Arten von Vorfällen und Supportlevel

Der SEIDOR | CSIRT unterstützt bei Vorfällen im Zusammenhang mit Informationen, die die Integrität, Verfügbarkeit und Vertraulichkeit der von den Systemen und Prozessen der Nutzer seiner Dienste verwalteten Informationen beeinträchtigen können. Die unterstützten Arten von Vorfällen entsprechen den Sicherheitsvorfalltypen, die vom Centro Criptológico Nacional de España, CCN-CERT, veröffentlicht wurden:
https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/988-ccn-stic-817-gestion-de-ciberincidentes/file.html

Alle bestätigten Vorfälle werden nach Typ und Schweregrad klassifiziert, wobei die Reaktionen basierend auf den Ergebnissen dieser Klassifizierung priorisiert werden.

Der SEIDOR | CSIRT bietet keinen direkten Support für externe Endbenutzer von SEIDOR an, da diese sich an ihre eigenen Sicherheitsdienste wenden sollen. Alle Kommunikationen zwischen dem SEIDOR | CSIRT und seinen externen Begünstigten werden über die in dem Servicevertrag definierten Ansprechpartner abgewickelt.

Die Unterstützungsebene hängt von den Vertragsbedingungen des Dienstes sowie von der Art, dem Ausmaß, der Schwere und/oder Komplexität des Vorfalls ab. Möglicherweise ist das Eingreifen von CSIRT auf höherer Ebene erforderlich, die mit verschiedenen Verwaltungen und/oder staatlichen Diensten verbunden sind.

Zusammenarbeit, Interaktion und Informationsverteilung

Der SEIDOR | CSIRT kann mit anderen Organisationen interagieren, wie zum Beispiel anderen CERT- oder CSIRT-Teams, Anbietern, Analysten und Intelligence-Generatoren, usw.

Innerhalb des spanischen Staatsgebiets sind die folgenden zitierten CERT-Organisationen:

- Für Bürger, Behörden und Unternehmen des Privatsektors wurde INCIBE-CERT als Referenzstelle benannt. https://incibe-cert.es
- Für öffentliche Einrichtungen und Unternehmen wurde das CCN-CERT als Referenzstelle benannt. https://ccn-cert.cni.es

Es wurden die erforderlichen Kontakte für die Verbindung und bidirektionale Kommunikation mit den verschiedenen nationalen und internationalen CSIRTs aufgenommen, wobei ein Aktionsplan erstellt wurde, um das Ziel so schnell wie möglich zu erreichen.

Der SEIDOR | CSIRT wendet die folgenden Richtlinien für das Management und die Auswahl von gemeinsam genutzten Informationen an:

- Zu jeder Zeit die in diesem Dokument angegebenen technischen und rechtlichen Maßnahmen zum Schutz der Informationen anwenden.
- Anonymisieren Sie die geteilten Informationen und wählen Sie nur relevante Daten zur Lösung der Vorfälle aus.
- Den zugewiesenen Vertraulichkeitsgrad der Informationen respektieren.
- Keine vertraulichen Informationen ohne vorherige Vereinbarung und Genehmigung des Eigentümers an Dritte weitergeben. Diese Richtlinie gilt in allen Fällen, in denen keine höhere gesetzliche oder normative Verpflichtung zur Weitergabe der Informationen besteht.
- Schutz der Privatsphäre personenbezogener Informationen. Obwohl personenbezogene Daten im Allgemeinen nicht weitergegeben werden, wird im Falle der Notwendigkeit und gemäß den Bestimmungen der DSGVO die ausdrückliche Genehmigung des Inhabers eingeholt.
- Stoppen Sie die Informationsverteilung, sobald der Kunde als Eigentümer der Informationen die Erlaubnis dafür verweigert. Dieser Punkt basiert ebenfalls auf der DSGVO.

Kommunikation und Authentifizierung

Der SEIDOR | CSIRT wendet auf die von ihm verwalteten Informationen die entsprechenden Schutzmaßnahmen entsprechend ihrer Natur und Klassifizierung an, wobei unter anderem die DSGVO, das Nationale Sicherheitsschema der spanischen Regierung, die europäische NIS-Richtlinie, der Königliche Erlass 12/2018 vom 7. September und der Königliche Erlass 43/2021 vom 26. Januar als Referenz dienen.

Asimismo, en las comunicaciones y documentación se emplea interna y externamente el protocolo FIRST TLP v1.1 para la clasificación y etiquetado de los documentos.

Angesichts der Arten von Informationen, mit denen das SEIDOR | CSIRT umgeht, werden Telefone als sicher genug angesehen, um auch unverschlüsselt verwendet zu werden. Unverschlüsselte E-Mails gelten nicht als besonders sicher, sind jedoch ausreichend für die Übertragung von Daten mit geringer Sensibilität.

Wie bereits in den vorherigen Punkten zur Verschlüsselung von gemeinsamen Informationen erwähnt, werden die Daten unter Verwendung der PGP-Schlüssel der Absender und Empfänger verschlüsselt.

Wenn es erforderlich ist, eine Vertrauensbeziehung herzustellen und bevor vertrauliche Informationen offengelegt werden, wird die Identität der anderen Partei, soweit möglich, Referenzen von bekannten und vertrauenswürdigen Dritten und/oder Organisationen als Mittel zur Akkreditierung verwenden. Andernfalls werden geeignete Methoden wie die Suche nach Mitgliedern von FIRST oder der Trusted Introducer-Datenbank verwendet und ein Rückruf oder eine E-Mail durchgeführt, um die Identität der anderen Parteien zu gewährleisten.

• Aktivitäten Reaktiv
  • Überwachung der Cybersicherheit
    • Der SEIDOR | CSIRT bietet Überwachungs-, Erkennungs-, Analyse-, Klassifizierungs-, Koordinierungs- und Unterstützungsdienste für die frühzeitige Reaktion auf Sicherheitsvorfälle.
  • Diese Dienste werden durch Unterstützung und Zusammenarbeit mit anderen IT-Gruppen der Begünstigten bereitgestellt.
  • DFIR - Incident Response Team
    • Der SEIDOR | CSIRT verfügt über ein spezialisiertes Incident Response Team (DFIR), das aktiv wird, wenn ein Vorfall gemeldet wird.
• Aktivitäten Proaktiv
  • Warnungen und Benachrichtigungen
    • Der SEIDOR | CSIRT verbreitet Informationen zu erkannten bösartigen Kampagnen, neuen Bedrohungen, Kompromittierungsindikatoren usw. sowie Empfehlungen zu den zu ergreifenden Maßnahmen als Reaktion darauf.
  • Sicherheitsaudits der CSIRT-Umfangsdienste
    • Der SEIDOR | CSIRT bietet Dienste zur Überprüfung und Verbesserung des Informationsmanagementsicherheitsmanagements gemäß anerkannten Rahmenwerken sowie zur Schwachstellenanalyse, Risikoüberwachung und Intelligenzverwaltung zur Prävention von Bedrohungen an. Der angebotene Service umfasst Systeme, die in den Zuständigkeitsbereich des CSIRT fallen.
  • Sensibilisierung und Bewusstseinsbildung
    • Der SEIDOR | CSIRT bietet diese Dienste durch Informationsworkshops an, zusammen mit der Verbreitung von Nachrichten an seine Begünstigten zu Themen wie bewährten Verfahren, Informationssicherheit, Nachrichten, Auftreten neuer Schwachstellen usw.
  • Entwicklung von Sicherheitslösungen
    • Der SEIDOR | CSIRT wird Entwicklungen durchführen, die die Überwachung und Reaktion auf Sicherheitsvorfälle hauptsächlich in SAP- und Microsoft Corp.-Umgebungen verbessern. Diese Tools, zusammen mit anderen CSIRT-Entwicklungen von Interesse, haben zum Ziel, Verbesserungen im Informationsmanagementsicherheitsmanagement seiner Begünstigten zu erreichen.

Für die Kommunikation des Dienstes werden vereinbarte Formate zwischen den beteiligten Parteien und/oder allgemein anerkannte Formate des Sektors verwendet.

Obwohl alle Vorsichtsmaßnahmen bei der Erstellung von Informationen, Benachrichtigungen und Warnungen getroffen werden, übernimmt SEIDORCSIRT keine Verantwortung für Fehler oder Auslassungen oder für Schäden, die aus der Verwendung der bereitgestellten Informationen während der Erbringung ihrer Dienstleistungen entstehen.