Guía para reporte de incidentes

¿Qué signos pueden indicarnos de un incidente?

Los siguientes son un grupo de síntomas que pueden indicarnos de un incidente informático. No es una lista exclusiva sino que les permite tener una idea de cómo un incidente puede ser detectado

  • Sistema consumiendo recursos como RAM, procesador o disco
  • Información que es privada a su institución que repentinamente es publicada en redes sociales u otros servicios públicos
  • Información de virus o troyanos desde su equipo o dirección IP
  • Informe del CSIRT CEDIA de actividad inusual en su red
  • Informe de parte de terceros de actividad inusual en su red

¿Dónde reportar un incidente? 

En esta URL puede reportarse un incidente informático por parte de nuestra comunidad objetivo. Trate de llenar el máximo de información posible ya que nos ayudará a entender y proponerle soluciones a su problema. No olvide llenar sus datos de contacto. Es importante reportar el evento tan pronto sea detectado con la finalidad de no perder información valiosa que puede ser eliminada con el paso del tiempo.

Este reporte también puede ser realizado a nuestro teléfono o correo electrónico de contacto listados en la sección 2 del menú “Descripción del CSIRT“).

Comunidad objetivo.

De acuerdo a nuestro documento de descripción del CSIRT, sección 4.1 Tipos de incidentes y niveles de soporte:

CSIRT-CEDIA se ocupa de recibir, atender y procesar los eventos de seguridad que ocurran en las redes de miembros del CSIRT-CEDIA.

Niveles de soporte y tipos de incidentes

Los niveles de soporte del CSIRT-CEDIA variarán en dependencia del tipo y severidad del incidente o problema presentado, el tipo de miembro, el tamaño de la comunidad afectada y los recursos del CSIRT-CEDIA en el momento de ocurrido el evento, en todos los casos la respuesta se dará en el plazo de un día laborable.  Los recursos serán asignados de acuerdo a las siguientes prioridades listadas en orden decreciente:

– Amenazas a la seguridad física de seres humanos
– Ataques a Sistemas de manejo de información o cualquier parte de la infraestructura de red del backbone del CEDIA
– Ataques a cualquier gran equipo de servicio público, sea multiusuario o con propósito dedicado.
– Compromiso de información en cuentas restringidas confidenciales o instalaciones de software, en particular aquellas usadas para sistemas de administración que contengan información confidencial, o aquellos usuarios para administración del sistema.
– Ataques de negación de servicio sobre cualquiera de los 3 puntos anteriores.
– Cualquiera de los anteriores ataques originados desde el CEDIA.
– Ataques en gran escala de cualquier tipo.
– Amenazas, acoso y cualquier otra ofensa criminal en el que estén involucradas cuentas de usuario.
– Compromiso de cuentas de usuarios individuales en sistemas multiusuarios.
– Compromiso de sistemas de escritorio.
– Falsificación y suplantación y cualquier otra violación de reglas locales y regulaciones.
– Negación de servicio en cuentas de usuario individuales.

Los incidentes no descritos anteriormente serán priorizados de acuerto a la percepción de severidad y alcance de estos.

Tenga en cuenta que no se dará soporte directo a usuarios finales; se espera que ellos obtengan soporte de su administrador del sistema, de red, o de departamento técnico local. El CSIRT-CEDIA le da soporte a ellos.

CSIRT-CEDIA comprende que existen diferencias en las experiencias que el personal de administración de las redes del CEDIA tienen y mientras el CSIRT-CEDIA tratará de presentar la información y proveer asistencia a un nivel apropiado para cada persona, el CSIRT-CEDIA no puede entrenar a los administradores al vuelo y no puede realizar labores de mantenimiento en su nombre. En la mayoría de los casos el CSIRT-CEDIA proveerá indicaciones a información que posiblemente requieran para tomar las medidas apropiadas para solucionar sus problemas.

El CSIRT-CEDIA busca mantener una comunidad de administradores informada de vulnerabilidades potenciales y dentro de lo posible informarle a la comunidad de la existencia de estas vulnerabilidades antes de que sean activamente explotadas.