CSIRT

 

CSIRT

 

 1 SOBRE ESTE DOCUMENTO

1.1  ÚLTIMA ACTUALIZACIÓN

 

 Versión 1.0, publicada el 24 de noviembre de 2018.

       

 2. INFORMACIÓN DE CONTACTO

2.1 NOMBRE DEL EQUIPO

 

Nuestro CSIRT responde al nombre de CSIRT Telconet o Centro de Respuesta a Incidentes de Ciberseguridad de Telconet

 

2.2 DIRECCIÓN

 

CSIRT Telconet

Dir. Av. Perimetral Km 30.5 y Av. Leopoldo Carrera Calvo

Telconet CloudCenter GYE

Guayaquil - Ecuador

Ecuador

 

2.3 ZONA HORARIA

 

América/Guayaquil (GMT-5)

 

2.4 TELÉFONO

 

(593)-4-6020650 ext. 4115605

(593)-9-8336-6730

 

 

2.5 FAX

 

No disponible

 

2.6 OTROS MEDIOS DE COMUNICACIÓN

 

 No disponible.

 

2.7 CORREO ELECTRÓNICO

 

csirt@telconet.ec. Este es la dirección de correo electrónico que es atentido por nuestro CSIRT en modalidad 24x7.

2.8 CLAVES PÚBLICAS

 

El CSIRT Telconet tiene la siguiente clave PGP: FC09 19A1 5F81 9C3B 9E17 DDE8 1956 4744 E27E CEAA

 

Esta clave y firma pueden ser encontradas en servidores de claves públicos y puede ser utilizada para enviarnos correos electrónicos confidenciales a csirt@telconet.ec.

 

2.9 MIEMBROS DEL EQUIPO


Coordinador:

Zully Espinoza PGP: F97D D6F1 7400 D1F0 7BD7 C852 913F 9C87 1444 7048

 

Nivel 1 (Gestión de Incidentes)

Jennifer Figueroa PGP:B277 96BD 4170 DDF6 BB2F 0680 D2F0 0FDE 664E 8899

Michelle Yager PGP: 13AF FC4A 4DE9 7FCC 7C6E 2A35 AF88 F068 B847 7601

 

Nivel 2 (Análisis de Incidentes)

Juan Mera PGP: B6CD 11B0 BB9B 1CAC A476 78BE 1C01 3129 A9A6 C9CD

Ronald Sáenz PGP: 3480 AE64 DA83 56EE B297 18B2 EDAA B320 489D 19BE

 

2.10 FORMAS DE CONTACTO

 

El método preferido de contacto es vía correo electrónico: csirt@telconet.ec; los emails enviados a esta dirección llegarán a los responsables del CSIRT Telconet de forma inmediata. Si usted requiere de asistencia urgente escriba “urgente” en el asunto del correo.

Si no es posible o no es recomendable utilizar el correo electrónico, el CSIRT Telconet puede ser alcanzado vía telefónica durante la jornada laboral.

Las horas de operación del CSIRT Telconet son de Lunes a Viernes de 9AM a 6PM.

De ser posible, cuando vaya a enviar un reporte, utilice el formulario descrito en el punto 6.

       

  1. CHARTER

 3.1 MISIÓN

 

La misión del equipo de CSIRT es:

Proporcionar un servicio de respuesta sistemática a los incidentes de ciberseguridad apoyando empresas del grupo Telconet, clientes y entidades de control nacionales para recuperarse eficaz y eficientemente de los incidentes de seguridad, a través del uso de la mejor tecnología disponible, y el intercambio de conocimiento y sensibilización en seguridad de las tecnologías de información y comunicación.

 

 3.2 ALCANCE

 

Telconet es un proveedor de servicios gestionados de conectividad, cloud, datacenter, colaboración, networking y seguridad, los mismos que son proporcionados al sector comercial de telecomunicaciones cuyo ámbito de aplicación es de tipo mixta (interno y externo) de exposición interna hacia áreas funcionales y las empresas del grupo Telconet y externa hacia los clientes del sector público y privado.

Los servicios externos están enfocados para agencias de gobierno, infraestructuras críticas, sector militar, pymes, y demás clientes que requieren atención y respuesta de eventos de seguridad.

 

 3.3 MIEMBROS

 

Los miembros del CSIRT Telconet son quienes conforman las empresas del grupo Telconet y clientes.

 

 3.4 AUSPICIOS Y AFILIACIONES

 

El CSIRT Telconet está auspiciado por el grupo Telconet. Está afiliado a instituciones internacionales con el objetivo de colaborar y apoyar en la respuesta a incidentes de seguridad informática.

 

3.5 AUTORIDAD

 

El CSIRT Telconet opera bajo el auspicio y es delegado por el Gerente de Seguridad Lógica de Telconet. Para información adicional sobre la autoridad del CSIRT Telconet, contactar al Coordinador del CSOC de Telconet.

 

El CSIRT Telconet intenta cooperar con los administradores de sistema y clientes del grupo Telconet y, dentro de lo posible, evitar relaciones de autoridad o formación de cadenas de ordeno y mando. Sin embargo en caso de ameritar la situación, CSIRT Telconet buscará que las autoridades de las redes ejerzan su autoridad de forma directa o indirecta.

 

Los miembros de la comunidad del CSIRT Telconet que requieran apelar las acciones del mismo pueden contactar al Coordinador del CSIRT (zespinoza@telconet.ec).     

 

  1. POLÍTICAS

 

4.1 TIPOS DE INCIDENTES Y NIVELES DE SOPORTE

 

CSIRT Telconet se ocupa de recibir, atender y procesar los eventos de seguridad que ocurran en las empresas del grupo Telconet y sus clientes.

Los niveles de soporte del CSIRT Telconet, variarán en dependencia del tipo y severidad del incidente o problema presentado, el tipo de miembro, el tamaño de la comunidad afectada y los recursos del CSIRT Telconet en el momento de ocurrido el evento, en todos los casos la respuesta se dará en el plazo de hasta diez días laborables. Los recursos serán asignados de acuerdo a las siguientes prioridades listadas en orden decreciente:

  • Ataques a los sistemas de las soluciones provistas a las empresas del grupo Telconet y clientes o a cualquier parte de la infraestructura de red del grupo Telconet.
  • Ataques al sector financiero que puedan afectar masivamente a usuarios.
  • Ataques de negación de servicio volumétrico.
  • Ataques en gran escala de cualquier tipo.
  • Compromiso de cuentas de usuarios individuales en sistemas multiusuarios.
  • Compromiso de sistemas de escritorio.
  • Falsificación y suplantación y cualquier otra violación de reglas locales y regulaciones.
  • Negación de servicio en cuentas de usuario individuales.

 

Los incidentes no descritos anteriormente serán priorizados de acuerdo a la percepción de severidad y alcance de estos, se espera que la información escalada sea revisada por el usuario con su equipo de soporte técnico interno.

 

CSIRT Telconet comprende que existen diferencias en las experiencias que el personal de administración de las redes tienen, y mientras el CSIRT Telconet tratará de presentar la información y proveer asistencia a un nivel apropiado para cada persona, considerando que algunos de estos servicios son proporcionados previo pago, el CSIRT Telconet realizará acciones bajo el alcance de servicios contratados o situaciones excepcionales escaladas. En la mayoría de los casos el CSIRT Telconet proveerá indicaciones e información que posiblemente requieran para tomar las medidas apropiadas para solucionar sus problemas.

El CSIRT Telconet busca mantener una comunidad de administradores informada de vulnerabilidades potenciales y dentro de lo posible informarle a la comunidad de la existencia de estas vulnerabilidades antes de que sean activamente explotadas.

 

 

 4.2 COOPERACIÓN, INTERACCIÓN Y PUBLICACIÓN DE INFORMACIÓN

 

Además de restricciones legales y éticas sobre el flujo de información del CSIRT Telconet, reconocemos la intención de contribuir al espíritu de cooperación que se ha creado en Internet. Por tanto, mientras se toman las medidas apropiadas para proteger la identidad de los usuarios miembros de las empresas del grupo Telconet y clientes, el CSIRT Telconet compartirá la información con la finalidad de apoyar a otras redes a resolver o prevenir incidentes de seguridad.

Con esto nos referimos a usuarios legítimos, operadores y usuarios de redes.

 

Para realizar la clasificación de la información se utilizará el protocolo TLP, según el cual la información será categorizada de acuerdo a uno de los siguientes criterios: pública general, pública comunitaria, sensible y confidencial.

 

4.3 COMUNICACIÓN Y AUTENTICACIÓN

 

Puesto que se pueden utilizar varios medios para el intercambio de información con el CSIRT Telconet, los teléfonos serán considerados suficientemente seguros para ser usados de forma no encriptada. Emails no encriptados no serán considerados suficientemente seguros pero serán adecuados para la transmisión de información poco sensitiva. De ser necesario enviar información sensitiva se sugiere el uso de PGP para encriptar la información.

 

Transferencias a través de la red debe ser consideradas de la misma forma que el email, estas deben ser encriptadas en caso de ser sensitivas.

 

Otros métodos apropiados serán usados, como búsqueda de miembros FIRST, el uso de WHOIS y otra información de registro de información, etc, además de uso de llamadas telefónicas y correo electrónico para asegurarnos que la contraparte no es un impostor. Emails entrantes cuyos datos deben se confiables serán revisados con el emisor de estos de forma personal o por medio del uso de firmas digitales.

 

 

  1. SERVICIOS

 5.1 EVENTO E INCIDENTE

Se realiza la gestión de eventos e incidentes considerando la definición de evento e incidente según lo descrito:

  • Se considera un evento de seguridad a una condición fuera de lo normal que no afecta a la integridad, disponibilidad o confidencialidad de la información, la red o los servicios.
  • Se considera un incidente de seguridad a una condición fuera de lo normal que afecta o tiene un alto potencial de afectación a la integridad, disponibilidad o confidencialidad de la información, red o servicios.

 

5.2 RESPUESTA A INCIDENTES

CSIRT Telconet apoyará a los administradores en el manejo de aspectos técnicos y organizacionales de los incidentes reportados a través de nuestro formulario de incidentes. En particular proveerá asistencia o aviso referente a los siguientes aspectos del manejo de incidentes:

 

Servicios Proactivos

  • Auditorías y evaluaciones de seguridad.
  • Adopción de herramientas de seguridad.
  • Servicios de detección de intrusos.

 

Servicios Reactivos

  • Alertas y Avisos
  • Análisis de incidentes.
  • Respuesta a incidentes en sitio.
  • Soporte de respuesta a incidentes.
  • Análisis de vulnerabilidades.
  • Respuesta a vulnerabilidades.
  • Análisis forense sobre redes y servicios.

 

5.2.1 INVESTIGACIÓN INICIAL DE INCIDENTES

 

  • Investigar si en efecto un incidente ha ocurrido.
  • Determinar el alcance del incidente.

 

 5.2.2 COORDINACIÓN DE INCIDENTES

 

  • Determinar la causa inicial del incidente (vulnerabilidad explotada).
  • Facilitar contacto con otros sitios que pueden haber estado involucrados.
  • Facilitar contacto con departamentos de seguridad de Telconet y/o entidades a cargo del manejo de investigaciones judiciales y legales.
  • Crear reportes para otros CSIRTs.
  • Preparar anuncios a usuarios, si aplicara.

 

 5.2.3 RESOLUCIÓN DE INCIDENTES

 

  • Eliminar la vulnerabilidad
  • Apoyo en el aseguramiento de sistemas derivados de lo aprendido en el incidente.
  • Evaluar si ciertas acciones pueden arrojar resultados en proporción con su costo y riesgo, en particular acciones dirigidas a un eventual proceso judicial o acción disciplinaria: recolección de evidencias luego del hecho, observación de un incidente en progreso, plantando trampas al intruso, etc.
  • Recolectar evidencia cuando se contemplen acciones judiciales, policiales, o acción disciplinaria dentro de la organización donde ocurre el evento.

 

Además, CSIRT Telconet recolectará estadísticas referentes a incidentes que ocurran dentro de o esté involucrado uno o varios de los miembros del CSIRT Telconet, notificando a la comunidad de ser necesario para apoyar en la protección contra ataques conocidos.

 

Algunos de los servicios de respuesta a incidentes de CSIRT Telconet están sujetos a costos. Por favor envíe un Email a las direcciones indicadas en el punto 2.11 arriba indicado. Por favor recuerde que la asistencia disponible dependerá de acuerdo a los parámetros definidos en 4.1.

 

 5.3 ACTIVIDADES PROACTIVAS

 

CSIRT Telconet coordina y mantiene los siguientes servicios dentro de las posibilidades que sus recursos le permiten:

  • Servicios de información
  • Lista de contactos de seguridad de instituciones miembros de Telconet. Esta información puede ser consultada vía correo electrónico a la dirección indicada en el punto 2.1
  • Listas de correo para informar a los contactos de instituciones miembro de información relevante a sus ambientes de seguridad. Estas listas estarán disponibles a los administradores de las redes de las instituciones miembro de Telconet.
  • Servicio de resúmenes de noticias de diversos sitios de internet dedicados a la seguridad. Los resultados de este servicio se harán disponibles de forma pública o a través de las listas de acuerdo al nivel de sensibilidad de la información y urgencia.
  • Los miembros del CSIRT Telconet participará en seminarios periódicos en tópicos relacionados con la seguridad; estos seminarios estarán abiertos a administradores de sistemas de las instituciones miembro de Telconet.
  • Servicios de auditoría de seguridad. Estos servicios estarán disponibles solamente a los administradores de la red auditada.
  • Referencias de incidentes de seguridad serán mantenidos de forma confidencial, estadísticas periódicas serán puestas a disposición de la comunidad de Telconet.

Descripciones detalladas de los servicios aquí indicados, además de instrucciones para unirse a listas de correo, descargas o participando en servicios como manejo centralizado de logs, estarán disponibles en el sitio web del CSIRT Telconet de acuerdo a la sección 2.10 arriba indicada.

 

  1. FORMULARIO DE REPORTE DE INCIDENTES

 

Se cuenta con un formulario de reporte de incidentes que se lo puede encontrar en el siguiente enlace https://telconet.ec/?Itemid=453

 

  1. AVISO LEGAL

 

El CSIRT Telconet no asume responsabilidad por errores, omisiones o daños resultantes de la información aquí contenida.

Clic para ir al Formulario de Reporte de Incidentes  

Holding Telconet

 

Galería Fotográfica

Síguenos en:

Facebook Telconet LATAM icon-rs-twitter icon-rs-instagram icon-rs-flickr icon-rs-linkedin icon-rs-youtube