La Guía Información procesable para respuestas a incidentes de seguridad,tiene como finalidad describir los retos a los que se enfrentan los equipos de respuesta a emergencias informáticas (CERT, por sus siglas en inglés) a nivel nacional, así como otras organizaciones de seguridad, cuando intentan generar soluciones prácticas a partir de grandes cantidades de datos.

El estudio ofrece una amplia visión general del actual panorama de intercambio de información en el contexto de la generación de información procesable, identifica las normativas y herramientas actuales, informa sobre las mejores prácticas y las deficiencias existentes, y ofrece recomendaciones de mejora.

La parte principal del informe describe cómo se obtiene, se utiliza y se comparte de manera sistemática la información procesable. El modelo conceptual propuesto, que constituye la base del estudio, presenta un programa generalizado de procesamiento de información consistente en cinco pasos: recopilación, preparación, almacenamiento, análisis y distribución. El propósito de este modelo es facilitar la manera en que los CERT tratan la información, a fin de simplificar el proceso de gestión de incidentes.

En palabras del Director Ejecutivo de ENISA, Udo Helmbrecht, “Los CERT son la vanguardia de nuestra ciberdefensa […], el reto es comprender el sentido de dichos datos y generar resultados procesables y prácticos.”.

El estudio investiga las deficiencias observadas en los procesos de gestión de información procesable por parte de los CERT y facilita un conjunto de recomendaciones generales para las organizaciones responsables de la diseminación de información. La conclusión general es que los intercambios de información todavía no han alcanzado un estado de madurez suficiente y que deberá seguir desarrollándose el entorno en el que se comparte la información para que las ventajas que suponen dichos intercambios puedan aprovecharse plenamente.

Se incluyen tres estudios de casos que cubren varios aspectos de la gestión de información procesable por parte de los CERT. Estos escenarios reflejan los procesos operativos de los auténticos CERT y las características de las herramientas que se emplean, indicando cómo pueden aplicarse para mejorar la capacidad de los CERT a la hora de elaborar, compartir y utilizar la información procesable.

Inventario para el intercambio de información

A modo de complemento, el estudio incluye un inventario titulado Normativas y herramientas para el intercambio y el tratamiento de información procesable, que puede aplicarse a actividades de intercambio de información. El inventario explora las relaciones entre diferentes normativas, facilitando así una mejor comprensión de los protocolos subyacentes.

La primera parte del inventario cubre un total de 53 normativas diferentes sobre el intercambio de información, una mezcla de formatos, protocolos, enfoques técnicos y marcos de uso común, que se desglosan en siete categorías principales basadas en el alcance de las normativas.

La segunda parte del inventario describe 16 herramientas y plataformas relevantes para el intercambio y tratamiento de información procesable. Se trata, en su mayor parte, de soluciones de código abierto que están a disposición de los CERT.

Ejercicio práctico: Utilización de indicadores para mejorar las capacidades de defensa de la información procesable.

Como parte del proyecto, se ha creado un nuevo escenario de ejercicio práctico de carácter formativo, destinado a miembros de CERT y otros profesionales informáticos responsables de las respuestas a incidentes de seguridad.

El objetivo del ejercicio es enseñar cómo crear e implementar indicadores de compromiso mediante la plataforma de Investigación Colaborativa de Amenazas (CRIT, por sus siglas en inglés). Además, el ejercicio también muestra cómo aprovechar la CRIT para visualizar las relaciones entre diferentes elementos de una campaña, cómo extraer indicadores a partir de datos de incidentes, desarrollar medidas mitigadoras y realizar un seguimiento de dichas medidas. El ejercicio fue creado para un enfoque más estructurado de la gestión de indicadores y, en última instancia, un mejor equipamiento para garantizar la seguridad de las redes.

Informes completos:

Información procesable para respuestas a incidentes de seguridad

Normativas y herramientas para el intercambio y el tratamiento de información procesable

Utilización de indicadores para mejorar las capacidades de defensa de la información procesable