Identificación y reporte de incidentes de seguridad para operadores estratégicos: Guía básica de protección de Infraestructuras Críticas

Publicado el 11/12/2013
Identificación y reporte de incidentes de seguridad para operadores estratégicos: Guía básica de protección de Infraestructuras Críticas
Esta guía está destinada a servir como manual de actuación a la hora de gestionar y reportar incidentes de seguridad en Infraestructuras Críticas, que serán transmitidos a través del correo al CERT de Seguridad e Industria, en el que colaboran estrechamente INCIBE y CNPIC.

Ante un incidente de seguridad, el objetivo principal es recuperar el nivel habitual de funcionamiento de los sistemas o servicios, minimizando las pérdidas todo lo posible. Las fases principales de respuesta ante un incidente pueden dividirse en: identificación, contención y mitigación, preservación de evidencias y consideraciones legales, recuperación y documentación. Es conveniente conocer los distintos tipos de incidentes que pueden encontrarse, ya que incidentes del mismo tipo presentarán características comunes que facilitarán las tareas propias de las fases anteriores. En este aspecto, se pueden distinguir los siguientes tipos principales: denegación de servicio, infección por malware, compromiso del sistema, hacking, distribución de malware, violación de políticas, ataques de invasión o explotación de vulnerabilidades.

Con la información recopilada durante las fases anteriores, el operador reportará el incidente a INCIBE y CNPIC, enviando un correo electrónico a Buzón PIC de CERTSI. A partir de este momento, todos los intercambios de información con el usuario se realizarán por correo electrónico (salvo casos excepcionales por teléfono), desde la dirección anterior. Por seguridad, todos los correos serán firmados digitalmente con la clave privada asociada a la dirección de correo electrónico mencionada y opcionalmente cifrados con la clave pública del destinatario, cuando la información contenida sea confidencial.