FIRST Press Release 20201118

Centro de Conocimiento en Ciberseguridad
CSIRTs: Al pie del cañón
Los equipos de respuesta a incidentes de seguridad nacieron tras el considerado primer gran ciberataque
mundial, provocado por el ‘virus Morris’, en 1988. Desde entonces, el concepto, identificado bajo las siglas
CERT o CSIRT, ha evolucionado hasta alcanzar una razonable madurez con más de 500 equipos en regiones
como Europa, más del 10% de ellos españoles. Sus grandes retos son, sin duda, compartir información,
sumar sinergias y ser capaces de ofrecer una respuesta eficaz y rápida a cualquier amenaza que ponga
en riesgo la información más crítica o la interrupción de servicios y negocio. SIC dedica este especial a
analizar los éxitos, ‘fracasos’ y retos de lo que está llamado a ser una ‘commodity’ de la ciberseguridad
en cualquier país o empresa para alcanzar un alto nivel de resiliencia.
SUMARIO
• Los equipos de respuesta a incidentes cobran protagonismo como ‘última bala’ para anticiparse a todo tipo
de ciberataques y garantizar la resiliencia.
• De la Edad de Piedra a la Moderna: cómo han cambiado los CERTs / CSIRTs y por qué.
• Qué perfiles profesionales se piden.
• Cómo crear un CSIRT paso a paso.
• Canción triste de Hill Street… ¡Tengan cuidado ahí fuera!, por Alberto Partida.
• El futuro de los CERTs / CSIRTs pasa por reglas que generen más confianza y mayores capacidades.
• Equipos de respuesta a incidentes españoles y su situación en foros nacional e internacionales.
• Así piensan: Organismos Internacionales, CERTs de referencia y CSIRTs españoles.
* Es posible obtener una versión en pdf de este especial rellenando el formulario disponible en www.revistasic.com
Los equipos de respuesta a incidentes cobran
protagonismo como ‘última bala’ para anticiparse a
todo tipo de ciberataques y garantizar la resiliencia
Para garantizar la seguridad del espacio aéreo, el Ejército del Aire tiene en marcha, 365 días al
año y 24 horas al día, el denominado protocolo ‘Alerta Scramble’. Gracias a él, en menos de 15
minutos despegar para interceptar en vuelo a cualquier avión no identificado. Una operación que,
en España y coordinada con la OTAN, se pone en marcha desde el bunker del Centro de Opera-
ciones Aéreas Combinadas (CAOC), en Torrejón de Ardoz (Madrid). En cierto modo su trabajo se
parece mucho al que tienen los equipos de respuesta a incidentes cibernéticos, los denominados
CERTs / CSIRTs, que permiten hacer frente a cualquier ataque y estar preparados para repeler
el siguiente gracias a sus ‘lecciones aprendidas’. España es el país de la Unión Europea con más
equipos registrados en Enisa y el tercero del mundo en el foro FIRST.
| Ana Adeva y José Manuel Vera (Equipo SIC) |
El 2 de noviembre de 1988, Para evitar futuras situa-

a las ocho y media de la ma- ciones de este tipo, la Agencia
ñana, un recién diplomado de Proyectos de Investigación
de Harward, Robert Tappan Avanzados de Defensa (DARPA),
Morris, de 23 años, sentado precursora de Internet, financió
al frente de su ordenador en un programa de la Universidad
el Instituto de Tecnología de Carnegie Mellon (CMU) para po-
Massachusetts (MIT), liberó en ner en marcha en su Instituto
Internet el código del llamado de Ingeniería de Software (SEI)
‘gusano Morris’ sin ser cons- el primer Centro de Coordina-
ciente de hasta qué punto es- ción del Equipo de Respuesta
taba haciendo historia. a Emergencias Informáticas
En sólo 24 horas, su soft- (CERT/CC), que hoy continúa
ware malicioso se ‘reprodujo’ siendo una de las referencias
infectando 6.000 de los 60.000 mundiales junto al US CERT,
sistemas informáticos conec- dependiente de la Agencia
tados entre universidades en de Seguridad Ciberseguridad
EE.UU. y, de hecho, se calcula e Infraestructura (CISA), que
que afectó hasta al 10% de los sistemas co- un ataque global de este tipo era imposible de también colaboran con el ICS-CERT, centra-
nectados del momento. Viendo el daño cau- parar. Algo que volvió a ser patente, en 1989, do en sistemas de control industrial de in-
sado, de forma anónima publicó unas ins- con el gusano WANK, de origen hacktivista fraestructuras críticas. Su objetivo era y es
trucciones para eliminarlo y prevenir de su y, ya en nuestros días, con incidentes como gestionar las emergencias de ciberseguridad
infección, pero ya era tarde para evitar uno WannaCry o NotPetya, en 2017. y contar con capacidades de respuesta ante
de los mayores caos informáticos de la his- ellas, coordinando el esfuerzo de empresas
toria. Curiosamente, sólo tenía la intención y organismos.
de demostrar que la seguridad de la Red Así, entre sus principales labores está,
era extremadamente débil. Tras su ‘ataque’ tras detectarse un incidente, su control y
comenzaron a llegar al mercado los prime- minimización de daños, preservación de
ros antivirus y, también, surgió uno de los las evidencias e investigación de lo que
conceptos que más de 30 años después ha ocurrido y, por supuesto, coordinar la
continúa evolucionando hacia su madu- respuesta para una rápida recuperación.
rez: el de los ‘Equipos de Respuesta ante Son sólo dos de los más de 700 equi-
Emergencias Informáticas’ (CERT) también pos que hay en el mundo, públicos y pri-
denominados como ‘Equipos de Respues- vados, que también buscan anticiparse a
ta a Incidentes de Seguridad Informática’ posibles incidentes compartiendo vulne-
(CSIRT). Y es que, una de las grandes lec- rabilidades o indicadores de compromiso
ciones aprendidas en aquel suceso resul- (IoC) con otros CERTs / CSIRTs integrados
taba evidente; a saber: sin la comunicación Barbara Fraser y Ed DeHart, parte del CERT CC de SEI a en foros y redes organizadas en Europa,
y coordinación de organismos y empresas, principios de la década de 1990. Asia, América…
82 NOVIEMBRE 2020 / Nº142 / SiC

¿Es lo mismo un SOC que un CERT ted Introducer’ o figurar en el catálogo de la pecialización está llegando a este concepto
y un CSIRT? Agencia de Ciberseguridad Europea (Enisa) para dar respuesta a amenazas cada vez más
como tal, entre otros. complejas y recurrentes.
Desde que comenzara el CERT-CC, hace Por eso, cada vez hay más países que dis-
casi 32 años, los equipos de respuesta han Llega la especialización ponen, dentro de su ‘ciberestructura’, de un
sido denominados de diferentes formas, aun- CSIRT nacional como punto de referencia para
que cada uno tenga matices que le haga di- Lo cierto es que cada vez más países, or- participar en respuestas a incidentes interna-
ferente, ya que cada equipo tiene unas capa- ganismos y empresas apuestan por contar con cionales y como contacto para compartir in-
cidades, objetivos y metodologías concretas esta clase de equipos por su capacidad para formación. De hecho, los CSIRTs cada vez son
–técnicas, forenses, legales, de comunicación, ofrecer ciberresiliencia, uno de los conceptos más citados por entidades como las Naciones
etc.–, según la organización y sus necesidades. más impulsados por las estrategias naciona- Unidas (ONU) o la Organización de los Estados
Así, mientras que CERT es una marca re- les de ciberseguridad, también la española, Americanos (OEA) como una buena evidencia
gistrada por la universidad estadounidense como parte integrada y activa de la arquitec- de madurez en ciberseguridad. También ven
Carnegie Mellon (CMU), en 1997, por la en ellos un instrumento óptimo para ha-
que hay que pagar tras demostrar que cer del ciberespacio un lugar más seguro.
se cumplen unos requisitos, CSIRT es La razón es que, mientras muchos países
un concepto más amplio que cualquiera mantienen tensas relaciones en lo po-
puede usar. lítico, gracias a la creación de foros de
Por establecer una definición formal, CSIRTs la información más crítica, de vul-
dicha universidad, en un documento de nerabilidades y amenazas, sí se comparte
2007, explicaba que “un equipo de res- para reducir su impacto. Un buen ejemplo
puesta a incidentes de seguridad infor- es el foro APCERT, del que forman parte
mática (CSIRT) es una entidad organiza- 13 países de Asia, entre ellos Japón, Corea
tiva concreta (es decir, uno o más miem- y China.
bros del personal) a la que se le asigna la De esta forma, lo que en sus comien-
responsabilidad de coordinar y respaldar zos fue una comunidad pequeña, ha ido
la respuesta a un evento o incidente de creciendo hasta llegar a superar los 700
seguridad informática”, frente a lo que Fuente: Exabeam
equipos CERTs / CSIRTs repartidos por
considera un CERT que denomina como todo el mundo, un número que continúa
un “... socio con el gobierno, la industria, creciendo en los cinco continentes para
las fuerzas del orden y el mundo acadé- Figura 1 hacer frente a ataques como el que su-
mico para mejorar la seguridad y la resis- frió en 2015 el Bundestag alemán, que
tencia de los sistemas y redes informáticos...”, tura cibernética y el plan de ciberprotección se apresuró a repeler el peor ciberataque de
recordando que un CERT estudia “...problemas de cualquier organización. Incluso, apostan- su historia y a cuyos presuntos responsables
que tienen implicaciones de ciberseguridad do por su especialización, como han hecho sancionó la UE este octubre. Estos equipos
generalizadas y desarrollan métodos y herra- multinacionales como Cisco, que cuenta con también han dado pie a una extensa red de
mientas avanzados”. Así, la universidad consi- dos entidades separadas: una para ataques organizaciones nacionales o regionales den-
dera que mientras un CERT recopila y difunde exclusivamente cibernéticos (CSIRT) y otra tro de foros institucionales organizados más
información de seguridad, generalmente para para incidentes en productos (PSIRT). La es- formalmente, como el español CSIRT.es. Por
el beneficio de un país o industria, un eso, muchos profesionales de CSIRTs
CSIRT responde a los incidentes en enfatizan la importancia de la con-
nombre de un país u organización. Diferentes nombres un concepto similar… fianza como condición previa para
En paralelo, un Centro de Operacio- una cooperación con éxito, que a su
nes de Ciberseguridad (SOC) permite No todos son exactamente iguales, pero sí representan el vez determina una respuesta eficaz a
a un país u organización monitorizar mismo enfoque. Dado que la marca ‘CERT’ estaba regis- los incidentes.
y defender su red, servidores, aplica- trada por la Universidad Carnegie Mellon, organismos y
ciones y dispositivos. empresas han usado más de una decena de denomina- Qué está pasando en Europa
Lo cierto es que, a pesar de los ciones para identificar a estos equipos:
esfuerzos de la CMU por diferenciar En el Viejo Continente, los prime-
CERT de CSIRT a día de hoy, ambos CSIRT. Equipo de respuesta a incidentes de seguridad ros CERTs/CSIRTs surgieron a princi-
conceptos se usan indistintamente informática. pios de la década de los 90 dentro de
para identificar a este tipo de equi- CIRC. Capacidad de Respuesta a Incidentes Informáticos. las redes nacionales de investigación
pos, siendo el más empleado en y educación (NREN), sentando las
CSIRC. Centro o capacidad de respuesta a incidentes de
Europa el de CSIRT aunque especia- bases de los que son actualmente,
seguridad informática.
listas como Tim Matthews, CMO de impulsados por Enisa. Este trabajo
Exabeam, consideran que sí hay di- CIRT. Equipo de respuesta a incidentes informáticos. fue apoyado de forma especial por
ferencias importantes en su concep- IRC. Centro de respuesta a incidentes o capacidad de la actual Directiva Europea de Seguri-
tualización (ver Figura 1). respuesta a incidentes. dad en Redes (NIS), que dedica, entre
Eso sí, a pesar de que CSIRT no es IHT. Equipo de manejo de incidentes. otros, su Artículo 12 a la necesidad de
una marca comercial, para ser acep- establecer una red europea de CSIRTs
IRT. Equipo de Respuesta a Incidentes.
tado como tal lo habitual es formar “para contribuir a desarrollar la con-
parte de uno de los foros que busca SERT. Equipo de Respuesta a Emergencias de Seguridad. fianza entre los estados miembros y
impulsar este tipo de capacidades: SIRT. Equipo de respuesta a incidentes de seguridad. promover una cooperación operati-
FIRST, el más conocido a nivel mun- va, rápida y eficaz”, añadiendo en su
dial, y, en Europa, el ‘TF-CSIRT Trus- punto 2, que “la red de CSIRTs estará
SiC / Nº142 / NOVIEMBRE 2020 83

compuesta por representantes de los CSIRTs
de los Estados miembros y del CERT-EU”.
Además, “la Comisión participará en la red de
FOROS INTERNACIONALES DE CERT/CSIRT
CSIRTs como observadora y Enisa se encargará
de la secretaría y de apoyar activamente la — Forum of Incident Response and Security Teams (FIRST)
cooperación entre estos equipos de respuesta
a incidentes”. Es la principal asociación mundial de CSIRTs. Fundado en 1990, su
Prueba de su continua evolución, a prin- objetivo es promover la cooperación y coordinación en la preven-
cipios de octubre, precisamente Enisa pre- ción de incidentes, así como compartir información entre sus miem-
sentó la Cyber Crisis Liaison Organisation bros y la Comunidad en su conjunto. Actualmente, cuenta con más de 540 equipos
Network (CyCLONe), destinada a facilitar la de 98 países, 36 de ellos en España.
cooperación en caso de ciberincidentes dis- www.first.org
ruptivos. “Las cibercrisis no tienen fronteras.
La Agencia de la UE para la Ciberseguridad — La División CERT
se compromete a apoyar a la Unión en su
respuesta a los ciberincidentes. Es importan- Fue la referencia hace 30 años. Integrada en el Instituto de Ingeniería
te que las agencias nacionales de ciberse- del Software de la Universidad Carnegie Mellon se define como “un
guridad se unan para coordinar la toma de grupo diverso de investigadores, ingenieros de software, analistas
decisiones a todos los niveles”, destacó al de seguridad y especialistas en inteligencia digital que trabajan
respecto el Director Ejecutivo de ENISA, Juhan juntos para investigar las vulnerabilidades de seguridad en productos de software,
Lepassaar. contribuir a cambios a largo plazo en los sistemas en red y desarrollar información
y capacitación de vanguardia para mejorar la práctica de la ciberseguridad”. De
¿Y en España? él forman parte todas las entidades, públicas y privadas, que han solicitado esta
denominación y pagado por ello, sumando en la actualidad más de 340 equipos.
A pesar de que este tipo de equipos www.CERT.org
siempre han sido muy activos, tanto por
parte de organismos públicos como de em- — European Government CERT (EGC Group)
presas, en 2018, “la necesidad de ofrecer una
Se trata del ‘Grupo informal de Equipos de Respuesta
respuesta coordinada y efectiva ante ataques
Gubernamentales’ europeos, que busca desarrollar
globales como el WannaCry” impulsó a las
una “cooperación eficaz en materia de respuesta a
principales entidades expertas en cibersegu-
incidentes entre sus miembros”. Creado en 2001, entre sus miembros están 12 CERTs
ridad en España a relanzar el grupo CSIRT.es,
nacionales (el de Austria, Bélgica, Dinamarca, Finlandia, Francia, Alemania, Holanda,
el foro en torno al que están muchos de los
Reino Unido), también el de España, el CCN CERT.
CERTs/CISRTs de referencia y que, hasta este
www.egc-group.org
momento, cuenta con 45 integrantes.
Además, este concepto también cobró
una especial relevancia en el Real Decreto- — Trusted Introducer
Ley 12/2018 con el que España transpuso la Es el grupo de trabajo creado por la Asociación
NIS. De hecho, en él se delimita el ámbito Transeuropea de Investigación y Educación de Re-
funcional de actuación de los CSIRTs de refe- des (TERENA), que impulsa la colaboración entre los
rencia previstos en ella, ya que considera que CSIRTs europeos ofreciendo un punto de encuentro para “intercambiar expe-
“son la puerta de entrada de las notificacio- riencias y conocimientos en un entorno de confianza”. Cuenta con más de 400
nes de incidentes, lo que permitirá organizar equipos (entre certificados, acreditados, listados y candidatos) que participan
rápidamente la respuesta a ellos...”. en él, 30 de ellos españoles. Eso sí, Enisa cuenta con un registro de CSIRTs y
en él se superan los 520 equipos, aunque no todos están certificados por una
Esto no ha hecho más que empezar organización oficial como tal.
www.trusted-introducer.org
De cualquier forma, con la popularización
del IoT, la interconectividad que ofrecerá 5G, — NATO Computer Incident Response Capability (NCIRC)
los edificios y ciudades inteligentes, los au-
tomóviles conectados y todo tipo de dispo- Se trata del CSIRT de referencia de los países que son miembros
sitivos intercomunicándose en todo tipo de de la OTAN, por lo que comparten información con él y la anali-
sectores, los incidentes en el mundo digital, zan acorde a los objetivos de la Alianza.
esta década, tendrán un efecto mucho ma- www.nato.int
yor en el mundo físico, ya que ahora existen
riesgos, amenazas y vulnerabilidades en un — AP-CERT
espectro ciberfísico bidireccional. De hecho, la
firma analista Gartner predice que el 75% de Es el principal foro de CSIRTs de Asia-Pacífico, creado para
los directores ejecutivos serán responsables mantener una “red de contactos de confianza de expertos
de incidentes ciberfísicos (CPS), por lo que su en seguridad informática en aras de mejorar la conciencia
apuesta por contar con un CSIRT es estratégi- y la competencia de la región en relación con los incidentes de seguridad informá-
ca por su capacidad para ‘apagar el fuego’ lo tica”. Cuenta con más de 40 miembros, incluidos Japón, Singapur, Australia, China,
antes posible y evitar cualquier repercusión India, etc.
de cumplimiento y/o económica.  www.apcert.org

Con los años se han incrementado sus capacidades contando, incluso, análisis forense,
y especializándose por sectores para ganar en eficiencia
De la Edad de Piedra a la Moderna:

cómo han cambiado los CERTs / CSIRTs y por qué
“Por definición, un CSIRT debe realizar, análisis, hasta las acciones de respuesta, programas de concienciación.
como mínimo, actividades de manejo de soporte y coordinación. Algunos especia- La razón para este trabajo multidisci-
incidentes”, destacaba la experta de la listas también consideran, un tercer ám- plinar es que, con el paso de los años, las
CISA estadounidense, Georgia Killcrece, bito: que parte del trabajo de los CSIRTs organizaciones han ganado en compleji-
resaltando que ello supone analizar y re- es ayudar a gestionar la seguridad de la dad y el área de trabajo de los CSIRTs tam-
solver los eventos e incidentes que repor- organización realizando evaluaciones de bién ha crecido como forma de mejorar la
tan los usuarios finales o que se observan riesgo, participando en los planes de con- resiliencia operacional de cualquier enti-
a través de la monitorización proactiva de tinuidad de negocio, de recuperación ante dad contando con un plan que garantice,
la red y el sistema. Y dado que los CSIRTs desastres, así como participando en los incluso en las crisis más graves, que los
“se pueden crear para
países o economías,
gobiernos, organiza-
ciones comerciales,
instituciones educa-
tivas e, incluso, enti-
dades sin ánimo de
lucro, el objetivo de
un CSIRT es minimizar
y controlar el daño
resultante de los inci-
dentes, proporcionar
una guía eficaz para
las actividades de
respuesta y recupe-
ración, y trabajar para
evitar que ocurran in-
cidentes futuros”, re- Figura 1
saltaba Robin Ruefle,
de la División CERT de
la CMU, en 2007.
Y es que los ser-
vicios que prestan
este tipo de equipos
se pueden dividir
e n t re s á reas : p o r
un lado, los preven-
tivos, por ejemplo,
buscando vulnerabi-
lidades, conciencian-
do a los empleados,
notificando a la alta
dirección de nuevos
ciberriesgos, com-
partiendo amenazas
o posibles incidentes
con los empleados; y,
por otro, los reactivos,
que suponen la ges-
tión de un incidente,
incluyendo desde su Figura 2

servicios de “misión crítica” continúen
y estén protegidos los activos y datos
más estratégicos y confidenciales.
Qué tipos de CSIRTs existen…
Por ejemplo, el US CERT, de EE.UU.,
Aunque, según su presupuesto, medios y objetivos, las funciones y responsabilida-
uno de los pioneros, cambió su no-
menclatura inicial del CERT, sustitu- des de los CSIRTs varían notablemente, agrupándose en diferentes tipos, según los
yendo el significado de la letra “R”, servicios que ofrecen o los sectores en los que trabajan.
pasando del tradicional Response Hay varias clasificaciones. Y de entre ellas se destaca la realizada por ENISA en 2013,
(Respuesta) a Readiness (Prepara- en la que se recogen los tipos:
ción). O el análisis forense, que ha
sido uno de los servicios de estos – CERTs/CSIRTs Nacionales/Gubernamentales
equipos que aconseja tener Enisa, – CERTs/CSIRTs Gubernamentales
además de contar con especialistas y – CERTs/CSIRTs Nacionales
medios en la gestión de las vulnera- – CERTs/CSIRTs Nacionales de facto
bilidades. – CERTs/CSIRTs Académicos
– CERTs/CSIRTs Militares
– CERTs/CSIRTs de MSSPs
– CERTs/CSIRTs de Organizaciones no Comerciales
– CERTs/CSIRTs de empresas TIC
– CERTs/CSIRTs de Organizaciones Comerciales
– CERTs/CSIRTs del sector Financiero
– CERTs/CSIRTs del sector de la Energía
– CERTs/CSIRTs del sector Industrial
En España, a efectos oficiales y a grandes rasgos, existe hoy las siguientes entida-
des: el CCN-CERT (sector público en general y sistemas que manejan información
clasificada); el INCIBE-CERT (ciudadanía y sector privado, instituciones afiliadas a
RedIRIS, en coordinación con el CCN-CERT cuando se refiera a organismos públicos);
Diseño a medida y el ESP-DEF-CERT del Mando Conjunto del Ciberespacio del Ministerio de Defensa.
Estas entidades se constituyen como CSIRTs de referencia en el Real Decreto-ley de
Así pues, no hay un único dise- transposición de la directiva NIS. El Centro Nacional de Protección de Infraestructu-
ño como tal para un CSIRT sino que ras Críticas, CNPIC, a través de la Oficina de Coordinación en Ciberseguridad, OCC,
se considera que su estructura debe
materializa su capacidad de respuesta mediante estos CSIRTs.
estar adaptada a las necesidades de
cada organización. (Para ampliar información se recomienda la lectura del Real Decreto-ley 12/2018,
De esta forma, puede haber CSIRTs de 7 de septiembre, de seguridad de las redes y sistemas de información). Existen
integrados en estructuras como los también centros autonómicos, como por ejemplo Andalucía CERT, Catalonia CERT
Centros de Operaciones de Cibersegu- (Cataluña) o el BSCS CERT (País Vasco).
ridad (SOC) o como equipo aparte. In-
cluso, se puede contemplar este tipo Y, por supuesto, CERTs/CSIRTs empresariales, como el Telefónica Global CSIRT, o el
de equipos exclusivamente para hacer Santander Global CERT, entre otros.
frente a crisis concretas con profesio-
nales de diversos departamentos que
no trabajan como tal en su día a día.
También, por supuesto, se puede con-
tar con estos equipos subcontratados
como servicios con entidades que los
ofrezcan: es cuestión de analizar sus
pros y contras, como recomienda Exa-
beam (ver Figura 2).
De cualquier forma, la clave para
que trabaje con éxito es que impulse
la coordinación tanto dentro de la em-
presa con el departamento de TI y la
alta dirección como con otros equipos
de CSIRTs compartiendo información
que pueda ayudar a evitar incidentes
o, en el peor de los casos, recuperarse
rápido de uno. Y, por supuesto, ponien-
do en marcha mejoras que permitan no
volver a sufrirlos. 

Por su especialización cada vez son más demandados y mejor pagados
Qué perfiles profesionales se piden

Los equipos que forman cada CERT/CSIRT son únicos, en el mente instruido y actualizado sobre nuevas tecnologías, amena-
sentido de que cada uno establece la proporcionalidad de sus zas y técnicas de ataque.
recursos tanto humanos como tecnológicos y operacionales, se-
gún una serie de aspectos como el tamaño de la Comunidad a Certificaciones
la que da servicio, los niveles de dichos servicios (por ejemplo,
si serán sobre un modelo 24x7), así como su nivel de madurez y Las habilidades y la experiencia requeridas por un CERT/
planes estratégicos, entre otros factores. CSIRT varían según la naturaleza de su negocio y la capacidad
Con todo, hay una serie de perfiles con los que, aunque su de respuesta a incidentes que decida desarrollar internamente.
número y organización evolucionen con el tiempo, es necesario No obstante, junto con la educación básica y universitaria y la
contar. Una de las clasificaciones más representativas es la que experiencia, las certificaciones pueden ser de gran ayuda a la
ofrece Exabeam en su ‘Guía completa para la organización de hora de acceder a un puesto de trabajo en esta área.
un CSIRT: cómo construir un equipo de respuesta a incidentes’, De acuerdo con una información publicada por el medio es-
de 2018, y la que establece el CCN en su ‘Guía de creación de un pecializado TechTarget, entre ellas, están las certificaciones de
CERT/CSIRT’. Estos documentos destacan que todo CERT/CSIRT seguridad general como CISSP, CISM o Security +; una certificación
debe contar con un responsable de equipo, que para el CCN debe perteneciente a un área profesional relacionada, como Auditor
actuar como “punto de contacto con la Comunidad a la que se da de sistemas de información certificado o Hacker ético certificado;
servicio y el resto de CERTs con los que se vaya a colaborar”. Y o incluso certificaciones específicas de la tecnología o del pro-
para Exabeam debe garantizar, además, que se reciba la atención veedor, como Cisco Certified Network Associate o Cisco Certified
y el presupuesto adecuados. Internetwork Expert. Eso sí, puntualiza que, de los programas de
Los CERTs/CSIRTs tam-
bién deberían de tener un
gestor o equipos de gestión
de incidentes e investiga-
dores que lleven a cabo las
indagaciones y análisis ne-
cesarios de un incidente de
seguridad.
Dentro de los equipos
más técnicos, desde el CCN
se apuntan dos categorías:
de primer nivel, que “nece-
sitan un grado de conoci-
miento técnico básico espe-
cializado en tecnologías TIC
suficiente para entender la
situación notificada”; y de
segundo nivel, que “son los
especialistas que realmente tienen el conocimiento técnico y las certificación dirigidos a la respuesta de incidentes, los dos más
habilidades de intercomunicación con otros CERTs o miembros conocidos son, probablemente, el GCIH (SANS Institute Certified
de la comunidad”. Incident Handler) y el ECIH (EC-Council Certified Incident Handler).
En este sentido, cabe recordar que el marco NICE, creado por
el NIST en su esfuerzo por establecer una taxonomía y léxico co- Buen sueldo
munes de los trabajos y trabajadores del sector de la ciberseguri-
dad, ofrece una lista con los conocimientos, tareas y capacidades Sin duda, los salarios del personal que compone un CERT/
de los especialistas en respuesta a incidentes. CSIRT depende de muchos factores y es muy difícil de establecer
Es posible acceder a dicha lista buscando ‘Cyber Defense una clasificación específica.
Incident Responder’ en el apartado ‘Work Roles’. Sin duda, un Existen algunos datos genéricos que pueden servir de guía,
recurso muy útil para comprender los antecedentes, el conocien su mayoría extraídos del análisis de webs de oferta y deman-
miento, las obligaciones y los requisitos laborales que piden las da de empleo. Por ejemplo, una de las más conocidas a nivel
organizaciones de dichos perfiles. internacional como es Indeed.com indica que, de la búsqueda
Junto a ellos, se recomienda disponer de un experto legal, de las palabras clave ‘analista de respuesta a incidentes’, el pro-
otro en comunicación y relaciones públicas y un equipo de aten- medio de los salarios se situaba en los 97.000 euros anuales, en
ción al cliente. Así, Exabeam incluye, incluso, un jefe o equipo 2019, según publicó CyberDegrees.org, una cifra que dista un
de recursos humanos en tanto que el CCN añade un equipo de poco de los 72.000 euros que atribuye a dichos profesionales la
formación, para que el personal del CERT/CSIRT esté adecuada- plataforma CyberSeek, apoyada por el NICE del NIST.

Ser reconocido como tal en foros internacionales y contar con capacidades en todo
tipo de ámbitos son dos elementos imprescindibles
Cómo crear un CSIRT paso a paso

Desde 2004, la Agencia de Ciberseguridad de la UE (Enisa) subcontratar y dónde se ubicarán los miembros de su equi-
ha generado decenas de informes con todo tipo de recomen- po”. Además, empresas como Exabeam recomiendan que el
daciones, buenas prácticas y la experiencia de especialistas equipo actúe en concordancia con un plan de respuesta a
en equipos de respuesta para incidentes (RI) que sea fácil de
que tanto empresas como or- asimilar y usar para evitar que
ganismos públicos pongan en “durante el pánico de una po-
marcha CSIRTs. sible crisis” sea fácil de llevar
Entre sus puntos de parti- a cabo por todo el personal,
da, la Agencia recomienda comenzar por establecer unos también el ajeno al CSIRT. Además, aconseja participar en
objetivos y en función de ellos “determinar quién estará simulacros al menos dos veces al año para conocer, de forma
en el equipo, sus roles y responsabilidades, qué funciones realista, la preparación del equipo.
Los principales foros, los CERTs gubernamentales y los organismos

de ciberseguridad ofrecen amplia información para lograrlos
PASO 1 Qué estándares internacionales se deberían

adoptar para el trabajo diario de los CERTs/CSIRTs
Foros como el FIRST, trabajan des que pueden afectar a varios un incidente en cuanto a sus de- documentación de interés para
en estándares y normas para me- proveedores y tecnologías al beres de confianza, información, los equipos de respuesta a inci-
jorar la interoperabilidad de los mismo tiempo. El pasado octubre divulgación coordinada de vulne- dentes. Por ejemplo, el Instituto
CSIRTs, como el marco abierto también hizo público un nuevo rabilidades, de reconocimiento Nacional de Estándares y Tecno-
Common Vulnerability Scoring código ético, denominado ‘ethic- de límites jurisdiccionales, etc. logía (NIST) de EE.UU.; aunque
System (CVSS), para comunicar sfIRST Framework’, que cuenta no cuenta con ninguna publi-
las características y la gravedad con una página web dedicada: Gestión y difusión de cación específica sobre CERTs/
de las vulnerabilidades del soft- ethicsfirst.org. El objetivo es cu- alertas y vulnerabilidades CSIRTs, dispone de una serie de
ware; sobre el protocolo TLP, un brir una serie de principios de documentos de buenas prácticas
estándar destinado a facilitar un responsabilidad de los profesio- Otros organismos interna- y procedimientos centrados en
mayor intercambio de informa- nales de ciberseguridad durante cionales disponen también de la gestión de incidentes, como
ción confidencial; así como en
marcos de servicios que pue-
den proporcionar los CSIRTs y
los PSIRTs, como el ‘Computer
Security Incident Response Team
Services Framework v2.1’, de no-
viembre de 2019 y el ‘PSIRT Ser-
vices Framework’ de principios de
2020; y un marco de Políticas de
Intercambio de Información (IEP),
destinado a automatizar el inter-
cambio de información de seguri-
dad y amenazas, entre otros.
Además, este grupo ha ac-
tualizado sus ‘Directrices para
la coordinación y divulgación de
vulnerabilidades entre múltiples
partes’, publicada en mayo, en
aras de mejorar la comunicación
y colaboración de vulnerabilida- Fuente: FIRST, Services Framework v2.1

su ‘SP 800-61 Computer Secu- También cuenta, entre otros mu- soluciones de seguridad, propor- do en XML, que permite el inter-
rity Incident Handling Guide’, chos, con la ISO/IEC 29147 sobre cionando una base para evaluar cambio de información de alertas
de 2012, y la ‘SP 800-83 Guide Divulgación de Vulnerabilidades la cobertura de herramientas y y avisos públicos sobre todo tipo
to Malware Incident Prevention y, dentro de la reconocida norma servicios, además de habilitar de redes y sistemas de alerta. Por
and Handling’, de 2013, como las ISO 27001, su Anexo A, que es un el intercambio automatizado de ejemplo, permite que una alerta
más recientes y entre otros que, documento normativo, atiende información. se difunda de manera constante
como es bien sabido, abarcan el en su sección A.16 a la ‘Gestión A ello, se le unen desde hace y simultánea a través de varios
vasto campo de la ciberseguridad de incidentes de seguridad de la años otros estándares como el sistemas a un gran número de
en todas sus áreas. información’. Lenguaje de descripción de vul- aplicaciones, como Google Pu-
Asimismo, la Organización Cabe recordar, además, la nerabilidades de aplicaciones blic Alerts.
Internacional para la Estandari- existencia desde hace años de (AVDL) de OASIS, uno de los or- En este sentido, resulta in-
zación (ISO) y la Comisión Elec- otras fuentes de información, ganismos de normalización sin teresante echar un vistazo a la
trotécnica Internacional (IEC) como la Common Vulnerabilities ánimo de lucro más respetados publicación de Enisa ‘Estándares
cuentan con la ISO 27035, un and Exposures (CVE), una gran del mundo. AVDL es un estándar y herramientas para el intercam-
estándar que consta de dos par- base de datos de vulnerabilida- XML que permite la comunicación bio y procesamiento de informa-
tes abordando, por un lado, los des y exposiciones de cibersegu- de información sobre vulnerabili- ción procesable’, el cual, aunque
principios básicos de la gestión ridad conocidas públicamente. dades en las aplicaciones web de es de 2014, recoge un total de
de incidentes y, por otro, las pau- Éstas, representadas mediante forma estándar. También, cuenta 53 estándares de intercambio
tas para planificar y prepararse ‘identificadores comunes’, permi- con el Protocolo de Alerta Común de información diferentes para
para la respuesta a incidentes. ten el intercambio de datos entre (CAP), un estándar, también basa- CERTs/CSIRTs.
Asociaciones como FIRST, TF-CSIRT o CSIRT.es validan, por sus competencias

y referencias, quienes deben ser considerados como tal
PASO 2 Integrarse en los foros que ‘deciden’ quién es

o no un CERT / CSIRT
Certificados csirt asegurarse de que cumple con las por dos o más miembros, etc.). jeto a una visita al centro donde
Directrices para el uso del térmi- Por ejemplo, para convertirse se aloja el equipo de respuesta
Existe una amplia variedad no ‘CERT’. Posteriormente, se es- en miembro de uno de los foros a incidentes”. Aunque, en su reu-
de siglas para equipos de res- tablece contacto con el personal más importantes a nivel mundial, nión de abril de 2020, la Junta de
puesta a incidentes, aunque los del CSIRT sobre cualquier cambio como es FIRST, los CSIRTs deben FIRST decidió “suspender esta
términos ‘CERT’ y ‘CSIRT’ son, sin que deba realizarse y, posterior- pasar por un procedimiento de visita física hasta nuevo aviso”,
duda, los más escuchados, junto mente, se procederá a la firma del validación de la comunidad. dada la situación generada por
al de ‘SOC’, incluso aunque este acuerdo. la pandemia de la Covid-19.
último tiene un ámbito de segu- Caso distinto es la con- Para ambos niveles, los so-
ridad y ciberseguridad más am- sideración CSIRT, ya que no licitantes deben de cubrir
plio. Lo cierto es que, a menudo, existe un reconocimiento ciertos criterios estable-
los dos primeros se usan como oficial, y cualquiera puede cidos en dos formularios
sinónimos. Sin embargo, aunque autodenominarse como para cada uno de ellos,
muchas compañías usan ‘CERT’ tal, amparándose en lo que a los que se tiene acceso
de forma genérica, cabe recordar supone este acrónimo. Sin previo registro en la página
que es una marca registrada por embargo, su éxito depen- web, sobre la información
la Carnegie Mellon University de en gran medida de “la del CSIRT, sus miembros,
(CMU) desde 1997. Así pues, las confianza y reconocimiento servicios, políticas de cla-
organizaciones que quieran te- que logre en su comuni- sificación y manejo de la
ner dicha consideración pueden dad”, como bien apunta el información, etc.
solicitarlo a la Universidad, que CCN en su Guía de Creación La solicitud de mem-
prohíbe identificarse como tal si de un CERT/CSIRT. Esto re- bresía, que comienza con
no se han superado sus trámites quiere, entre otras cosas, una petición formal a la
(y pagado por ello). Así, en su pá- la participación en eventos y for- Como en otros foros, existen Secretaría de FIRST, cubre un
gina web, la CMU tiene un aparta- mar parte de asociaciones o fo- varios niveles de membresía. período de seis meses para su
do especial dedicado a los CSIRTs ros, tanto a nivel nacional como En FIRST están los Miembros de confirmación. Una vez que la
que deseen solicitar la autoriza- internacional, donde se promue- Pleno de Derecho y los llamados Junta la apruebe, los solicitantes
ción para usar la marca ‘CERT’. va la colaboración entre CSIRTs y Liaisons (enlaces). En el caso de deben pagar una cuota anual de
Para ello, deben seguir un pro- se intercambien experiencias y los primeros requiere que un alrededor de 1.700 euros para los
ceso que, grosso modo, consiste conocimientos en un entorno de CSIRT sea “nominado por dos miembros de pleno derecho y de
en completar un formulario de confianza. Para afiliarse a ellos, miembros de pleno derecho de 210 euros para los ‘enlaces’.
calificación, que el personal de normalmente, es necesario reunir FIRST y, luego, sea aprobado por Un participante que presente
CERT revisará. Éste acudirá tam- una serie de requisitos (certificados tercios de los votos de su Co- la solicitud de FIRST debe pagar
bién al sitio web del CSIRT para ciones, membresía, aceptación mité Directivo, así como estar su- una tarifa de solicitud inicial única

de 800 dólares (cerca de 700 euros) ra categoría es necesario cumpli- de certificación es de 1.800 euros, excepciones a esta norma en el
antes de que se considere confir- mentar un formulario con infor- mientras que la anual es de 800. caso de Centros de ámbito públi-
mada su membresía. Esta tarifa mación básica del Equipo y con- co, para los que se podría propo-
solo se aplica a las membresías tar con al menos dos miembros Y quién reconoce ner su entrada si disponen de al
completas, no a las de ‘enlace’. acreditados o certificados como a los CSIRT en España… menos dos miembros que avalen
Por su parte, el Trusted Intro- ‘patrocinadores’. Para ello, no se su entrada al Foro, o en el caso de
ducer (TI), uno de los principales cobra ninguna tarifa. En nuestro país, uno de los fo- Fuerzas y Cuerpos de Seguridad
foros europeos de CSIRTs, dife- Solo los equipos ya ‘listados’ ros más importantes es CSIRT.es, del Estado (FFCCS), en el que tie-
rencia tres categorías: ‘listado’, pueden acreditarse. La acredita- que se define como “una platafor- nen entrada directa”, puntualiza.
que proporciona información ción la realiza el Trusted Introdu- ma independiente de confianza y Además, considera “requisito
básica sobre el equipo en sí y cer siguiendo un proceso estan- sin ánimo de lucro compuesta por indispensable el prestar servicio
muestra el respaldo del equipo darizado que toma entre uno y aquellos equipos de respuesta a a una comunidad de usuarios del
por parte de la comunidad de TI; cuatro meses, dependiendo del incidentes de seguridad informá- territorio español, tener capaci-
‘acreditado’, que asegura un nivel estado actual y la preparación, ticos cuyo ámbito de actuación o dad de reacción ante incidentes
definido de mejores prácticas y la así como de la retroalimentación comunidad de usuarios en la que de seguridad y cuyas misiones y
aceptación de las políticas de TI recibida durante este proceso. opera, se encuentra dentro del te- objetivos vengan sobrevenidos
establecidas para dichos equi- Existe una tarifa de acreditación rritorio español”. por mandato legislativo u organi-
pos; y ‘certificados’, para aquellos única de 800 euros y una tarifa Se indica que para ser miem- zativo para mejorar la seguridad
que han sido acreditados ante- anual de 1.200 euros. bro candidato hay que “cumplir de las tecnologías y comunica-
riormente y demuestran un nivel En el siguiente escalón estaría con la definición genérica ofre- ciones de la Comunidad a la que
de madurez según lo definido por los certificados, destinados a los cida por la Enisa, FIRST o Trus- presta servicio”. Y, para asegurar
el marco SIM3 (que se explica en equipos acreditados que tienen ted Introducer para este tipo de la cooperación y confianza entre
este mismo especial). Además, razones internas y/o externas equipos”. De hecho, uno de los los miembros del Foro, “la admi-
da la oportunidad a los profesio- para medir su nivel de madurez requisitos para ser admitido en sión de nuevos miembros será
nales expertos en seguridad de de manera independiente. Ésta el grupo es ser miembro del FIRST sometida a votación por unani-
participar como ‘Asociados de TI’. se mide a través del marco SIM3 o estar acreditados en el Trusted midad por parte de los miembros
Para registrarse en la prime- y, en este caso, la primera tarifa Introducer. Solo “se podrán hacer de pleno derecho del foro”.
Agencias como ENISA proponen una metodología precisa

para medir sus capacidades
PASO 3 Cómo evaluar el nivel de madurez de un CSIRT…
Cada vez más organizaciones, todo de evaluación para los CSIRT organizaciones internacionales de dos partes principales. Por un
como FIRST y TF-CSIRT, así como nacionales de la UE, teniendo muy de CSIRTs. lado, una encuesta de autoeva-
los países con redes nacionales de en cuenta, además, los requisitos Respecto a sus desarrollos luación, que se puede realizar en
CSIRTs establecidas ofrecen, para de la Directiva NIS. Asimismo, si- más recientes, se espera la pu- línea, sobre 44 parámetros del
ayudar a empresas y administra- guiendo este método, fue adop- blicación de una próxima versión, modelo SIM3 divididos en cuatro
ciones públicas en su trabajo con tada en 2018 por la Red de CSIRT SIM3 v2, este año. Además, cabe categorías: organización, proce-
este concepto, documentos para de la UE. Además, SIM3 es la base destacar, que es la Open CSIRT sos, herramientas y recursos
incrementar la capacitación de Foundation la principal humanos de un equipo
personal, mejorar sus prácticas organización de ges- de respuesta a inci-
y su orientación. tión de este modelo. dentes. Estos deter-
Uno de los principales in- De hecho, Enisa des- minarán un nivel de
dicadores para conocer el nivel taca que, durante madurez básico, in-
de madurez de un equipo de todo el proceso de termedio o avanzado.
respuesta a incidentes es el evaluación de la ma- En este sentido, Enisa
modelo de madurez de Gestión durez de un equipo de recuerda que su modelo
de Incidentes de Seguridad (más respuesta a incidentes, “se requiere un nivel de evalua-
conocido como Modelo SIM3), un recomienda mantenerse en ción más alto que el requerido
esfuerzo impulsado por distintas estrecho contacto” con esta por el Esquema de Certificación
comunidades para medir cómo Fundación. de TI, ya que también tiene en
un equipo gobierna, documenta, cuenta los requisitos de la Di-
realiza y evalúa sus funciones. del Marco de Madurez Global para El método de Enisa CSIRT rectiva NIS. Por otro lado, dicha
La comunidad del Task Force CSIRTs del Global Forum on Cyber evaluación se complementa con
on Computer Security Incident Expertise (GFCE) e, incluso, es uti- El modelo de evaluación de una revisión por parte de ‘pares’,
Response Teams (TF-CSIRT), fue la lizado por la Nippon CSIRT Asso- Enisa se describe en el docu- es decir, de otros equipos den-
primera en utilizar SIM3 como re- ciation (NCA), que cuenta con más mento ‘Modelo de evaluación de tro de la red de CSIRTs, como una
quisito, en 2009, para la certifica- de 300 miembros en Japón. En la la madurez de ENISA CSIRT’, cuya forma de apoyo intracomunita-
ción (opcional) de sus miembros. actualidad, está siendo conside- última versión fue publicada en rio a fin de mejorar aún más la
Enisa lo usa como base de su mé- rado para su adopción por otras abril de 2019. El proceso consta madurez de todos los equipos.

C AV I L A C I O N E S S E G U R A S
Canción triste de Hill Street… ¡Tengan cuidado ahí fuera!
Aquellos lectores nacidos en las penúltimas décadas del siglo pa- presas, por ejemplo un “phishing a medida” o un “ransomware” bien
sado aún recordarán la serie policíaca “Canción triste de Hill Street”, inyectado, puede suponer un daño de reputación irreparable o, incluso,
con el “capitán Furillo” al mando, cuya trama giraba en torno a posibles sencillamente su desaparición. Los recursos disponibles de estas pe-
diferencias entre lo correcto y lo que funciona. queñas empresas no permiten la creación de su propio CSIRT. Desde
Justo un año después de esa serie, en 1988, la universidad Carnegie esta columna sólo puedo recomendar a empresarios y autónomos que
Mellon en Pennsylvania, Estados Unidos, acuñó, y patentó, el término contraten un servicio profesional de respuesta a incidentes digitales.
“Computer Emergency Security Team” (CERT). Este primer CERT fue la ¿Cómo elegir el adecuado? Aquí van algunas pistas para seleccionar el
respuesta a la aparición la noche del 2 al 3 de noviembre de 1988 del SOC adecuado:
pionero de los software maliciosos y auto-replicantes: el gusano de • Averigua el tamaño medio de sus clientes, no te interesa ser el
Morris. Desde entonces, la necesidad de disponer de un equipo pro- cliente “más diminuto de su cartera”.
fesional de intervención rápida frente a emergencias digitales sólo ha • Confirma cómo recogen inteligencia operativa de ataques reales
crecido y crecido. en tu sector y cómo interactúan con CSIRTs públicos autonómicos, na-
cionales y europeos.
Un detalle controvertido pero crucial es conocer • Es importante que reciban y compartan información operativa
al equipo que protegerá tu información: su con otros SOCs.
experiencia, su formación, su motivación y sus • Solicita información sobre su grado de automatización de res-
condiciones laborales y nivel de rotación. puestas frente a incidentes: en ocasiones aún estamos anclados en
la imagen de un analista junior pegado a una pantalla de monitoriza-
Por cierto, como el nombre de CERT está patentado, se recomien- ción sin pestañear, confiando en que sepa reaccionar frente a todas
da utilizar el término genérico “Computer Security Incident Response las alertas que el SIEM (“Security Incident and Event Monitoring”) de
Team” (CSIRT) para cualquier otro equipo de emergencias digitales que turno le muestre.
exista. Los CSIRTs iniciales han evolucionado hasta los centros de ope- • Un detalle controvertido pero crucial es conocer al equipo que
raciones de seguridad (SOCs) actuales, cuya misión es la monitorización protegerá tu información: su experiencia, su formación, su motivación y,
en tiempo real de los eventos de seguridad de una organización y la relacionado con este punto, sus condiciones laborales y nivel de rotación.
respuesta frente a posibles incidentes de seguridad. • Adicionalmente, infórmate sobre cómo pueden ayudarte en tus
Hoy en día hay cientos de CSIRTs por todo el mundo, de origen procesos de comunicación con clientes, fuerzas del orden, proveedores
privado y público, sectoriales, nacionales, multinacionales, etc. La or- y empleados, tras sufrir un ataque digital.
ganización que agrupa a más CSIRTs es FIRST (el “Forum of Incident • Finalmente, recomiendo que denuncies todo ataque exitoso. Tus
Response and Security Teams”), creado en Carolina del Norte en 1990 atacantes son delincuentes digitales.
como organización sin ánimo de lucro. Como bien decía el “capitán Furillo”, tengan cui-
El servicio de respuestas a incidentes es esencial para cualquier dado ahí fuera… y busquen un SOC que les funcione.
empresa conectada a Internet, independientemente de su tamaño.
Eurostat publicó en 2017 que el 66% de la población activa en la Unión Alberto Partida
Europea, unos 94 millones de personas, trabajan en pequeñas y me- Analista en Ciberseguridad
dianas empresas (pymes). Un ataque certero a cualquiera de estas em- [email protected]
@itsecuriteer en twitter
https://linkedin.com/in/albertopartida
Organizaciones y foros del sector ofrecen más de un centenar

de documentos y guías para impulsar los CERTs/CSIRTs
Existen un gran abanico de do- estudia de forma anual el estado de de los documentos más importantes funcionamiento especialmente en-
cumentos e informaciones sobre los SOC, contemplan los CSIRT como es, sin duda, la ‘Guía de Creación de tre las administraciones públicas;
buenas prácticas, instrucciones, una de las principales capacidades un CERT/CSIRT’, del Centro Criptoló- pero, también, para los de ámbito
guías y recomendaciones para que de estos. gico Nacional (CCN), perteneciente a privado.
los responsables de los equipos de la serie CCN-STIC-800, que fue crea- En ella, se desarrolla la estrategia
CERTs y/o CSIRTs dispongan de la da específicamente para cumplir general, las experiencias y ámbitos
suficiente información y de marcos con lo establecido en el Esquema de actuación de los CERTs/CSIRTs a
de referencia probados para des- Nacional de Seguridad (ENS). nivel nacional, la normativa, buenas
empeñar con criterio su función. La guía, aunque fue publicada en prácticas y legislación aplicable, así
Curiosamente, el mercado aún no septiembre de 2011, sigue siendo como la formación e información
está tan maduro como para gene- un documento de referencia, que necesaria y las herramientas que
rar informes de análisis del negocio ofrece una visión global de todas pueden ser usadas.
que generan los CERT/CSIRTs, ya las implicaciones, no sólo tecno- Igual de importante en este ám-
sea como clientes de la industria De cualquier forma, la informa- lógicas, que conlleva la puesta en bito es la más reciente versión de
de ciberseguridad o prestando ser- ción para poner en marcha un CERT/ marcha de estos equipos, tanto en la ‘Guía Nacional de Notificación y
vicio. Algunos como Exabeam, que CSIRT es abundante. En España, uno su diseño como en el desarrollo y Gestión de Incidentes Cibernéti-

A pesar de sus más de 30 años, los equipos aún deben evolucionar mucho
El futuro de los CERTs/CSIRTs pasa por reglas que

generen más confianza y mayores capacidades
Todos aquellos que trabajan en la res- estado a otro, por lo que el papel y el alcance te por naturaleza, subrayando el desarrollo
puesta a incidentes y los esfuerzos de in- de acción de los CSIRTs también pueden variar de este tipo de capacidades en las fuerzas
tercambio de información saben que queda de un país a otro, existiendo un riesgo de frag- armadas. Y es que éstas “están inmersas en
mucho por hacer. Si bien hay un gran trabajo mentación en términos de capacidades. De he- un proceso de digitalización similar a la ob-
en progreso en esta área de seguridad de la cho, en un reciente encuentro organizado por servada en el mundo civil ya que, cada vez
información, uno de los documentos más am- Kaspersky, el Jefe de la Unidad de Infraestruc- más, hacen uso de herramientas tecnológi-
plios e interesantes en cuanto a la evolución y tura y Servicios de Seguridad de Enisa, Evan- cas similares y, por lo tanto, se enfrentan
actuales tendencias que rodean a los CSIRTs y gelos Ouzounis, comentó que, en el caso de prácticamente a los mismos problemas de
las capacidades de respuesta a incidentes (IR) seguridad”. Asimismo, el documento destaca
lo ha publicado Enisa, siendo éste uno de los que, en algunos estados miembros de la UE,
pocos dedicados a analizar la evolución y ten- el Centro Nacional de Seguridad Cibernética
dencias titulado ‘Estudio sobre el panorama ha absorbido los CSIRTs nacionales o guber-
de los CSIRTs e IRs en Europa 2025’. namentales, como parte de una evolución
Para realizarlo, dichas tendencias y ha- natural de los mismos.
llazgos se identificaron mediante el mapeo
de CSIRTs nuevos y menos visibles creados IoT, motor de cambios
recientemente y mediante la investigación
de políticas europeas y su impacto fuera de El sector privado y los fabricantes de
Europa. Así, se identificaron 81 nuevos CSIRTs dispositivos digitales también están desem-
y se analizó un corpus de 36 documentos de los CSIRTs “es necesario seguir desarrollando peñando un papel cada vez más importante
política, legislación y estrategias relacionadas medidas de acción en caso de grandes crisis, en la respuesta a incidentes. Los fabricantes
con el desarrollo de capacidades de respuesta aumentando la colaboración y la cooperación de dispositivos están desarrollando sus pro-
a incidentes. con el sector privado especialmente, para com- pios CSIRTs, a veces llamados PSIRT (Product
Entre sus conclusiones destaca que uno de partir información de forma regular”. Añadió, Incident Response Teams), como IBM, Cisco,
los principales retos que marcarán la evolución además, que se está trabajando para armoni- Huawei, etc. La idea se originó a partir de que
de los CSIRTs y los IRs, especialmente dentro de zar las capacidades de ciberseguridad de los muchos expertos en este campo se dieran
Europa, es el creciente número de los sectoria- estados miembro y reducir lo máximo posible cuenta de que los CSIRTs en sí no aunaban
les y la evolución de un modelo vertical como la fragmentación existente. completamente las funciones y responsabili-
complemento al modelo horizontal y centrali- dades que debería de tener un PSIRT. Tal es
zado. De hecho, esta es una de las principales Evolución natural así que, incluso, FIRST publicó a principios de
prioridades de la actualización de la Directiva este año un nuevo borrador sobre el marco de
NIS, en cuya revisión se ha detectado que el El documento de Enisa destaca también, trabajo de este tipo de servicios bajo el títu-
grado de madurez de las capacidades nacio- cómo los CSIRT y los equipos de respuesta a lo ‘Product Security Incident Response Team
nales de respuesta a incidentes varía de un incidentes (IR) están cambiando rápidamen- (PSIRT) Services Framework Version 1.1’. En él,
se indica que “en la creación del marco de
trabajo sobre los servicios de un CSIRT quedó
cos’, editada con “el objetivo en el intercambio de informa- UE’, tras la transposición de la claro que los PSIRTs brindan servicios y operan,
de ofrecer un marco de refe- ción. Los más recientes, publi- Directiva NIS, o su documento por lo general, en entornos muy diferentes”, y
rencia consensuado por parte cados a principios de este año, ‘Comunicaciones seguras en- establece que “un PSIRT es una entidad dentro
de los organismos nacionales se destinan a proporcionar una tre grupos’, publicado como de una organización que, en esencia, se centra
competentes en el ámbito de hoja de ruta para fomentar la punto de partida para la mejo- en la identificación, evaluación y disposición
la notificación y gestión de cooperación entre los CSIRTs ra de la cooperación operativa, de los riesgos asociados con las vulnerabili-
incidentes de ciberseguridad, y el poder judicial en la lucha la preparación y el intercambio dades de seguridad dentro de los productos,
alineándose con la normativa contra el ciberdelito, como de información. incluidas las ofertas, soluciones, componentes
española, transposiciones eu- el documento titulado ‘Una También, hay organizacio- y/o servicios que una organización produce o
ropeas, así como documentos descripción general sobre nes internacionales que han
vende”. Además, “un PSIRT correctamente im-
emanados de organismos su- la mejora de la cooperación generado informes de gran
plementado no es un grupo que opera de for-
pranacionales que pretenden técnica entre CSIRTs y LE’. A él interés, como la Carnegie Me-
ma independiente, sino que está conectado al
armonizar la capacidad de se le unen dos guías de 2019, llon, creadora del primer CERT,
desarrollo de los productos de la organización”.
respuesta ante incidentes de que describen el modelo y la que dispone, entre otros, de
Y, aunque este tipo de capacidades vie-
ciberseguridad”. metodología de madurez de un amplio documento de más
ne siendo ampliamente tratado desde hace
En el ámbito de la UE, Enisa la Agencia para los CSIRTs, así de 300 páginas, de 2001; y el
un par de años, la tendencia es que “este
dispone de más de 70 informes como otros con una proyección CERT-EU, que generó un docu-
tipo de oferta se expanda”, a medida que
para mejorar las funciones de más amplia, como el ‘Informe mento a mediados de año para
la IoT va ganando terreno en muchos de los
respuesta a incidentes, la pre- del estado de desarrollo de hacer frente a las ciberamena-
sectores de la sociedad, según concluye el
paración del equipo en su con- la respuesta a incidentes de zas más frecuentes durante la
informe de Enisa. 
junto, así como la cooperación los estados miembros de la pandemia, entre otros.

Hay cerca de 60, tanto de organismos públicos como de empresas privadas
España, uno de los países que más apuestan por los equipos
de respuesta cibernética
Con 54 equipos registrados en la Agencia de Ciberseguridad de la UE, cional donde somos referencia cuantitativa, ya que en First, la principal
España es el país europeo con más equipos de respuesta a incidentes asociación del mundo de CSIRT, somos el tercer país con mayor número
cibernéticos, frente a los 51 de la República Checa, los 47 de Alemania, de miembros, tras EE.UU. y Japón. Además, desde 2018, impulsado por el
los 40 de Francia o los 26 del Reino Unido. No es el único foro interna- CCN, también es muy activo el foro CSIRT.es con más de 40 integrantes.
PRINCIPALES EQUIPOS DE RESPUESTA A INCIDENTES ESPAÑOLES

• ACK CERT • CSIRT-CV (Valencia) • Grupo ICA CiberSOC CERT • Madrid Digital (CSIRT) • Santander Global CERT
• Aiuken CERT • CSUC CSIRT • Guardia Civil - • Mapfre-CCG-CERT • SCC CERT
• Anadat CERT (Consorcio de Servicios Ciberinteligencia y • Minsait CERT (Centros Informáticos
• Andalucía CERT Universitarios de Cataluña) Ciberterrorismo • MNEMO-CERT Especializados)
• Auren CERT • Deloitte Cyber SOC CERT • Guardia Civil - • Mossos d’Escuadra • Secure&IT (S&IT CERT)
• Banco Sabadell CERT • DXC Iberia CSIRT Dpto. de Delitos • NestleSOC • Seidor CERT
• Basque Cybersecurity • Entelgy Innotec CSIRT Telemáticos • Nunsys-CERT • Sergas CERT
Centre CERT (BCSC) • ERIS-CERT (Sothis) • Iberdrola Cyber-Security • Oesía CERT (Serv. Gallego de Salud)
• BBVA CERT • Ertzaintza SCDTI Incident Response Team • OSSI-CERT SERMAS • SIA-CEC CERT
• CaixaBank CSIRT • esCERT-UPC (Universidad • IECISA CERT (Serv. Madrileño de Salud) • Telefónica CSIRT
• Catalonia CERT Politécnica de Cataluña) (Informática El Corte Inglés) • Policía Nacional • UAM CERT
• CCN-CERT • ESP DEF CERT (Mando • INCIBE-CERT • Prosegur CERT (Universidad Autónoma
• Cipher CERT Conjunto de Ciberespacio) • INDITEX CSIRT • RedIRIS de Madrid)
• CNPIC • Eulen-CCSI-CERT • Ingenia eSOC • Renfe CERT • UC3M CERT
• CSA Global CSIRT • Everis CERT • Intec CERT • Repsol CERT (Universidad Carlos III
• CSIRT CARM (Murcia) • Getronics CERT • ITS CERT • S2 Grupo CERT de Madrid)
• CSIRT.gal (Galicia) • GMV CERT • Light Eyes CERT • S21sec CERT • Versia CERT /CSIRT
CERTs / CSIRTs ESPAÑOLES EN LOS PRINCIPALES FOROS NACIONAL E INTERNACIONALES*
ENISA FIRST TRUSTED INTRODUCER CERT CSIRT.es

(Carnegie Mellon University)
ACKCERT ACKCERT
ACK3 CERT
ACN_IBE_CSIRT
(Accenture. Candidato)
CERT Aiuken CERT Aiuken
Anadat CERT
Andalucía CERT Andalucía CERT Andalucía CERT
Auren CERT
Grupo Banco Sabadell
CERT
BBVA CERT BBVA CERT BBVA CERT
BCSC Basque Cybersecurity Basque Cybersecurity
BCSC www.first.org/members/ BCSC
teams/bcsc
Centre CERT Centre
· CaixaBank CSIRT
CaixaBank Team CSIRT CaixaBank CSIRT CaixaBank CERT CaixaBank CSIRT
· CaixaBank Team CSIRT
CSIRT CARM
(Región de Murcia)
Cast Info CERT
· CATALONIAN-CERT
Information Security Cen-
· CESICAT-CERT Catalonia CERT Catalonia CERT CESICAT-CERT
ter of Catalonia
· Catalonia CERT


Cryptology National
CCN-CERT CCN-CERT CCN-CERT Center Computer Emergency CCN-CERT
Response Team
· Cipher CERT
Cipher CERT Prosegur CERT Prosegur CERT
· PROSEGUR CERT
CNPIC
CSA-CSIRT CSA-CSIRT Global CSIRT (CSA)
· CSIRT-CV Comunidad Valenciana
CSIRT-CV CSIRT-CV CSIRT-CV
· CSIRTCV CERT
CSUC-CSIRT
(Consorcio de Servicios
CSUC-CSIRT CSUC-CSIRT
Universitarios de Cataluña)
(Consorcio de Servicios (Consorcio de Servicios
www.trusted-introducer.org/
Universitarios de Cataluña) Universitarios de Cataluña)
directory/teams/ica-sys-
cibersoc.html
Deloitte EDC Deloitte EDC Deloitte EDC Deloitte CyberSOC CERT Deloitte EDC
DXC Technology Iberia DXC Technology Iberia Security Competence Cen-
CSIRT CSIRT ter CERT (SC2-CERT)
ENTELGY-CSIRT InnoTec Entelgy Innotec Security
Entelgy-CSIRT Entelgy Innotec CSIRT Entelgy Innotec CERT
System CSIRT
Equipo de Respuesta a
ERIS-CERT ERIS-CERT ERIS-CERT Incidentes – Sothis ERIS- ERIS-CERT
CERT
Ertzaintza SCDTI
CERT Mando Conjunto de
ESP DEF CERT ESP DEF CERT ESP DEF CERT ESP DEF CERT
Ciberdefensa
Eulen-CCSI-CERT Eulen-CCSI-CERT Eulen Seguridad Eulen-CCSI-CERT
Everis Aerospace, Defense
everis CERT everis CERT everis CERT everis CERT
& Security
CSIRT.gal CSIRT.gal (Galicia) CSIRT.gal (Galicia)
Getronics CERT
GMV Computer Incident
GMV-CERT GMV-CERT GMV-CERT
Response Team
Guardia Civil
Ciberinteligencia y
Ciberterrorismo
Guardia Civil
Departamento de Delitos
Telemáticos
· CiberSOC
· ICA SYS CiberSOC ICA Sistemas y Seguridad
ICA SYS CiberSOC Grupo ICA CERT ICA SYS CiberSOC
· ICA Sistemas y Seguridad CiberSOC
CiberSOC
Iberdrola Cyber-Security
Iberdrola CSIRT IBERDROLA CSIRT
Incident Response Team
National Cybersecurity
INCIBE-CERT INCIBE-CERT INCIBE-CERT INCIBE-CERT
Institute of Spain (INCIBE)
Informática El Corte Inglés
IECISA CSIRT (Candidato)
(IECISA CERT)
eSOC Ingenia eSOC Ingenia Ingenia eSOC
Intec Cert

ITS Industrial
ITS-CERT ITS-CERT ITS-CERT ITS-CERT
Cybersecurity CERT
ITXCSIRT ITXCSIRT (Inditex)
LE-CERT LE-CERT
(Light Eyes CERT) (Light Eyes CERT)
CCG de MAPFRE
Equipo de Respuesta a
MAPFRE-CCG-CERT MAPFRE-CCG-CERT MAPFRE-CCG-CERT Mapfre-CCG-CERT
incidentes de Seguridad de la
Información
Minsait CSIRT Minsait CSIRT Minsait CSIRT Minsait CERT Minsait CSIRT
Mnemo-CERT MNEMO-CERT
UCIBER-Mossos d’Esquadra
NestleSOC
NS-CERT (Nunsys) NS-CERT (Nunsys) Nunsys CERT (NS-CERT) NUNSYS-CERT
CERT OESÍA CERT OESÍA Oesia Networks S.L. Cert Oesía
OSSI-CERT SERMAS
(Oficina de Seguridad de
Sistemas de Información –
Servicio Madrileño de Salud)
P3rseus CERT
Policía Nacional
RedIRIS RedIRIS RedIRIS RedIRIS
RENFE RENFE RENFE CERT
REPSOL CERT REPSOL CERT Repsol CERT
S2 Grupo CERT S2 Grupo CERT S2 Grupo CERT S2 Grupo CERT S2 Grupo CERT
· S21sec CERT
S21sec CERT S21sec CERT S21sec CERT S21sec CERT
· S21sec Labs
Santander Global CERT Santander Global CERT Santander Global CERT
Specialist Computer
Centres SL SCCes-CERT
(SCC Spain)
Secure and IT Proyectos
(S&IT CERT)
Seidor CERT Cybersecurity
Operations Center
Sergas_CERT
(Servicio Gallego de Salud)
SIA-Cybersecurity Expert
SIA-CEC CERT SIA-CEC CERT SIA-CEC CERT
Center CERT
TBSSecurity-CERT
· TEFCSIRT
Telefónica-CSIRT TEFCSIRT CSIRT Global Telefónica
· Telefónica-CSIRT
CERT-UAM
CERT-UAM
(Univ. Autónoma de Madrid)
CERT UC3M
CERT-UC3M CERT-UC3M CertUC3M
(Univ. Carlos III de Madrid)
esCERT UPC
esCERT UPC esCERT-UPC esCERT-UPC
(Univ. Politécnica de Cataluña)
Versia-CSIRT Versia-CSIRT Versia-CERT
* Recopilación actualizada a fecha de 30/10/2020
* Las denominaciones recogidas se atienen a lo reflejado en los listados de cada apartado, independientemente de la categorización con la que está registrados. Son meramente informativas.

Así opinan ORGANIZACIONES INTERNACIONALES DE REFERENCIA
CARNEGIE MELLON UNIVERSITY–

SEI
James Lord
1.
Gerente Técnico de Operaciones
de Seguridad en la División CERT
“La respuesta a incidentes está

convirtiéndose en un área más,
más que un simple enfoque
como pasaba en muchas empre-
¿Le parece que los CERTs / CSIRTs sas. El Software Engineering Institute (SEI) ahora está
comprometido, principalmente, con los centros de ope-
están evolucionando raciones de seguridad y las agencias nacionales de ci-
berseguridad. En este sentido, la comunidad también
adecuadamente? ha pasado de funciones proactivas y reactivas a áreas
de servicio”.
De cara a 2021, “la importancia de la Infraestructura
Crítica (CI) para las naciones continuará creciendo. El SEI
participa a nivel mundial con socios y partes interesadas
en la identificación de CI y luego en definir capacidades
2.
para Identificar, Proteger, Detectar, Responder y Recupe-
rar, principalmente a través de CERTs / CSIRTs del sector”.
TF–CSIRT TRUSTED INTRODUCER

Silvio Oertli
¿Cuál es el principal reto Presidente
para 2021?
“Los diferentes CSIRTs de nuestra
comunidad han adoptado muy
bien las nuevas circunstancias y
las nuevas amenazas. Sin duda,
fue un desafío adaptar los pro-
cesos y organizar los equipos de
3.
acuerdo con la situación. El contacto social entre los
CSIRTs individuales es un poco limitado, pero esto no
afecta al intercambio de información.
Los ciberataques a las organizaciones son más sofisti-
cados hoy en día que hace 20 años. Debido a que cada
organización tiene un mejor conjunto de herramientas
técnicas, los ataques utilizan el factor humano para te-
¿Cómo se podría, en concreto, ner éxito, por lo que muchos de ellos comienzan con
phishing o ingeniería social. Y los atacantes están uti-
mejorar la compartición lizando circunstancias como la Covid-19 para preparar

campañas en su contexto. El gran desafío ahora y en
de información entre 2021 será controlar el factor humano. Por lo tanto, de-
bemos llamar la atención de la gerencia para capacitar
CERTs / CSIRTs? al personal de acuerdo con las amenazas de phishing”.

FIRST OTAN
Serge Droz Emmanuel Bouillon
Presidente Jefe de Operaciones de Seguridad Cibernética en el
Centro de Ciberseguridad
“FIRST se complace en ver la ma-
yor atención que los CSIRTs están “En 2016, los Jefes de Estado y de Gobierno alia-
ganando a nivel mundial. Esto se dos reconocieron el ciberespacio como un ámbito
refleja en el aumento de nuestros de operaciones en el que la OTAN debe defender-
integrantes y la profesionalidad de se tan eficazmente como lo hace en aire, tierra y
los equipos que solicitan ser miem- mar. Esta decisión activó una gama completa de
bros. Empresas y estados se están dando cuenta de la actividades de planificación, incluida la Transformación del Comando
importancia de los CSIRTs para mantener seguros a los Aliado, para prepararse para la futura lucha contra las ciberamenazas
usuarios de Internet y, por lo tanto, a Internet. Por eso, aprovechando las oportunidades generadas por las nuevas tecnologías.
los CSIRTs de todo el mundo deben colaborar para ga- Los expertos de la agencia apoyan a ACT en estos esfuerzos.
rantizar la seguridad de la Red. El clima político actual, El Centro de Seguridad Cibernética de la OTAN juega un papel cen-
así como una política equivocada amenazan esto y hacen tral en el intercambio de información, que es primordial para Allied
que sea menos segura”. CERTs. Somos un centro para defensores cibernéticos técnicos en toda
la Alianza. Además, nuestro equipo intercambia información perió-
dicamente con sus pares en el CERT-EU. Es importante destacar que
ENISA estamos colaborando estrechamente con la industria. Todos recono-
Edgars Taurins cemos que aprender unos de otros es la mejor manera de responder
Experto de ENISA a las amenazas similares a las que todos enfrentamos. El Centro de
Seguridad Cibernética de la OTAN también participa activamente en
“La Agencia de la Unión Europea el mundo académico.
para la Ciberseguridad (Enisa) ha En definitiva, la OTAN se adapta continuamente a las ciberamenazas
apoyado a los CSIRTs durante más emergentes centrándose en el intercambio de información. Cuando
de 15 años y cooperado con ellos trabajamos juntos y aprendemos unos de otros, somos más fuertes”.
no solo en Europa, sino también
en todo el mundo. Actualmente,
tenemos 555 equipos registrados. Los CSIRTs están evo- APCERT (plataforma de colaboración)
lucionando de manera adecuada y rápida y la Agencia Mohd Shamir Hashim
los ayuda a ello. De hecho, como uno de los proyectos Vicepresidente Malasia Ciberseguridad
de este año, estamos analizando las capacidades frente
a incidentes de CSIRTs de sectores concretos, como son “Mantenerse al día con el avance de la tecnolo-
los de Aviación y Energía. El objetivo de este estudio es gía de Internet es una tarea abrumadora para
analizar sus capacidades específicas, así como los cam- los CERTs / CSIRTs. Debido al enfoque y énfasis
bios recientes generados en el contexto de la Covid-19 de cada país, las capacidades de los CERTs para
y la próxima revisión de la Directiva NIS. Los resultados mitigar los incidentes de ciberseguridad varían.
del estudio cubrirán el desarrollo de la madurez de la Algunos, principalmente en los países desarro-
respuesta a incidentes sectoriales, los servicios prestados, llados y en desarrollo, pueden manejar bien los incidentes, y hay mu-
así como los desafíos y lagunas identificados. Esperamos chos que todavía están luchando por ello. Esa es una de las razones por
tenerlo terminado a final de año. las que se forman plataformas de colaboración CERTs internacionales,
En 2006, Enisa publicó la Guía de configuración de CSIRT, como APCERT, para ayudar a los miembros a desarrollar las capacida-
que describe el proceso de configuración de un CSIRT des necesarias para manejar las amenazas a la seguridad cibernética.
desde todas las perspectivas relevantes y este año esta- Hoy en día, las redes están interconectadas y la fuerza de dicha red es
mos desarrollando directrices, disponibles a finales de tan buena como su eslabón más débil.
año, para ayudar a los equipos en aspectos concretos Por eso, la reacción a las ciberamenazas debe ser rápida. Es vital que
como el ciclo de mejora y el enfoque basado en resulta- los equipos técnicos de los CERTs puedan comunicarse directamente
dos, así como actuando como repositorio de información entre sí, porque hablan el mismo idioma. Pasar por las líneas de comu-
para el trabajo relacionado de Enisa en capacitaciones nicación internacionales gubernamentales habituales no hará posible
técnicas en particular”. una comunicación rápida”.

Así opinan CSIRTs DE REFERENCIA – ESPAÑA
CENTRO CRIPTOLÓGICO NACIONAL–CCN

Carlos Abad
Jefe de Área de Sistemas de Alerta y Respuesta a
1.
Incidentes
CCN CERT
 “Se están adaptando adecuadamente,

están cambiado su rol a un estadio menos
operacional y más estratégico, se están
¿Le parece que los CERTs / CSIRTs convirtiendo en referentes para los Centros
de Operaciones de Ciberseguridad en aras de manejar la cibera-
están evolucionando menaza, aportando procedimientos, soluciones y conocimiento

no solo en la gestión de incidentes sino también en velar por la
adecuadamente? coordinación e intercambio dentro de la comunidad propia de

cada uno de ellos.
No obstante, no está resuelta la coordinación entre SOCs y CERTs
por lo que se tiene un claro peligro de descoordinación donde se
penalice el intercambio y la respuesta no sea global desde una
visión de conjunto. Por ello es necesario que las relaciones de
2.
coordinación estén claras desde el principio”.
 “Si los SOCs son la vigilancia y la respuesta, los CERTs / CSIRTs
son el expertise, el conocimiento y la guía, el faro que enseña el
camino a seguir. El principal reto es disponer de una plataforma
común que sirva de punto de encuentro para toda la comunidad,
estamos acostumbrados a tener soluciones y a integrarlas aho-
ra toca ponerlas a disposición de la comunidad a través de una
¿Cuál es el principal reto única plataforma consensuada por todos los actores implicados.
El reto aquí es conseguir una gestión de la ciberseguridad única
para 2021? y eficiente, además de trasversal a todos los ecosistemas con in-
dependencia del origen público (con todas sus variantes de AGE,
CCAA y EELL) o privado”.
 “Haciéndolo todo fácil, sencillo y simple... automatizando pro-
cesos... en definitiva contando con una Plataforma Común. Y esto
acompañado, por supuesto, de una mayor implicación a la hora
3.
de compartir de todas las partes, no solo de los CERTs de referen-
cia o de los más veteranos.
Por desgracia, principalmente en el sector privado, existen muchas
reticencias a compartir información técnica de los ciberataques,
lo que penaliza la respuesta que se pueda dar a nivel nacional a
algunas amenazas. Evidentemente la necesidad de notificación
¿Cómo se podría, en concreto,

expresada en el RDL 12/2018 se ha quedado un poco corta”.
mejorar la compartición
de información entre
CERTs / CSIRTs?

INSTITUTO NACIONAL DE MANDO CONJUNTO DEL
CIBERSEGURIDAD–INCIBE CIBERESPACIO–MCCE
Marcos Gómez Hidalgo Emilio Rico Ruiz
Subdirector Servicios INCIBE CERT Teniente Coronel Analista en la Fuerza de
Operaciones
 “Sí, razonablemente sí.
Los servicios han evolucio-  “Los CERTs / CSIRTs están poten-
nado creciendo en capacida- ciando sus capacidades para predecir,
des en todo lo que requieren detectar, prevenir y responder, y el re-
ahora sus públicos objetivos: sultado es que cada día están mejor
más detección temprana, más notificaciones hacia preparados para contrarrestar los problemas de seguridad
posibles víctimas y afectados de incidentes, ma- y para ofrecer una respuesta y una resolución rápida de los
yores capacidades para gestionar y dar soporte a incidentes. Además, las organizaciones nacionales e interna-
más incidentes y a su sofisticación, mejores herra- cionales (CSIRT.es, FIRST, Terena...) están contribuyendo de
mientas, etc. Además, la industria también se ha manera muy positiva al desarrollo y divulgación de buenas
ido pertrechando con nuevas capacidades de inte- prácticas y creando una comunidad de CERTs / CSIRTs cada
ligencia, vigilancia digital, etc., que están acompa- vez más activa y más comprometida”.
ñando muy bien a los CERTs. En INCIBE llevamos  “Las amenazas y los actores que hay detrás de ellas, si-
innovando en estos campos desde la creación de guen evolucionando constantemente. El reto consiste en no
nuestro CERT en 2007”. perder el paso y evolucionar a ese mismo ritmo. Y dado que
 “Asentar bien todas estas capacidades, y au- cada vez es más creciente el volumen y la complejidad de las
mentar aquellas que van dirigidas a la prevención alertas, las organizaciones van a tener que cambiar algunos
y detección temprana, para evitar y mitigar el im- enfoques de seguridad, dando un impulso decidido a la de-
pacto negativo de los incidentes en los afectados y tección proactiva de estas amenazas, incorporando técnicas
en general en la confianza digital. Es un reto global y personal experto en Threat Hunting y evolucionando hacia
pues con la madurez de más equipos de respuesta sistemas automatizados de alerta-respuesta”.
a incidentes se conseguirá una mayor ciberresilien-  “El modelo de intercambio y la compartición de infor-
cia. En INCIBE es un reto que renovamos todos los mación entre CERTs / CSIRTs se basa en tres aspectos: unos
años con mucha ilusión”. procedimientos comunes, unas herramientas interoperables
 “Los CERTs y CSIRTs vienen colaborando e inter- y una confianza mutua entre las organizaciones. Se ha avan-
cambiando información, desde hace mucho tiempo. zado mucho en todas ellas. Disponemos de taxonomías,
Para eso están las redes de confianza de FIRST, Trus- usamos muchas veces las mismas herramientas, nuestros
ted Introducer y la CSIRT Network de la NIS Direc- métodos son similares y se comparte valiosa información
tive. La Ley 12/2018 establece un nivel de coopera- acerca de los incidentes que sufrimos. También hemos avan-
ción técnico entre los diferentes CERTs de referencia zado mucho en la confianza mutua, pero es aquí donde
y las distintas autoridades competentes. Además, todavía se necesita seguir sumando esfuerzos para hacer
han aparecido, en los últimos años, herramientas más eficiente la respuesta a los incidentes. La amenaza más
muy eficaces de intercambio de dicha información grande a un intercambio efectivo de la información es que
técnica como MISP, que en el caso de INCIBE se lla- acabemos ‘comercializando’ el ciberespacio, es decir, hay
ma Ícaro. Es fundamental contar con elementos téc- que evitar que una posible ventaja comercial competitiva
nicos, pero también con la voluntad de compartir”. derive en un freno a la comunicación y a la compartición”.

Así opinan CERTs / CSIRTs españoles
1. 2. 3.
¿Le parece que los ¿Cómo se podría,
CERTs / CSIRTs están ¿Cuál es el principal en concreto, mejorar
evolucionando reto para 2021? la compartición de
adecuadamente? información entre
CERTs / CSIRTs?
ACKCENT  “La asignatura pendiente de los CERTs sigue siendo el poder
Andreu Mont generar la detección temprana de amenazas y la compartición
Chief Services Officer de información con otros centros, así como la generación de IoCs
de forma rápida e inmediata y a poder ser preventiva. Creemos
 “La celeridad con la que evolucionan que con la evolución de las amenazas inmediatas que ya estamos
las amenazas y el aumento de la comple- sufriendo en este año, el próximo será todavía peor y una mayor
jidad de los incidentes constituye un reto colaboración, velocidad, agilidad, y precisión serán necesarias
importante para los CERTs. Un aspecto para todos los CERTs”.
clave a nivel organizativo lo constituye la  “Deberíamos implementar mecanismos de anonimización
rapidez en la respuesta a incidentes. Aun- para evitar comprometer las fuentes de conocimiento de las
que en los últimos años ha habido una evolución, todavía hay amenazas y, a la vez, ser conscientes de que la colaboración en-
recorrido hacia estructuras más ágiles y flexibles”. tre los centros de alerta temprana es el único camino para po-
 “Los retos a los que se enfrentan los CERTs son, a grandes der combatir eficientemente las amenazas y las mutaciones del
rasgos, los mismos a los que se enfrentan la mayoría de las malware que se nos avecinan”.
organizaciones. Por un lado, la celeridad del cambio a todos
los niveles: tecnologías, amenazas, complejidad...; por otro
lado, el de la gestión de la entropía en entornos de alta in- AUREN
certidumbre, especialmente de los mercados y de la sociedad Josep Salvador Cuñat
en general (sobre todo en momentos como los que estamos Socio de Consultoría en el Área de Seguridad
viviendo)”. de la Información
 “Tradicionalmente, éste ha sido y continúa siendo uno de los
puntos clave de los CERTs / CSIRTs. En un entorno en el que la  “En general se ha notado una mayor
mayoría de las amenazas provienen de la red, los CERTs debe- madurez en cuanto a servicios y disponi-
rían organizarse mejor en red, y diseñar y ejecutar estrategias bilidad de actores durante estos últimos
conjuntas en esa dirección”. años frente a los pocos CSIRTs iniciales,
solo disponibles para grandes compañías.
No obstante, es importante que el usuario final distinga entre un
AIUKEN CYBERSECURITY CSIRT y un SOC, siendo el primero un equipo de respuesta enfo-
Juan Miguel Velasco cado plenamente a la seguridad de la información y el segundo
Fundador y CEO un concepto más amplio. Además, CERT es una marca registrada
por Carnegie Mellon, si bien es usado como sinónimo de CSIRT”.
 “La evolución de los Centros de Emer-  “Por un lado, los canales para interactuar con el receptor final
gencia y Respuesta Temprana está más del servicio, que deben ir más allá de un mero boletín o soporte por
orientada hacia la difusión de informa- correo electrónico, así como que los CSIRTs externos puedan de ver-
ción y de políticas de seguridad y de pre- dad dar respuesta a la organización cliente ante un ciberincidente,
vención que a la verdadera compartición lo cual requiere también cierta capacitación o enlace con la organi-
de datos para prevenir emergencias y se- zación receptora del servicio para un resultado realmente eficaz”.
ría mucho más práctico que todos empezáramos a mentali-  “Debe fomentarse sin duda la estandarización del formato de
zarnos de que los buenos debemos colaborar tanto como los la información y fijarse un canal común para la iniciativa pública
malos, porque si no, no conseguiremos avanzar en la defensa y privada, evitar los recelos entre estos sectores y colaborar acti-
de las administraciones de los clientes y las personas”. vamente en la detección de nuevos vectores de ataque”.

CERTs / CSIRTs españoles Así opinan
EVERIS  “En Santander creemos firmemente que el intercambio de

Miguel Ángel Thomas inteligencia sobre ciberamenazas es clave en la lucha contra
Socio Responsable del Área de Ciberseguridad el cibercrimen. Participamos e impulsamos varios grupos de
confianza a nivel sectorial e internacional, destacando nuestra
 “El incremento en las amenazas y los ata- estrecha colaboración con autoridades españolas, Europol, y
ques dirigidos a organizaciones, combinado el impulso de grupos de confianza a nivel europeo. En nues-
con una mayor exposición de los usuarios y ac- tra experiencia, la compartición franca, ágil y transparente
tivos han potenciado la evolución y crecimien- aporta claros beneficios para todos los involucrados, ya sea
to de los equipos CSIRT hacia una respuesta en la respuesta a amenazas comunes como a incidentes de
rápida cada vez más coordinada, si bien es ne- la cadena de suministro. Aún hay espacio para mejorar en al-
cesaria más concienciación referente a las ciberamenazas emergentes gunos ámbitos, como la colaboración pública-privada, pero
en sectores tradicionales y en los nuevos sectores expuestos (ej. IoT)”. se están haciendo grandes avances”.
 “El cambio producido por la situación actual presenta un nuevo
paradigma de ciberseguridad, donde los usuarios han pasado de un
modelo centralizado en oficinas a un modelo distribuido, haciendo BBVA
uso continuo de redes no ‘securizadas’ y dificultando las tareas de Alberto Rey García
prevención, monitorización y respuesta, requiriendo la exposición Director Ejecutivo de Operaciones Globales de
a Internet de servicios anteriormente solo internos de las organiza- Ciberseguridad
ciones. La adaptación de forma segura a este nuevo modelo será
uno de los principales retos del nuevo año”.  “La tendencia a implantar modelos
 “Estableciendo canales de confianza personales entre los equipos de servicios gestionados que sustituyan
de respuesta de las organizaciones, que garanticen el uso adecuado a las tradicionales estructuras de sub-
y la confidencialidad de la información sensible intercambiada es contratación es ya imparable, porque
un punto fundamental para motivar a las organizaciones a realizar soluciona muchos de los retos históri-
estos intercambios de forma oportuna y efectiva, con el objetivo cos del mercado de ciberseguridad y, singularmente, los del
único de prevenir y contrarrestar las nuevas amenazas que afectan difícil acceso al talento y la falta de escalabilidad de los equi-
a todas las organizaciones. pos dedicados a un solo cliente. La mayoría de las compañías
En la actualidad, se está desplegando la Estrategia de Cibersegu- apuestan por ese modelo y esa es, en mi opinión, la dirección
ridad Nacional; dentro de ésta aparece la figura del Foro Nacional adecuada, porque ayuda a contener costes sin comprometer
de Ciberseguridad que para 2021 deberá tomar mucho peso. Sería calidad y mejorando el acceso a información de inteligencia.
interesante ver cómo integrar la figura de los CSIRTs”. Dado este contexto, esperamos que en los próximos años/me-
ses continúe desarrollándose una evolución positiva del papel
de los proveedores de servicios gestionados, que permita al-
BANCO SANTANDER canzar el grado de madurez óptimo como para adaptar sus
Thomas William Harvey ofertas a las necesidades particulares de sus clientes actuales
Global Head of Respond y potenciales de una forma ágil y flexible”.
 “El reto principal es claramente limitar el impacto de los
 “Sí. La creciente frecuencia y magnitud de incidentes más prevalentes en los últimos meses: los ataques
los ciberataques de los últimos años, y el en- basados en ransomware. Lamentablemente, esto no es alcan-
foque de estar preparados, han llevado a un zable únicamente por la acción de los CERTs, sino que implica
mayor protagonismo de la ciberseguridad en la revisión de las líneas de integración entre áreas tradicio-
las estrategias corporativas. Existe una mayor nalmente complementarias, como son las de infraestructura
inversión en tecnología y personal especiali- y la gestión de equipos de trabajo individual. Sólo alineando
zado para combatir el cibercrimen y prevenir su impacto reputa- totalmente sus procesos de soporte conseguiremos una ate-
cional, económico y operativo. La contratación y el desarrollo de nuación de este impacto a medio y largo plazo”.
perfiles especializados, la realización de ciberejercicios y las mejoras  “La compartición de información de inteligencia con las au-
en automatización y colaboración son claves para preparar a las toridades y entre empresas es un factor clave para combatir el
organizaciones para afrontar las amenazas más críticas”. cibercrimen de forma eficaz y eficiente. Así como los mecanis-
 “Los grupos criminales son cada vez más sofisticados y el número mos de publicación de información de inteligencia desde orga-
de ciberataques está creciendo en todos los sectores, acarreando nismos públicos a los privados están claros, quizá falten instru-
un aumento de presión regulatoria. A este reto se suman la falta de mentos verdaderamente útiles para que las entidades privadas
perfiles especializados del sector y las nuevas dinámicas de trabajo den el paso de compartir de manera más decidida entre ellas.
remoto y el entorno económico adverso post Covid-19. En 2021 El intercambio de información de inteligencia únicamente
tendremos que aumentar las capacidades de detección de nuevas será efectivo si se puede transmitir información de calidad
técnicas y actores con especial dedicación e ingenuidad. Eso sí, de forma segura entre fuentes confiables y se garantiza que
como profesionales de la ciberseguridad tenemos una ventaja: es- no existen obstáculos legales que impidan dicho intercambio.
tamos acostumbrados a trabajar bajo presión, con lo cual no dudo Sin embargo, las plataformas de intercambio de información
que lograremos sacar lo mejor de la situación”. existentes se basan en círculos exclusivos de confianza, algu-

nas de ellas impulsadas a nivel nacional, específicas del sector CATALONIA–CERT
y, en ocasiones, con demasiada información, difícil de proce- Xavier Panadero Lleonart
sar y de obtener un beneficio real de la misma. Director SOC/CERT
Existen tres variables que, en mi opinión, pueden influir en AGENCIA CATALANA DE CIBERSEGURIDAD
la capacidad de estos foros para convertirse en verdaderas
comunidades abiertas y transversales: 1) Confianza. Cuanta  “En líneas generales, podríamos afirmar
mayor confianza exista entre las entidades, CERTS y demás, que evolucionan al ritmo que sus necesida-
más fácil será que compartan información respecto a sus in- des particulares les plantean. En CATALO-
cidentes y mayor valor tendrán estos intercambios. 2) Flexibi- NIA-CERT tenemos, desde ya hace tiempo,
lidad regulatoria. El marco regulatorio debería incluir elemen- un equipo dedicado exclusivamente a medir
tos de incentivo para la compartición de información, sobre el nivel de madurez de nuestras actividades para poder definir y
todo en el contexto de incidentes e independientemente del priorizar la evolución necesaria que nos permita hacer frente a las
impacto de los mismos. 3) Tecnología. Hasta hace poco no nuevas amenazas a las que nos enfrentamos diariamente. Aun así,
existían plataformas en las que compartir información sobre en muchas ocasiones no conseguimos evolucionar al ritmo que
incidentes –ya fueran de pago u open source– que permitie- necesitamos (por condicionantes presupuestarios, procesos de
ran a una multiplicidad de entidades acceder a esta infor- contratación, problemáticas durante la implantación, resistencia
mación, y aún hoy no existe un consenso sobre el estándar al cambio, etc.) y, es por ello que, en este último año hemos apos-
tecnológico a utilizar”. tado por la innovación para acelerar nuestra estrategia evolutiva.
A modo de ejemplo cabe señalar el actual contexto generado por la
pandemia que, en un abrir y cerrar de ojos, ha dibujado por com-
CAPGEMINI pleto un nuevo escenario de trabajo (teletrabajo, uso de equipos
Andrés de Benito personales, exposición de sistemas internos, adopción de herra-
Head of Cybersecurity mientas de colaboración, etc.), dejando obsoletos procesos y tec-
nología en materia de respuesta a incidentes y, en consecuencia,
 “Es una pregunta difícil de respon- obligándonos a innovar para encontrar nuevas aproximaciones que
der, ya que, por mucho que uno crea se adecuaran a dicha situación (adquisición remota, automatiza-
que se está haciendo bien, es el mer- ción, gestión de crisis, contención en la nube, etc.)”.
cado el que dicta el veredicto final. De  “En 2021, tenemos como compromiso la construcción del ser-
manera personal, sí creo que la fuerte vicio público de ciberseguridad donde, entre otros, la respuesta
especialización de los últimos años ha a incidentes jugará un papel determinante. Este servicio nos su-
permitido tener equipos cada vez más ágiles y preparados, pondrá un reto ya que será necesario entender cómo aproximar la
siendo fundamental seguir insistiendo en el conocimiento es- respuesta de incidentes a los diferentes destinatarios. Es evidente
pecífico, no solo de los sistemas protegidos, sino también de que esto tampoco podremos hacerlo con los procesos y herra-
los procesos de negocio que dichos sistemas soportan, apor- mientas existentes, por lo que será también parte del reto cons-
tando de esta manera un valor diferencial en la respuesta”. truir un modelo que permita satisfacer las necesidades de cada
 “Aunque pueda parecer fuera de contexto, por ser algo exó- destinatario y, posteriormente, adoptar soluciones emergentes
geno a la ciberseguridad, afrontar las dificultades impuestas (asistentes virtuales, chatbots, etc.) para dar respuesta a nuestro
por el Covid y, en particular, el teletrabajo. Es cuestión de tiem- ámbito de actuación”.
po que empiecen a proliferar ataques aprovechando una mala  “Inicialmente cambiando la aproximación que actualmente
implementación y control de las capacidades de trabajo remo- existe de ‘recibir a cambio de nada’ y adoptar la de ‘dar a cambio
to en las organizaciones que no han sabido o no han podido de nada’. Compartir información es clave para hacer frente a las
poner en marcha las medidas adecuadas a tiempo y que, ante amenazas globales, por lo que primero uno tiene que pregun-
la falsa sensación de seguridad por la relativa calma de que tarse qué información puede ofrecer para que los destinatarios
todo funciona, se llevarán alguna sorpresa tarde o temprano”. de la misma puedan aprovecharla y estar así más preparados.
 “Es complicado convencer a las organizaciones de los be- Es necesario no tener recelos de que compartir información por
neficios de compartir cierta información. Tener acceso a in- algún motivo ira en su detrimento y adoptar medidas para que
formación común es clave para la lucha contra los ciberdelin- dicha compartición sea efectiva a la par que cumpla la norma-
cuentes y puede ser la diferencia entre una respuesta efectiva tiva vigente.
y precisa, y un desastre. Pero también es cierto que la infor- En CATALONIA-CERT, adoptamos esta aproximación ya hace unos
mación proporciona poder, y nadie quiere compartir según años y empezamos nuestra andadura compartiendo con nues-
qué datos con empresas de la competencia. En este caso, tros homónimos la amenazas e incidentes críticos que gestiona-
es fundamental ser capaces de explicar los beneficios y que mos solo con el objetivo de que pudieran estar preparados. En
juntos se es más fuerte para derrotar a un enemigo que, al este último año, hemos ampliado nuestro alcance, incluyendo a
fin y al cabo, es común a todos. Las administraciones a nivel profesionales del sector y generando un ecosistema que poten-
global pueden y deben hacer mucho en este aspecto, tanto cie la confianza y la compartición. Durante 2020 hemos seguido
por el poder que tienen, como para servir de ejemplo a las trabajando en homogeneizar nuestra compartición mediante un
empresas, aunque ciertamente, si bien ya existen iniciativas, programa específico (Threat Intel Program), que permita no solo
es un objetivo difícil de alcanzar”. compartir información sino conocimiento y tecnología”.

CENTRO VASCO DE CIBERSEGURIDAD seguridad, y que fomente un ambiente que consiga las mismas
BCSC cuotas de colaboración y trabajo en equipo que un entorno
Asier Martínez Retenaga 100% presencial”.
Responsable del CERT  “Queriendo compartir, que desafortunadamente es una pre-
misa de partida que no se da en la mayoría de los casos, ya que,
 “Considero que aún queda un largo en la actualidad, la mayoría de las informaciones que fluyen
camino por recorrer. Existen modelos de lo hacen de una manera informal y no reglada. Una vez exista
madurez como SIM3, los cuales, permiten esa voluntad, creo que es importante alinear y estandarizar la
rápidamente autoevaluarse y mejorar las información mediante una taxonomía común, establecer meca-
capacidades, pero que todavía no están nismos de ‘anonimización’ y establecer un foro de intercambio
ampliamente implantados. Así mismo, considero que el rol de en el que poder hacerlo utilizando las tecnologías y protocolos
los CSIRTs / CERTs no está lo suficientemente valorado, hecho que ya existen desde hace años”.
que dificulta su evolución, y que se debería apostar más por
dotarles de los recursos necesarios para prevenir y responder a
los incidentes de ciberseguridad, algo que desafortunadamente COMUNIDAD DE MADRID
no sucede en la mayoría de los casos”. Consejería de Sanidad
 “Ante esta situación derivada de la pandemia, los CSIRTs / Ángel Luis Sánchez García
CERTs probablemente adquieran un mayor protagonismo, ya Jefe de Servicio de Seguridad de Sistemas
que para poder adaptarse las organizaciones han tenido que de Información (CISO)
aplicar grandes cambios en poco tiempo y en muchos casos sin
tener presente la ciberseguridad, por lo que previsiblemente se  “En nuestro caso, al ser una AAPP, con-
incrementará significativamente el número de incidentes. Por lo tamos con la inestimable colaboración del
tanto, entiendo que el principal reto será hacer frente a un ma- CCN-CERT, que evoluciona favorablemente
yor volumen de incidentes con recursos limitados, es decir, se va según le permiten sus recursos. Con res-
a tener que hacer más con lo mismo o menos”. pecto a los CSIRTs, el SERMAS pertenece a CSIRT.es, donde se
 “Independientemente de la gran cantidad y heterogeneidad produce una necesaria colaboración público-privada entre los
de plataformas de ciberinteligencia o de compartición de ame- distintos CSIRTs españoles”.
nazas, habría que fomentar una cultura de transparencia y com-  “Es necesario contar con Centros de Análisis e Intercambio
partición, junto con la utilización de estándares como STIX y de Información Sectoriales, en nuestro caso especializado en el
TAXII. Así mismo, convendría invertir en la automatización de Sector Sanitario”.
las tareas para ser más eficientes y poder compartir la informa-  “Contando también con esos Centros Sectoriales por los que
ción más rápido y mejor, y hacer así un frente común contra las ha apostado Europa y que llama ISAC (Information Sharing and
ciberamenazas”. Analysis Centers). En este sentido, conviene indicar que el SER-
MAS ya participa con Enisa en el proyecto de creación del Euro-
pean Health ISAC”.
CIPHER
Jorge Hurtado
Vicepresidente EMEA COMUNIDAD DE MADRID
Madrid Digital
 “Creo que empieza a haber una sa- Esther Muñoz Fuentes
turación de este tipo de centros, y que Directora de Ciberseguridad, Protección de datos
muchas veces no responden al propósito y Privacidad de Madrid Digital
original del término (Gestionar y Respon-
der a Incidentes de Seguridad). La multi-  “Los equipos de respuesta a incidentes
plicación de centros no ha venido acom- de seguridad CERTs/CSIRTs están evolucio-
pañada de una mayor exigencia en las capacidades que deben nando hacia una respuesta más eficiente
tener, ni en la estandarización de procesos y terminología que y rápida ante el escenario de amenazas crecientes e incidentes
cada uno de ellos utiliza. En general observamos CERTs con de seguridad cada vez más graves y de mayor impacto. Esta es
capacidades avanzadas, incluyendo estar a la vanguardia de la la evolución adecuada, y para que sea exitosa es clave el inter-
innovación en términos de respuesta, mientras que otros dis- cambio ágil de información sobre el ciclo completo del incidente,
ponen de unas capacidades claramente insuficientes para ser desde su detección hasta su erradicación, lo que permite tam-
considerados como tales”. bién actuar en prevención”.
 “En 2021 todavía persistirán las dificultades de la actual  “La extensión del teletrabajo y la aceleración de los procesos
pandemia, y la necesidad de adaptar los actuales procesos a de transformación digital de todas las administraciones públicas
un modelo híbrido en el que se consolide el modelo de CSIRT y empresas privadas durante este año, en respuesta a la situación
distribuido que hemos vivido durante estos meses. El reto será de pandemia nacional, ha tenido como efecto negativo un incre-
cómo habilitar un modelo de CSIRT en el que la ubicación de las mento exponencial de ataques dirigidos a explotar debilidades y
personas no implique menores medidas de seguridad y ciber- vulnerabilidades de seguridad, materializados en el aumento de

incidentes de seguridad en todas las organizaciones. Ante esta la que se ha puesto en marcha desde el Foro Nacional de Ciber-
situación, la colaboración en la vigilancia continua de nuevas seguridad –del que CSIRT.es ya forma parte–, pueden contribuir
amenazas de seguridad, el intercambio ágil de información de también a ello, así como el ofrecimiento por parte del CCN-CERT
incidentes entre organización y la respuesta coordinada pasan de asumir su secretaría permanente y la renovación del comité
a ser el reto fundamental para el próximo año”. de dirección de CSIRT.es, que se han visto ambas retrasadas por
 “Uno de los obstáculos que frenan la compartición efectiva la pandemia”.
de información entre equipos de respuesta a incidentes, espe-
cialmente entre el sector público y el privado, es el recelo por
el posible daño al sector o a la marca que puede derivarse si se DELOITTE
intercambia información de un incidente de seguridad, olvidan- César Martín Lara
do una frase célebre de Robert Mueller “Solo hay dos tipos de Socio Risk Advisory Cyber
empresas: las que han sido pirateadas y las que serán”. Es pri-
mordial impulsar foros como CSIRT.es, creado para promover  “En España tenemos una red de CSIRTs /
esta cooperación entre equipos en la respuesta a incidentes, CERTs de primer nivel que evoluciona ade-
donde se pueden intercambiar experiencias entre todos los sec- cuadamente adaptándose diariamente a
tores productivos nacionales”. las nuevas amenazas”.
 “El principal reto de un CSIRT / CERT es el
de ser capaz de aportar a un cliente respues-
CSIRT–CV (GENERALITAT VALENCIANA) ta rápida en detección de amenazas y contención de incidentes. Las
Lourdes Herrero amenazas evolucionan constantemente pero el reto permanece”.
Directora  “Ya existen plataformas y mecanismos potentes de comparti-
ción de información entre CSIRTs / CERTs. La mejora de la infor-
 “En líneas generales sí, aunque hay dos mación compartida no reside en el mecanismo sino en la calidad
aspectos claramente mejorables. El impac- de la información que se comparte, y es por esa vía por donde
to que ha producido la pandemia del Co- se debe trabajar en mejorar la información que se comparte”.
vid-19 en las estructuras de servicio de es-
tos Centros, era algo difícil de prever y de
dimensionar. En este sentido, aunque la ENTELGY INNOTEC SECURITY
cualificación técnica de los equipos que los componen sea alta Myriam Sánchez
y acorde con los desafíos técnicos a los que tenemos que hacer CERT-CSIRT | Responsable de Cyber Threats
frente, es claramente insuficiente en número. La escasez de téc-
nicos altamente cualificados que veníamos sufriendo en años  “Depende de la organización. En el
anteriores no ha hecho más que agravarse y el desequilibrio en- caso de la nuestra hemos ido mejorando
tre la oferta y la demanda es cada vez mayor. El otro aspecto a las capacidades de las soluciones clásicas,
mejorar sería la falta de autoridad dentro de nuestros respecti- al tiempo que se ha apostado por ofrecer
vos ámbitos que, de haber sido mayor, algunos de los incidentes nuevos servicios para mejorar la Seguri-
graves que han ocurrido este año se hubieran podido evitar”. dad. No obstante, en otros muchos casos
 “La sofisticación cada vez mayor de los ataques, las amena- se ha evolucionado; pero no al ritmo que exige este sector. Las
zas derivadas del aumento de la superficie de exposición que limitaciones presupuestarias y de recursos dificultan la ejecución
nos trae la generalización del teletrabajo, la adaptación de la de un plan realista de evolución adaptado a los riesgos a los que
vigilancia a las nuevas soluciones on-cloud con nuevas fuentes nos enfrentamos todos los días”.
a monitorizar, junto con la mencionada escasez de personal en  “En general, el principal reto al que se enfrentan los equipos
los CERTs, conforman un panorama complejo para los equipos CSIRT / CERT de las organizaciones es adecuarse continuamente
de respuesta ante incidentes. a la rápida evolución de las amenazas. Además, en el contexto
Si a ello unimos el hecho de que la ciberseguridad aún se conside esta pandemia, con la implantación del teletrabajo de mane-
dere un mero ornamento y no una parte esencial de las estrate- ra generalizada y la digitalización de los servicios cotidianos, el
gias corporativas en algunas organizaciones, y que todavía no reto es aún mayor. Todo ello, unido a la necesidad de controlar
se tengan en consideración suficiente las directrices de ciberse- las graves amenazas que están golpeando a muchas organiza-
guridad emanadas desde sus CERTs correspondientes, podremos ciones, como el ransomware o el ciberespionaje”.
entender fácilmente que el principal reto para 2021 sea conse-  “En los últimos años ha habido una importante evolución en
guir el “full authority” en nuestros respectivos ámbitos. ¡Hazte las plataformas de compartición de información y los esquemas
oír! debería ser el reto para 2021”. comunes que permiten que esta pueda realizarse de manera
 “Los esfuerzos de algunos de los CSIRTs más veteranos en el ágil y eficiente. Sin embargo, en muchas ocasiones, el verdadero
pasado para mejorar la compartición de información entre noso- hándicap radica en la calidad de la información que se compar-
tros no han sido en vano y se han materializado en que dispon- te. Para poder hacerlo es necesario dedicar recursos (personales,
gamos desde hace una década del Foro Nacional CSIRT.es, cuya técnicos, tiempo...) que, desgraciadamente, son muy escasos en
forma y estructura, –aunque mejorables–, facilitan tal propósito. las organizaciones. Hay que tener en cuenta que compartir in-
Iniciativas de compartición e intercambio de información como formación de calidad representa un gran esfuerzo de diferentes

equipos que doten de contexto a dicha información para que tecnologías que nos ayuden a mejorar la detección de inci-
pueda ser útil. Esta situación dificulta en gran medida la com- dentes entre el ‘ruido’ de datos actual, y que nos ayuden en
partición desinteresada de los indicadores, excepto en entornos la automatización de las capacidades de respuesta.
más acotados. Al final debemos conseguir un “quid pro quo” en  Actualmente existen numerosos foros de compartición
el que todas las partes salgan beneficiadas de dicho intercambio. de información: sectoriales, privados, públicos, etc. En esta
Iniciativas como el grupo CSIRT.es, a nivel nacional, o el FIRST, a profesión existe una cultura de la compartición de informa-
nivel internacional, y en los que estamos integrados desde sus ción y compañerismo que facilita nuestras labores. El reto
orígenes, son muy importantes y favorecen la compartición de es conseguir hacer operativos estos foros con los diferentes
la información”. niveles de detalle que las organizaciones están dispuestas a
permitir divulgar. El riesgo reputacional es un factor a tener
en cuenta en estos casos”.
GMV
Óscar Riaño
Responsable de GMV-CERT GRUPO ICA
Alberto Cañadas Álvarez
 “Las capacidades estándares se encuen- Gerente de Preventa y Desarrollo de Negocio de
tran razonablemente cubiertas y evolucio- Ciberseguridad
nan adecuadamente, si bien dada la si-
tuación actual, la evolución diferencial se  “La tendencia que vemos es la proli-
centra en la incorporación de capacidades feración de CERTs / CSIRTs en estos últi-
de investigación del contexto tales como mos dos años. Sin embargo, la especia-
NSM y EDR, que permiten la realización de dictámenes ágiles lización de los servicios y la búsqueda
ante una situación de alerta”. continua de plataformas innovadoras y
 “La situación actual nos ha abocado al teletrabajo y a la ‘re- sofisticadas que se integren en los procesos de ciberseguridad,
motización’ de servicios. Uno de los retos para el 2021 es la ex- es el camino a seguir: personas y plataformas para prestar un
tensión de dichas capacidades de investigación hacia entornos servicio de excelencia a todas las empresas, desde el Corpo-
híbridos, así como avanzar en la consolidación de una base de rate a la PYME”.
conocimiento esencial para sacar el máximo provecho a los ser-  “El principal reto para 2021 es la automatización y orques-
vicios gestionados”. tación de los servicios prestados y la integración de todos ellos
 “Es fundamental asegurar la confiabilidad de las partes im- con la inteligencia de amenazas interna y externa de ciberse-
plicadas en los distintos foros en donde se gestione/comparta guridad, así como la compartición de información de calidad
la información con la finalidad de garantizar un uso adecuado y en tiempo real entre las entidades privadas y públicas”.
de la misma. Habría que establecer mecanismos de comparti-  “La confianza entre los CSIRTs / CERTs privados y los públicos
ción/restricción acorde al grado de cooperación de las organi- debe ser máxima, con un único objetivo: la seguridad nacional.
zaciones/países en los procesos de investigación de incidentes Para ello, hay que organizar y fomentar dicha compartición de
de seguridad”. inteligencia de amenazas, teniendo en cuenta las diferentes
motivaciones público-privadas”.
GRUPO BANCO SABADELL

Oriol Navarro GRUPO OESIA
Global Incident Response Manager Omar Orta
Director de Transformación Digital
 “La complejidad actual de las amenazas,
así como el número de incidentes con im-  “Los equipos de respuesta a inciden-
pactos graves en organizaciones relevantes, tes de seguridad, a nivel general, han
hace necesaria la constante evolución y ca- evolucionado los últimos años de mane-
pacitación de los CERTs / CSIRTs. Las orga- ra importante, en parte, gracias a la or-
nizaciones están realizando un esfuerzo en ganización de los Foros de CERT / CSIRT
esta dirección, y se observa una madurez mayor tanto en el mer- a nivel mundial que sirven de espacio
cado de soluciones tecnológicas como de profesionales cualifica- para que estos profesionales puedan colaborar y compartir
dos. Aun así, esta apuesta debe ser constante e incremental para información. Y, por otro, de las inversiones que realizan las or-
estar preparados frente a la evolución de los ataques actuales”. ganizaciones y gobiernos para garantizar que se disponga de
 “Mencionaría dos retos principales. Por un lado tenemos la la tecnología, personal y procesos necesarios para garantizar
necesidad de seguir adaptando las capacidades de respuesta a la seguridad del ciberespacio”.
los nuevos entornos (nubes híbridas, entornos de trabajo remo-  “Por un lado, tenemos el reto de preparar nuevos profesio-
to, etc.) que rompen con el paradigma tradicional de la delimi- nales de ciberseguridad que sean capaces de dar respuesta a
tación de la información contenida en sistemas en los propios los nuevos, diversos y cambiantes tipos de ciberataques que
centros de datos de la organización. Por otro, la integración de suceden continuamente, por otro, el reto será hacer seguro

el ‘nuevo perímetro’, es decir, el usuario, todos los que estamos INGENIA
en el mundo de ciberseguridad tenemos la responsabilidad y el Carlos Cortés Danta
deber de concienciar a los ciudadanos para generar un entorno Gerente de Negocio – Ciberseguridad y Servicios
de resiliencia en materia de ciberseguridad y construir un cibe- Gestionados
respacio seguro para todos”.
 “Creo que deben potenciarse y crearse nuevos espacios pú-  “El creciente número de amenazas y
blico-privados, principalmente, para generar know how que dé las necesidades cada vez más exigentes
respuesta a las amenazas de ciberseguridad que se generan a en materia de ciberseguridad están pro-
diario en el ciberespacio, tanto a nivel local (entendiéndose por piciando una clara evolución del papel
países) y globales”. que desempeñan los CERTs / CSIRTs, en
mi opinión, dando pasos en la dirección adecuada, aunque la
velocidad de adaptación siempre podría ser mayor. Han ido
GUARDIA CIVIL ampliando el catálogo de servicios prestados para potenciar
Col. Juan Salom Clotet el desarrollo de actividades más relacionadas con la defensa y
Jefe de la Unidad de Coordinación protección proactivas, asumiendo que deben cubrir también
de Ciberseguridad mecanismos de ciberinteligencia, alerta temprana, detección,
acciones de formación y concienciación, además de las capaci-
 “La Guardia Civil no cuenta con un dades originales relacionadas principalmente con la respuesta
CSIRT propiamente dicho. No obstante, a incidentes”.
sí que es cierto que varias de nuestras  “La hiperconectividad, el 5G, una mayor complejidad y
Unidades, por la propia idiosincrasia de heterogeneidad de la tecnología, la aceleración de la trans-
su trabajo, realizan funciones que bien formación digital y la adopción masiva de la nube, así como
podrían identificarse como propias de un CSIRT, principalmen- el fomento del teletrabajo, suponen desafíos actuales que se
te en el ámbito de la concienciación de nuestros “clientes” mantendrán en 2021 y que obligarán a los CERTs / CSIRTs a
–en este caso de la ciudadanía–, pero también algunas otras potenciar el desarrollo de capacidades para prevenir y antici-
de carácter más técnico, y que desarrollamos en el marco de parse a un incidente. Esto incluye el análisis de grandes canti-
nuestras investigaciones”. dades de información sobre amenazas para extraer tendencias
 “El contacto y el intercambio de información con los CSIRTs y para modelar patrones de ataque que ayuden a conseguir
resulta sin duda fundamental para el desempeño de nuestra un mayor conocimiento del entorno cambiante al que nos
misión. El creciente impacto económico del cibercrimen, la cada enfrentamos y que nos permitan desarrollar estrategias de
vez mayor dificultad técnica que entraña su investigación y respuesta adecuadas”.
eventos como el de Wannacry y NotPetya que vivimos hace  “Me gustaría resaltar dos puntos de mejora principales. Por
unos tres años, son algunos de los factores que aconsejaron una parte, seguir promoviendo y favoreciendo plataformas
un acercamiento y un estrechamiento de las relaciones entre para la asociación de los distintos Centros, como CSIRT.es a
las capacidades de respuesta técnica y las Fuerzas y Cuerpos nivel nacional o FIRST a nivel global y, por otra, continuar con
de Seguridad que, a nivel nacional, en el caso de Guardia Civil la estandarización de los mecanismos para compartir la infor-
se materializó a través del Foro CSIRT.es. mación normalizada, de forma que sea consumible por toda
El Foro CSIRT.es, del que Guardia Civil forma parte, está com- la comunidad y grupos de interés, potenciando así su análisis
puesto por los principales equipos de respuesta a incidentes automático para poder actuar de forma colaborativa, eficaz y
españoles. Pertenecer a este foro nos permite una interlocu- coordinada”.
ción directa y fluida con todos los miembros de esta comuni-
dad tan importante para nosotros y con la que, a pesar de te-
ner diferentes objetivos, compartimos roles complementarios INETUM
y la obligación de colaborar. Por nuestra parte ofrecemos a los Simón Cordero
miembros de la comunidad CSIRT un punto de contacto per- IRT Manager
manente al que acudir en busca de asesoramiento en aspectos  
relacionados con las investigaciones de ciberdelitos”.  “En España hemos presenciado un
 “Los retos a los que nos enfrentamos están siempre rela- avance significativo en el número y en
cionados con la mejora de los procesos de comunicación e in- la evolución de estas entidades, tanto
tercambio de información. La forma de enfrentar estos retos en el ámbito público como en el pri-
tampoco es novedosa, y suele pasar por evitar la duplicación vado. Sin embargo, dependiendo del
de esfuerzos, aumentar la rapidez de los intercambios, generar ámbito, y desde mi punto de vista, con-
confianza entre las distintas partes, simplificar y estandarizar sidero que aún es necesario seguir avanzando hacia niveles
procesos, realizar actividades de manera conjunta, utilizar un de mayor madurez. Estos avances pasan por mejorar la com-
lenguaje común, promover una cultura de intercambio de in- partición de la información (pero la información necesaria,
formación, etc. Sin duda todos estos ámbitos son susceptibles no la ‘infoxicación’ que podría tener lugar si se comparte
de ser mejorados de manera continua y en esa línea seguirá todo) para tener una gestión eficiente en la respuesta a los
trabajando la Guardia Civil en el futuro”. incidentes”.

 “Terminar de asentar las bases que, debido a la pande- ITS BY IBERMÁTICA

mia que estamos sufriendo, se han establecido a la hora Miguel Tubía
de realizar trabajos de respuesta a incidentes desde los Responsable de Operaciones Ciberseguridad-CERT
diferentes CERTs. Además, tendremos que adaptarnos a
que la protección no sólo pasa por el entorno empresa-  “En los últimos años hemos sido testigos de
rial, sino también por aumentar la concienciación de los una gran proliferación de CERTs / CSIRTs, tan-
usuarios sobre los aspectos de ciberseguridad. En esto, to públicos como privados. Esto ha ayudado
los CERTs / CSIRTs podemos colaborar con nuestras com- a consolidar un ecosistema de ciberseguridad
pañías, ya que somos sus equipos de respuesta y nos es- en el panorama nacional y a establecer una
tamos enfrentando a estas situaciones”. comunidad cada vez mayor y más conectada,
 “Creo que debemos avanzar hacia una mayor compar- de la que nuestro CERT (ITS CERT/SOC) es miembro activo. Como con-
tición de información sobre ciberataques, especialmente, secuencia directa, las empresas tienen más conocimiento de ciberse-
incidiendo en la necesidad de derribar la barrera de la guridad, aumentan las capacidades competitivas de estos centros y
‘vergüenza’ que supone para las empresas verse afecta- la compartición de información y herramientas en la comunidad”.
das por este tipo de incidentes. Para ello, la labor clave  “Distinguimos dos grandes retos en ciberseguridad para el
a desempeñar entre organizaciones y los CERTs / CSIRTs 2021: las llamadas Amenazas Avanzadas Persistentes (APT por sus
gira en torno a la puesta en marcha de buenas prácticas siglas en inglés), y la concienciación de usuarios finales. Las APT
compartidas y lecciones aprendidas, pero no solo con la cada vez son más sofisticadas, y, al tratarse de ataques dirigidos,
propia compañía, sino con el resto de CERTs. En esa labor, complicados de detectar. En este punto, no cabe duda de que la
nos pueden ayudar, y nos ayudan, los CERTs públicos de concienciación de usuarios resulta imprescindible debido a que la
referencia que hay en España”. mayor parte de los incidentes se han realizado por descuidos hu-
manos o malas prácticas”.
 “Existen ya iniciativas en grupos nacionales que persiguen una
INTEC mayor calidad en la información compartida. Por otro lado, ya se
Juan José Fuster está trabajando en un estándar para arquitecturas de sistemas de
CEO compartición de información. La estandarización y normalización
de esta práctica y la implicación y colaboración altruista de los dife-
 “Sí, se está evolucionando ade- rentes CERTs / CSIRTs, deben ser los motores que permitan mejorar
cuadamente. Hay que tener en el flujo de información entre los centros”.
cuenta que siempre vamos detrás
de los delincuentes, lo que nos ha
obligado a ser más proactivos y JUNTA DE ANDALUCÍA
creativos para poder predecir cómo Eloy Rafael Sanz Tapia
serán los próximos ataques, los cuales, cada día son más Gabinete de Seguridad y Calidad
sofisticados técnicamente. Ello implica una inversión muy Unidad de Seguridad TIC
fuerte en I+D y en la atracción de talento en la materia
para poder diseñar sistemas más proactivos para evitar  “Por desgracia, la rapidez con la que evo-
incidentes y mejorar toda la parte reactiva a fin de poder lucionan las técnicas usadas por los cibercri-
detener lo antes posible los ataques que sucedan. A nues- minales y su sofisticación hacen que el mun-
tro parecer está fuertemente condicionado a que opera- do del cibercrimen y el fraude online avan-
mos desde nuestro propio SOC, que está continuamente cen más rápido de lo que evolucionan los
mejorando para poder estar al día en las últimas TTPs”. recursos dedicados a luchar contra ellos. El incremento de madurez
 “No hay un reto concreto para el año 2021, es el mis- en los procesos de gestión de incidentes, la adopción de nuevas
mo de siempre: poder disponer de sistemas que permitan tecnologías para la detección y la respuesta y la colaboración efi-
anticiparse a los incidentes y detener los que ocurran a ciente son claves para seguir la carrera”.
la mayor brevedad posible, lo cual abarca distintas áreas  “Sin lugar a dudas el nuevo entorno de teletrabajo masivo de-
de trabajo dentro de un CSIRT: mejorar el modelado de rivado de la pandemia. Debe abordarse el correcto bastionado y
amenazas, mejorar la inteligencia de los sistemas para monitorización de las conexiones VPN, el control de acceso a siste-
identificar etapas de la killchain de un ataque, contar con mas corporativos desde equipos domésticos y la concienciación de
una coordinación interna más eficiente en la respuesta a los usuarios y su promoción a ‘última red de defensa’. Esto último
incidentes…” con especial interés, ya que los cibercriminales están aprovechando
 “En la actualidad, existen organismos como el FIRST o esta situación en la que estamos inmersos para lanzar campañas
el TF-Introducer, a nivel internacional, o el CSIRT.es a ni- maliciosas contra usuarios finales”.
vel nacional, para que los CSIRTs compartan información.  “Potenciando la actividad de ciertos foros nacionales e interna-
Una mejora sería facilitar la entrada en estos organismos cionales, como CSIRT.es, FIRST o TF-CSIRT, promoviendo reuniones
a otros CSIRTs reduciendo la burocracia que implica el periódicas de sus miembros, patrocinando la organización de con-
darse de alta, además de permitir que otros actores/stake- gresos de seguridad y creando grupos de trabajo para avanzar en
holders del sector pudiesen formar parte”. ciertos aspectos concretos de la seguridad”.

LIGHT EYES entre proveedores y organismos públicos cuando se
Joel Araujo está en medio de un proceso de respuesta a un inci-
CTO dente grave en una organización en la que pueden
estar involucrados varios actores con distintas res-
 “Los equipos de respuesta a inci- ponsabilidades y servicios”.
dentes han ido creciendo en número
y se han adaptado a las nuevas ame-
nazas que han ido surgiendo y surgi- POLICÍA NACIONAL
rán. A nivel internacional, los CSIRTs José Antonio Fernández Molina
están evolucionando adecuadamen- Jefe del Servicio de Seguridad TIC. SOC
te, pero aún hay mucho trabajo por delante. Sobre todo,
dentro de este contexto de inestabilidad que dificulta el  “Atendiendo a los últimos
orden y la metodología”. incidentes de seguridad recogi-
 “El principal reto para 2021 seguirá viniendo de una falta dos en prensa, la sensación es
de adaptación de las empresas e instituciones. Muchas en- que no vamos suficientemente
tidades no están preparadas contra los ataques dañinos de rápidos. Pero si miramos dos
las organizaciones criminales del ciberespacio. Será todo un años atrás y comparamos los
reto tanto para los equipos de respuesta a incidentes como recursos actuales con los que contábamos, el salto
para los departamentos técnicos, concienciar y aplicar las es abismal”.
correspondientes medidas de seguridad en un tiempo me-  “Disminuir la superficie de exposición a las ame-
nor de lo esperado”. nazas y aumentar la madurez en los procedimientos
 “La compartición de información sigue o ha de seguir los para afrontar la recuperación de los sistemas en el
estándares según la sensibilidad de los datos. La clave sigue menor tiempo posible”.
estando en la seguridad que nos proporciona el cifrado, la  “La solución Reyes del CCN-CERT, basada en la tec-
rapidez en la que los CSIRTs se comunican y la correcta cla- nología MISP, vertebra nuestra forma de compartir in-
sificación de esa información. La mejora de la compartición formación de ciberamenazas. La implantación de esta
de cada vez más información deberá venir acompañada de tecnología en el mayor número de actores sería una
tecnologías de Big Data, así como del procesamiento de los mejora que revertiría en la ciberseguridad de todos”.
datos con IA y otras tecnologías que mejorarán la seguridad
y la autenticidad de esa información. El reto de estas mejo-
ras será el consenso de equipos que provienen de diferentes RENFE
regiones y pensamientos distintos”. José Carlos Sánchez Dolado
Jefe de Ciberseguridad
Dirección de Transformación Digital
MNEMO y Tecnología
Fernando García Vicent
Director Operaciones  “Personalmente creo que
los equipos de respuesta a in-
 “En Mnemo pensamos que los pa- cidentes (CSIRTs) evolucionan
sos que se están dando globalmente en la medida en que se van
son correctos. Existe una conciencia- generando nuevas amenazas; y estas cada vez son
ción global por parte de los CSIRTs más sofisticadas. Todo esto hace que la preparación
/ CERTs para evolucionar haciendo de los CSIRTs vaya evolucionando y perfeccionando
frente a las nuevas amenazas de ata- ante las ciberamenazas”.
cantes cada vez más organizados y fuertes. Es necesario  “El impulso de utilización y automatización de
crecer en la especialización, utilización eficiente de las tec- herramientas SOAR, al permitir a las organizaciones
nologías disponibles y mejora en los procesos de anticipa- recopilar un mayor volumen de datos, tanto externos
ción a los ataques”. como internos, y poder procesarlos de una manera
 “Para nosotros los retos principales son una mejor prepa- mucho más rápida y precisa. Todo esto va a permitir
ración para el conocimiento y anticipación a los ataques por a los CSIRTs / CERTs una toma de decisiones mucho
todo tipo de malware –en especial ransomware–, una mejor más rápida, inteligente y con mayor información”.
capacidad organizativa y de reacción ante los incidentes de  “Lo ideal e interesante seria la transparencia a la
seguridad de muy alta complejidad, y una profundización hora de compartir información sobre los ciberinci-
muy importante en procesos de inteligencia para mejorar los dentes sufridos, y poder dar un apoyo desinteresa-
sistemas de prevención, detección y alerta”. do entre los distintos miembros de la organización
 “Cualquier mejora en la compartición de información (ejemplo CSIRT.es) a la organización que se vea afec-
y aumento de la colaboración entre los CSIRTs / CERTs es tada y solicite ayuda como consecuencia de haber
importante. Yo destacaría la relevancia de la colaboración sufrido un ciberincidente muy grave”.

S2 GRUPO nes particulares de sus negocios; 2) Integración de inteligencia
José Miguel Rosell de amenazas para poder anticipar futuros ataques –conocien-
Socio do metodologías y técnicas de ataque que utilizan los ciberde-
lincuentes en la actualidad–; y 3) Mejora de las capacidades y
 “Los CERTs, en general, no están evo- protocolos de respuesta a incidentes para acortar tiempos de
lucionando al ritmo de la ciberdelincuen- respuesta y conseguir minimizar la posibilidad de que el ataque
cia, el ciberespionaje o la ciberguerra. Se afecte a más sistemas o genere más daños”.
observa, en muchos casos, una actitud  “La evolución del teletrabajo, tanto desde el punto de vista de
reactiva y muy poco especializada contra foco de incidentes como desde el punto de vista de integración
las actividades ilícitas que desarrollan los de los miembros de los equipos CSIRT. El teletrabajo es tanto un
equipos de ciberdelincuentes o los ciberejércitos. Es necesario to- nuevo vector de ataque, con usuarios conectados en redes no
mar la delantera mediante la respuesta de centros especializados completamente asegurables desde un punto de vista empresa-
en ciberseguridad y una decidida apuesta por la innovación y la rial, como un reto para la operativa de los CSIRTs, que tienen
investigación y desarrollo que les permita, incluso, el desarrollo que gestionar la dispersión geográfica de parte de sus equipos
de herramientas propias y capacidades para estar a la altura de sin afectar a eficiencia y seguridad”.
las circunstancias. El problema es que no todo lo que lleva la  “Más allá de la completa adopción de herramientas de inter-
etiqueta de CERT o CSIRT es realmente un centro especializado cambio de información, y la integración de los distintos equipos, es
de ciberseguridad”. imprescindible la potenciación de equipos de trabajo inter-empresa-
 “Crecer en capacidades sin crecer en recursos humanos. Sin riales donde, en un ámbito de completa confidencialidad, se com-
duda es necesario que seamos capaces de hacer que nuestros partan experiencias e iniciativas que nos hagan a todos más fuertes.
centros de operaciones de ciberseguridad utilicen más y mejor Sigue habiendo un conflicto entre la ciberseguridad como un es-
la tecnología y, si puede ser tecnología europea, mucho mejor. fuerzo compartido entre estados, instituciones y empresas –tanto
Necesitamos independencia tecnológica en Europa que nos per- usuarios finales como proveedores de ciberseguridad– y la ciber-
mita asegurar nuestra forma de entender la convivencia y los de- seguridad como área de actividad o negocio que tiene su propia
rechos de las personas, y esto no lo vamos a conseguir utilizando estructura de costes y necesidades para financiarse y seguir ope-
de forma masiva servicios o tecnología de terceros países que rando. Este conflicto lleva a que la compartición de la informa-
entienden los derechos fundamentales de forma completamente ción sea apoyada por todos a nivel teórico, pero no sea llevada
distinta a la de Europa”. a la práctica completamente. Dado el carácter estratégico de la
 “Desde luego es un tema muy complejo; pero a la vez muy ne- ciberseguridad para cualquier nación, quizá la solución pasaría
cesario. Es importante que la compartición de información entre por la creación de marcos de colaboración regulados que con-
centros de operaciones de seguridad se desarrolle en un ambiente templen la necesidad de financiar la investigación, el desarrollo de
de confianza real. Decirlo es una cosa, hacerlo otra completamen- capacidades de detección de amenazas y ciberinteligencia y otros
te distinta. Para mantener ese ‘ambiente’ necesario de confianza aspectos operativos clave para la industria de la ciberseguridad”.
debería evitarse la participación, directa o indirecta, en la gestión
de este tipo de actividad, de actores que buscan el beneficio pro-
pio, ya que estamos hablando de una actividad de interés públi- SECURE & IT
co. En mi opinión esta compartición de información debería estar Francisco Valencia
liderada y gestionada por centros públicos neutros de prestigio CEO
sin participación privada, pero con colaboración privada. Los ISAC
sectoriales liderados o impulsados por entidades públicas podrían  “En general, sí. Cada vez existe más ofer-
ser una solución interesante, aunque el hecho de ser sectoriales ta y más profesionalizada. La tipificación
les priva de parte de la información. Iniciativas como CSIRT.es, li- de incidentes de seguridad y los CERTs gu-
deradas por organismos públicos, pueden actuar como punto de bernamentales en toda Europa están ayu-
encuentro y compartición de información de los ISAC”. dando mucho a este desarrollo. En el lado
contrario, creo que también están apareciendo compañías que
anuncian este tipo de servicios sin disponer de la capacidad sufi-
S21SEC ciente, generando desconfianza en el sector”.
Ignacio Paracuellos  “Principalmente dos: por un lado, la captación y retención de ta-
SOC Manager Spain lento especializado que de soporte en los CERTs / CSIRTs y, por otro,
la sensibilización en las organizaciones de la idoneidad de contar o
 “La evolución de los CERTs / CSIRTs po- implantar un servicio especializado en respuesta a incidentes. Esto
dría ser más completa. Sin embargo, exis- obliga a reconocer la probabilidad de incidentes y brechas de se-
ten esfuerzos e iniciativas no públicas en guridad, aspecto que aún cuesta reconocer en las organizaciones”.
la línea de la mejora y adecuación a la  “Ya existen asociaciones y hubs creados para ello, pero una
realidad de la respuesta a incidentes. Hay gran medida sería la creación de protocolos y estándares para
una tendencia fuerte en tres direcciones: el intercambio de Indicadores de Compromiso entre los mismos,
1) Adaptación de los servicios de monitorización y detección al por ejemplo, mediante sitios centrales donde podamos reportar
mapa de riesgos específicos de cada empresa y de las condicio- y consultar estos indicadores”.

SIA SOTHIS
Roberto Pérez Miguel Monedero
Head of Managed Security Services Business Director de Seguridad de la Información
UNE Consultoría y Sistemas de la Información
 “Claramente, sí; nuestro nivel de madurez
está incrementando significativamente, tanto  “Nuestra percepción es que existe una
a nivel español, como en particular de SIA, evolución aceptable de los principales
quedando lejos nuestros inicios al comienzo CERTs / CSIRTs, que constantemente in-
de los años 2000. De acuerdo a los datos pu- vierten esfuerzos en ampliar sus capaci-
blicados por ENISA, España es el primer país de la UE en número de dades de detección y reacción, incorpo-
CERTs (54 en España, de un total de 399 equipos en la UE). rando nuevas técnicas como Threat Hunting o aplicando la fi-
Somos un referente en este tipo de equipos. La realidad actual del losofía Zero Trust. Debemos considerar que los cibercriminales
cibercrimen nos empuja a abordar servicios orientados a maximi- invierten enormes recursos en evolucionar las técnicas, tácticas
zar las capacidades de detección y respuesta ante incidentes, con y procedimientos que utilizan para comprometer la informa-
un enfoque 360º, es decir, con un ojo puesto en las amenazas ción de las organizaciones y actualmente existe una importante
internas y otro en las externas; servicios adaptados a la realidad brecha entre la inversión que una organización puede asumir
de cada cliente y en los que, al mismo tiempo, se automatiza para contrarrestar dichas amenazas y la que una organización
y orquesta para conseguir que todas las alertas se traten, y los criminal invierte”.
tiempos de detección, investigación y respuesta sean lo más bajos  “Uno de los principales retos por resolver en 2021 será la
posible. Y, por supuesto, como no puede ser de otra forma en SIA capacidad de inversión de las organizaciones, actualmente es-
al formar parte del grupo Indra, la mayor empresa tecnológica de tamos viviendo una época en la que los recursos de las compa-
nuestro país, apostamos por CSIRTs tanto en los entornos IT como ñías se verán afectados en gran medida debido a la pandemia
para la protección de los sistemas industriales (OT)”. mundial que estamos sufriendo; un hecho que sin duda tratan
 “Todos los expertos y analistas coinciden en que el número de aprovechar los ciberdelincuentes. Por ello debemos afrontar
de incidentes va a seguir creciendo. Es, sin duda, algo que obli- esta realidad y realizar un esfuerzo pensando en mejorar los
ga a poner foco en prepararse para los incidentes de seguridad sistemas de seguridad y adecuarlos a las nuevas necesidades y
que se puedan sufrir. En este sentido, es fundamental el Plan riesgos futuros de ciberseguridad. El crecimiento de los cibera-
de Continuidad de Negocio. Es importante que esté definido y taques que venimos observando en los últimos meses muestra
probado antes de que se produzca la crisis, incluyendo escena- una tendencia alcista que, con toda probabilidad, continuará
rios para ataques de tipo ransomware. E igual de importante es en 2021. Por ello, será vital adecuar, madurar, automatizar y
tener definida la estrategia de recuperación, con dos objetivos: optimizar los procesos de ciberseguridad de las organizaciones;
evitar que haya improvisación y que los equipos de trabajo se la eficiencia de nuestros procesos será fundamental durante el
desgasten más de lo imprescindible, y que los tiempos en la recu- próximo año”.
peración sean los menores posibles. Algunos de los mecanismos  “Para luchar contra el cibercrimen es de vital importancia la
más efectivos para prevenir y proteger de este tipo de ataques colaboración entre equipos de detección y respuesta a todos los
son los relacionados con la gestión de identidades, accesos y niveles. Por ello, consideramos que fomentar foros de colabo-
cuentas privilegiadas y 2FA. Toma también especial relevancia ración como CSIRT.es o FIRST permite compartir conocimiento
la concienciación de usuarios y empleados. y, por lo tanto, responder eficientemente ante una amenaza de
Y por último, deben considerarse la protección del puesto de seguridad. Además, inherente a estos foros, es importante la
usuario (virtual y físico), que a raíz de la Covid-19 es el nuevo utilización de plataformas de compartición de información de
perímetro, y del datacenter (virtual, cloud o físico); la protec- ciberseguridad, donde se comparte tanto información a tiem-
ción de los vectores de entrada clásicos, si no lo están ya (email, po real como reglas Yara, indicadores de compromiso (IoC) o
navegación web y conexiones con terceros), con un enfoque de muestras de malware”.
arquitecturas Zero Trust; la prevención de incidentes con activi-
dades que evalúen los vectores físico, lógico y social –Red Team–,
seguridad en el ciclo de vida del software, y la gestión de Con- TELEFÓNICA, S.A.
troles Técnicos); la detección avanzada de amenazas internas y Pedro Hernansáez Liarte
externas; y finalmente la Respuesta basada en un equipo con Gerente del CSIRT Global
experiencia que aborde las crisis con garantías”.
 “Compartir información no es sencillo porque existen acuer-  “Efectivamente, se está reforzando la
dos de confidencialidad que debemos respetar. Pero una vez que función de los CSIRTs, tanto en el ámbito
se ha salvado este aspecto, la información se comparte con las privado como en el público, porque la rea-
personas, organizaciones y foros con los que se tiene confianza y lidad del día a día de los incidentes nos ha
relación. Por tanto, me parece fundamental buscar mecanismos forzado a evolucionar y también para dar
para potenciar estas relaciones. Los foros como FIRST, TF-CSIRT, soporte a las normativas que afectan a la
CSIRT.es, APWG, etc., de los que formamos parte, disponen de gestión de incidentes de seguridad. Una vez asumido que los in-
medios para compartir información de amenazas que puedan cidentes van a ocurrir, cada vez están cobrando más relevancia
afectar a los socios o a sus clientes”. los CSIRTs para reforzar la detección y respuesta”.

 “Uno de los principales retos es la automatización, tan- VERSIA
to para el enriquecimiento de la información de contexto Andoni Alcalde
de las amenazas detectadas como para la respuesta. Por Director del CERT/CSIRT
esto durante 2021 se incrementará el uso de plataformas
SOAR. Otro reto es la armonización de las normativas de  “Aunque la evolución –con CERTs /
manera que queden más claras las obligaciones regulato- CSIRTs cada vez más maduros– es ade-
rias de los CSIRTs”. cuada, existe la necesidad de mejorar los
 “Es necesario dejar atrás los complejos y las reticencias a servicios proactivos que se ofrecen con la
la hora de compartir información teniendo en cuenta que no automatización basada en IA y en la or-
es lo mismo compartir información de ciberinteligencia que questación DevSecOps”.
sobre incidentes que se han sufrido por implicaciones legales  “Uno de los grandes retos de 2021, que no sólo amenaza a
que pudiera haber. Iniciativas como la de CSIRT.es, precisa- los CERT/CSIRT, es la falta de talento que pueda satisfacer la de-
mente, tienen como uno de sus puntos destacados el de la manda actual para cubrir los perfiles necesarios”.
compartición de información”.  “Los CERTs/CSIRTs que formamos parte de foros establecidos
como el FIRST, disponemos de canales que promueven y facilitan
enormemente la compartición de información de forma eficien-
UNIVERSIDAD CARLOS III DE MADRID te. A pesar de ello, es necesario seguir apostando por establecer
Rafael Calzada Pradas vías de cooperación más amplias que retornen en flujos de in-
Responsable de Seguridad de la Información formación más abiertos entre los participantes”.
 “Los CERTs académicos están evo-

lucionando, pero de forma heterogé- XUNTA DE GALICIA
nea, dependiendo del nivel de madu- Gustavo Herva
rez de cada una de las instituciones, Jefe del Departamento de Seguridad y Calidad
algunos están mejorando aspectos
organizativos y otros los aspectos más operativos. La pan-  “Los retos a los que tienen que hacer
demia nos ha enfocado en los accesos remotos que has- frente en la actualidad los CERTs / CSIRTs
ta ese momento eran casi testimoniales, al menos en las son muchos. El número, variedad y grave-
universidades públicas presenciales. Nuestros usuarios de dad de las amenazas y el posible impacto
VPN habituales se multiplicaron por seis nada más esta- de las mismas en las organizaciones no
blecerse el confinamiento en marzo y hubo que poner un para de crecer, muchas veces más rápido
esfuerzo especial para integrar los equipos de los usuarios de lo que crecen las capacidades de los CERTs / CSIRTs. Creo
o proporcionar soluciones de Virtualización de Escritorio que en general la evolución es buena y, aunque es cierto que
que escalasen al volumen de usuarios y tráfico que estaba siempre nos gustaría tener más, en nuestro caso la dotación
siendo demandado”. presupuestaria dedicada a ciberseguridad ha ido creciendo en
 “Consolidar los procedimientos y controles establecidos los últimos años y hemos ido poco a poco reforzando nuestras
para las situaciones de teletrabajo, y siempre mejorar, de- capacidades. Actualmente tal vez uno de los principales proble-
tectar los ataques antes para aplicar medidas adaptativas mas es la escasez de profesionales formados y con experiencia,
que dificulten el éxito de los atacantes, detectar precozmen- debido a la enorme demanda que hay, y esto es algo que nos
te los posibles compromisos especialmente en sistemas pe- afecta periódicamente cada vez que necesitamos ampliar el
riféricos, que pueden permitir al intruso pivotar a equipos equipo humano”.
más sensibles y si todo lo anterior falla, reducir los tiempos  “Nuestra intención es incrementar en 2021 nuestra madurez
de recuperación”. en la gestión de la ciberseguridad, optimizando nuestros pro-
 “Actualmente, existe comunicación informal a nivel de cedimientos y automatizando en lo posible. Además, queremos
CERTs especialmente en determinados sectores; por ejem- poner el foco en la colaboración con el resto de agentes del sec-
plo: los CERTs académicos contamos con foros de comunica- tor, potenciando la actividad del nodo gallego de ciberseguridad
ción, reuniones periódicas, donde se exponen los problemas CIBER.gal, que tiene el objetivo de ser la estructura de colabora-
y enfoques que hemos tomado de modo que entre todos ción público-privada en la que participen las entidades y orga-
mejoramos. Sin embargo, todavía nos queda pendiente la nizaciones relacionadas con la ciberseguridad en el ámbito de
eterna automatización de la comunicación de Indicadores la comunidad autónoma de Galicia (administraciones públicas,
de Compromiso y otra inteligencia de seguridad. Afortuna- universidades, centros tecnológicos, empresas, etc.)”.
damente, en España contamos con el CCN-CERT, que apoya  “Pertenecemos desde hace un par de años a CSIRT.es, que
iniciativas tanto con herramientas, como con contenido. puede ser un elemento que sea necesario potenciar para mejorar
La mejora vendrá cuando todos los participantes pasemos la compartición de información de forma efectiva en un contexto
de ser consumidores de esa inteligencia de seguridad a ser de colaboración público-privada. En el ámbito público, nuestra
contribuidores/generadores de la misma. Aquí puede haber referencia es el CCN-CERT, que nos presta siempre su ayuda y
problemas con los intereses económicos de algunas empre- con quien seguiremos colaborando para mejorar en lo relativo
sas, pero las instituciones públicas no tenemos excusa”. a compartición de información”.

Así opinan
EXPERTOS QUE IMPULSARON E IMPULSAN LOS CSIRTs / CERTs EN ESPAÑA
España ya cuenta con cierta veteranía en el Un año después, en 1995 se formó el IRIS-CERT,
mundo de los equipos de respuestas a inciden- el servicio de seguridad de RedIRIS, en cuyo
tes teniendo en cuenta que el primer equipo, desarrollo participó de forma activa Francisco
el CERT-UPC, fue creado a finales de 1994, en Montserrat. También ha sido, entre otros, des-
la Universidad Politécnica de Cataluña, por un tacable la labor de Javier Berciano que colaboró
equipo liderado por el profesor Manel Medina. decisivamente en el CERT de INTECO (actual-
MANEL MEDINA
Profesor, Director de esCERT-UPC
Másters de Gestión de Ciberseguridad
y de Blockchain de UPC-School
“Cuando empezaron a reportarse in- complejo ha sido mantener un crecimiento sostenido. Pero
cidentes de ciberseguridad en España, tal vez haya sido mejor así, con varias spin-off’de esCERT-
tanto Iris-CERT como esCERT-UPC, nos UPC consolidando ese crecimiento.
ofrecimos voluntarios para prestar ser- En cuanto a su evolución, destaca el Profesor que “las
vicios a las Administraciones Públicas y tareas de consultoría y auditoría se desviaron hacia ‘spin-
al sector privado, respectivamente, aunque no de una forma off’ completamente privadas; esCERT se ha especializado
rigurosa. Ambos nos dimos de alta en la organización FIRST en dar soporte a otros CSIRTs y a formar a profesionales
para poder recibir información confidencial de los procedi- del sector y a los ciudadanos en general con campañas
mientos de respuesta empleados por otros CSIRTs. Lo más de concienciación”. De cualquier forma, considera “que
complicado fue conseguir financiación y soporte para cum- sí” se ha cumplido lo esperado, aunque lo que aún que-
plir los requisitos de FIRST y TF-CSIRT en Europa y me siento da por hacer es “la colaboración entre CERTs / CSIRTs –
especialmente orgulloso de haber podido ayudar a muchos ya que resulta todavía incipiente– y el uso de las herra-
equipos de respuesta a incidentes y de investigación espa- mientas de intercambio de información todavía no está
ñoles a formar a sus primeros especialistas. Quizá lo más generalizado”.
JAVIER BERCIANO
Ex responsable de Gestión de Incidentes
en el CERT de INCIBE, único español
en la Junta de FIRST y Principal Incident
Response Engineer en Citrix
“Los comienzos fueron apasionantes como el foro de referencia mundial, somos el tercer del país del
porque se estaba empezando a desa- mundo con mayor número de miembros, algo que demuestra
rrollar algo prácticamente desconoci- la madurez de nuestro mercado de ciberseguridad y la impor-
do en nuestro país, con muchos retos, tancia que le dan a la misma las principales empresas de nues-
algunas experiencias y buenas prácti- tro país y el sector público a todos los niveles, no solo estatal.
cas, pero con poca madurez. Desde un punto de vista na- El posicionamiento actual de los CERTs / CSIRTs españoles es
cional, lo más complejo fue dar a conocer fuera del ámbi- muy bueno y debemos ser considerados como un caso de éxito
to técnico a los CERTs / CSIRTs, así como conseguir ciertas por las capacidades construidas como comunidad y la colabo-
atribuciones para ellos dentro de las organizaciones o las ración existente en la misma a nivel nacional.
administraciones públicas. Aún queda mucho camino por Ahora, el reto es continuar fortaleciendo estas redes de
recorrer, pero la aparición de los mismos en la legislación ha CERTs / CSIRTs, la colaboración entre ellos. Y la compartición
sido un reto conseguido de mucha importancia. de información dentro de las mismas es clave para continuar
En cuanto a su evolución, la comunidad de CSIRTs en España incrementando el nivel de madurez de cada equipo y la co-
ha crecido de una forma muy adecuada y, considerando FIRST munidad nacional e internacional que forman”.

mente INCIBE), en el que trabajó durante más de
10 años. SIC les ha preguntado por los retos a los
que se tuvieron que enfrentar cuando acometie-
ron la puesta en marcha de los primigenios Equi-
pos y, también, qué queda aún por hacer al cabo
de más de una década.
FRANCISCO MONSERRAT
Técnico Senior en IRIS CERT
“Llegué al IRIS-CERT a principios de 1999. El equi-

po de seguridad ya estaba formado desde el año
1995 gracias a la labor de Rubén Martinez, aun-
que desde que se creó Red IRIS por el año 1990
se venía viendo la necesidad de coordinar las ini-
ciativas de seguridad. Por entonces, el concepto
de CERT todavía no estaba muy bien definido. Lo
que se buscaba, sobre todo, era tener un ‘punto de contacto’ en otro lu-
gar del mundo, aunque muchas veces éste no tuviera ninguna autoridad
real. Por entonces, Manel Medina, ya estaba creando en España esCERT.
Así, en 1997, IRIS-CERT se hizo miembro de FIRST y en 2001 o 2002
patrocinamos a la membresía del esCERT-UPC en FIRST.
Hasta el año 2005, los CERTs fueron, por un lado, muy activos, ya que
había demasiadas cosas que hacer, pero por otro, muy solitarios. Veía-
mos como en otros países empezaban a aparecer CERTs de diferentes
sectores (gobierno, empresas privadas, etc.) pero en España solamente
estábamos dos equipos de seguridad, lo que hacía que muchas veces
actuáramos como punto de contacto desde el exterior con incidentes
que no eran de nuestro ámbito de actuación.
De lo que nos podemos sentir más orgullosos es de los grupos de coor-
dinación que se crearon, inicialmente solo con los ISP y Fuerzas de Se-
guridad, y que después dieron lugar al foro de CSIRTs españoles, que
ha servido para fomentar la creación de los más de 30 equipos que hay
en la actualidad.
Lo más complicado fue la falta de claridad entre los servicios, la notifi-
cación de incidencias a las instituciones y, por otro lado, con el equipo
de seguridad en su conjunto y los problemas de perder personal que
tuvimos cuando el servicio de notificación se separó de las funciones
del equipo de seguridad.
En cuanto a su evolución, los CSIRTs han pasado de ser un organismo
externo en muchas organizaciones (el ente al que se le envía informa-
ción y de la que se reciben notificaciones), a ser un concepto que está
interiorizado en muchas organizaciones, no solo como servicio hacia
otras organizaciones, sino también a nivel interno de estas; ha ayuda-
do mucho a ello el ENS y los CSIRTs nacionales, sobre todo CCN-CERT
e INCIBE-CERT. Ahora, el principal reto de los CSIRTs es la cooperación
con otros CSIRTs y organizaciones para el intercambio de información
eficaz que ayude a proteger a sus entidades”.

FIRST Press Release 20201118

Cargado por

Copyright:

Formatos disponibles

FIRST Press Release 20201118

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

FIRST Press Release 20201118

Cargado por

Copyright:

Formatos disponibles

Centro de Conocimiento en Ciberseguridad

CSIRTs: Al pie del cañón

El 2 de noviembre de 1988, Para evitar futuras situa-

82 NOVIEMBRE 2020 / Nº142 / SiC

SiC / Nº142 / NOVIEMBRE 2020 83

84 NOVIEMBRE 2020 / Nº142 / SiC

De la Edad de Piedra a la Moderna:

86 NOVIEMBRE 2020 / Nº142 / SiC

SiC / Nº142 / NOVIEMBRE 2020 87

Qué perfiles profesionales se piden

88 NOVIEMBRE 2020 / Nº142 / SiC

Cómo crear un CSIRT paso a paso

Los principales foros, los CERTs gubernamentales y los organismos

PASO 1 Qué estándares internacionales se deberían

90 NOVIEMBRE 2020 / Nº142 / SiC

Asociaciones como FIRST, TF-CSIRT o CSIRT.es validan, por sus competencias

PASO 2 Integrarse en los foros que ‘deciden’ quién es

SiC / Nº142 / NOVIEMBRE 2020 91

Agencias como ENISA proponen una metodología precisa

92 NOVIEMBRE 2020 / Nº142 / SiC

Organizaciones y foros del sector ofrecen más de un centenar

94 NOVIEMBRE 2020 / Nº142 / SiC

El futuro de los CERTs/CSIRTs pasa por reglas que

SiC / Nº142 / NOVIEMBRE 2020 95

PRINCIPALES EQUIPOS DE RESPUESTA A INCIDENTES ESPAÑOLES

CERTs / CSIRTs ESPAÑOLES EN LOS PRINCIPALES FOROS NACIONAL E INTERNACIONALES*

ENISA FIRST TRUSTED INTRODUCER CERT CSIRT.es

96 NOVIEMBRE 2020 / Nº142 / SiC

ENISA FIRST TRUSTED INTRODUCER CERT CSIRT.es

SiC / Nº142 / NOVIEMBRE 2020 97

98 NOVIEMBRE 2020 / Nº142 / SiC

CARNEGIE MELLON UNIVERSITY–

“La respuesta a incidentes está

TF–CSIRT TRUSTED INTRODUCER

¿Cuál es el principal reto Presidente

mejorar la compartición lizando circunstancias como la Covid-19 para preparar

CERTs / CSIRTs? al personal de acuerdo con las amenazas de phishing”.

100 NOVIEMBRE 2020 / Nº142 / SiC

SiC / Nº142 / NOVIEMBRE 2020 101

CENTRO CRIPTOLÓGICO NACIONAL–CCN

 “Se están adaptando adecuadamente,

están evolucionando menaza, aportando procedimientos, soluciones y conocimiento

adecuadamente? coordinación e intercambio dentro de la comunidad propia de

¿Cómo se podría, en concreto,

102 NOVIEMBRE 2020 / Nº142 / SiC

SiC / Nº142 / NOVIEMBRE 2020 103

104 NOVIEMBRE 2020 / Nº142 / SiC

EVERIS  “En Santander creemos firmemente que el intercambio de

SiC / Nº142 / NOVIEMBRE 2020 105

106 NOVIEMBRE 2020 / Nº142 / SiC

108 NOVIEMBRE 2020 / Nº142 / SiC

SiC / Nº142 / NOVIEMBRE 2020 109

GRUPO BANCO SABADELL

110 NOVIEMBRE 2020 / Nº142 / SiC

112 NOVIEMBRE 2020 / Nº142 / SiC

 “Terminar de asentar las bases que, debido a la pande- ITS BY IBERMÁTICA

SiC / Nº142 / NOVIEMBRE 2020 113

114 NOVIEMBRE 2020 / Nº142 / SiC

116 NOVIEMBRE 2020 / Nº142 / SiC