CSIRT y CSOC

Qué es CSIRT

CSIRT son las siglas de Computer Security Incident Response Team. Es decir, del equipo de respuesta a incidentes de seguridad informática. Si hacemos caso a la definición que facilita el Software Engineering Institute de la Universidad Carnegie Mellon, un CSIRT es “una entidad organizativa concreta (es decir, uno o más miembros del personal) a la que se asigna la responsabilidad de coordinar y apoyar la respuesta a un evento o incidente de seguridad informática”. Su objetivo, por tanto, es controlar y minimizar los posibles daños que pueda provocar un incidente de seguridad. Además, se encarga de proporcionar una orientación eficaz para las actividades de respuesta y recuperación, y trabaja para evitar que se produzcan futuros incidentes.

Para poder realizar este cometido, el National Institute of Standards and Technology del gobierno de Estados Unidos da una serie de recomendaciones, como

• Crear y actualizar planes de respuesta a incidentes
• Mantener y comunicar la información a entidades internas y externas
• Identificar, evaluar y analizar los incidentes
• Coordinar y comunicar los esfuerzos de respuesta
• Remediar los incidentes
• Informar sobre los incidentes
• Gestionar las auditorías
• Revisar las políticas de seguridad y
• Recomendar cambios para prevenir futuros incidentes.

Cabe señalar que los CSIRT pueden estar en cualquier organización, independientemente de su tamaño y su propósito. Por tanto, puede haber CSIRT en los propios países, pero también en empresas o incluso en entidades sin ánimo de lucro.

Qué es CSOC

CSOC es lo mismo que un SOC. Este último acrónimo responde a las siglas de Security Operations Center, o centro de operaciones de seguridad. Otros prefieren añadir el término “Cyber” a todo lo anterior para hablar de Cyber Security Operations Center o CSOC.

El CSOC está formado generalmente por un equipo de analistas de seguridad de red organizados para detectar, analizar, responder, informar y prevenir incidentes de seguridad de red las 24 horas del día y los 365 días del año. Es decir, que su cometido es más amplio, puesto que abraca todas las fases y etapas de la seguridad, mientras que el CSIRT estaría más delimitado a las áreas de respuesta ante un incidente.

Aunque pueden trabajar con otros equipos o departamentos, normalmente los profesionales del CSOC trabajan de manera independiente. Pueden estar dentro de las compañías o en proveedores de servicios externos que cuentan con empleados que tienen altos conocimientos de TI y ciberseguridad.

Una de las peculiaridades de los CSOC es que funcionan las 24 horas del día (los empleados trabajan por turnos) para registrar constantemente la actividad y mitigar las amenazas. En el CSOC, el tráfico de Internet, las redes, los ordenadores de sobremesa, los servidores, los dispositivos de punto final, las bases de datos, las aplicaciones y otros sistemas se examinan continuamente en busca de signos de un incidente de seguridad.

Los CSOC son una parte integral para minimizar los costes de una posible violación de datos, ya que no sólo ayudan a las organizaciones a responder a las intrusiones con rapidez, sino que también mejoran constantemente los procesos de detección y prevención.

Tipos de CSOC

Hay diferentes tipos de CSOC que se definen por su modelo organizativo y operativo más que por sus conjuntos básicos de capacidades. Evidentemente, el CSOC también puede (y debe) contemplar esta reacción ante posibles incidencias, pero sin dejar de lado otras funciones.

Así, y aunque cada vez la oferta es más amplia, en función del tipo de CSOC que decida cada empresa, podemos hablar de.

• CSOC dedicado o autogestionado (en la propia organización)

• CSOC gestionado (un proveedor de servicios externos ofrece la seguridad)

• CSOC distribuido (una combinación de los dos anteriores)

• CSOC multifunción (en el que los profesionales y sus responsabilidades se extiende a otras áreas de gestión informática, como las redes)

• CSOC virtual (en el que no hay instalaciones dedicadas on-premise)

• CSOCaaS (ofrecido como un servicio, suele conllevar una suscripción, generalmente mensual o anual, por recibir estos servicios)

Conclusión

A modo de conclusión podemos decir que ambos equipos son importantes para la seguridad de cualquier empresa. Mientras el CSIRT tiene el cometido de dar una respuesta ante posibles incidentes, el CSOC debe ser el vigilante que haga el seguimiento y el análisis de posibles comportamientos anómalos para evitar un incidente.

Ambas responsabilidades son importantes y complementarias para la actividad de cualquier empresa y organización.