Incidentes de Seguridad

Los siguientes son un grupo de síntomas que pueden indicarnos de un incidente informático. No es una lista exclusiva, sino que les permite tener una idea de cómo un incidente puede ser detectado

• Sistema consumiendo recursos como RAM, procesador o disco
• Información que es privada a su institución que repentinamente es publicada en redes sociales u otros servicios públicos
• Información de virus o troyanos desde su equipo o dirección IP
• Informe del CSIRT CEDIA de actividad inusual en su red
• Informe de parte de terceros de actividad inusual en su red

En esta URL puede reportarse un incidente informático. Trate de llenar el máximo de información posible ya que nos ayudará a entender y proponerle soluciones a su problema. No olvide llenar sus datos de contacto. Es importante reportar el evento tan pronto sea detectado con la finalidad de no perder información valiosa que puede ser eliminada con el paso del tiempo.

Este reporte también puede ser realizado a nuestro teléfono o correo electrónico de contacto aquí.

De acuerdo a nuestro documento de información general del CSIRT, sección 5.1 Tipos de incidentes y niveles de soporte:

CSIRT-CEDIA se ocupa de recibir, atender y procesar los eventos de seguridad que ocurran en las redes de miembros del CSIRT-CEDIA.

Los niveles de soporte del CSIRT-CEDIA variarán en dependencia del tipo y severidad del incidente o problema presentado, el tipo de miembro, el tamaño de la comunidad afectada y los recursos del CSIRT-CEDIA en el momento de ocurrido el evento, en todos los casos la respuesta se dará en el plazo de un día laborable.  Los recursos serán asignados de acuerdo a las siguientes prioridades listadas en orden decreciente:

• Amenazas a la seguridad física de seres humanos.
• Ataques a Sistemas de manejo de información o cualquier parte de la infraestructura de red del backbone del CEDIA.
• Ataques a cualquier gran equipo de servicio público, sea multiusuario o con propósito dedicado.
• Compromiso de información en cuentas restringidas confidenciales o instalaciones de software, en particular aquellas usadas para sistemas de administración que contengan información confidencial, o aquellos usuarios para administración del sistema.
• Ataques de negación de servicio sobre cualquiera de los 3 puntos anteriores.
• Cualquiera de los anteriores ataques originados desde el CEDIA.
• Ataques en gran escala de cualquier tipo.
• Amenazas, acoso y cualquier otra ofensa criminal en el que estén involucradas cuentas de usuario.
• Compromiso de cuentas de usuarios individuales en sistemas multiusuarios.
  Compromiso de sistemas de escritorio.
• Falsificación y suplantación y cualquier otra violación de reglas locales y regulaciones.
• Negación de servicio en cuentas de usuario individuales.

Los incidentes no descritos anteriormente serán priorizados de acuerdo a la percepción de severidad y alcance de estos.

Tenga en cuenta que no se dará soporte directo a usuarios finales; se espera que ellos obtengan soporte de su administrador del sistema, de red, o de departamento técnico local. El CSIRT-CEDIA da soporte a ellos.

CSIRT-CEDIA comprende que existen diferencias en las experiencias que el personal de administración de las redes del CEDIA tienen y mientras el CSIRT-CEDIA tratará de presentar la información y proveer asistencia a un nivel apropiado para cada persona, el CSIRT-CEDIA no puede entrenar a los administradores al vuelo y no puede realizar labores de mantenimiento en su nombre. En la mayoría de los casos el CSIRT-CEDIA proveerá indicaciones a información que posiblemente requieran para tomar las medidas apropiadas para solucionar sus problemas.

El CSIRT-CEDIA busca mantener una comunidad de administradores informada de vulnerabilidades potenciales y dentro de lo posible informarle a la comunidad de la existencia de estas vulnerabilidades antes de que sean activamente explotadas.