GESTIÓN DE INCIDENTES (Servicio IRIS-CERT)


PROCEDIMIENTO DE MITIGACIÓN


Cuando se detecta un incidente grave se seguridad es necesario reaccionar con rapidez. Si no es posible contactar con la institución implicada en el incidente, se procederá a aplicar este procedimiento para tratar de solucionar el problema lo antes posible.

Se consideran incidentes graves los especificados como prioridad alta o emergencia en la tabla “Relación de prioridades y taxonomía” disponible en la página web del servicio IRIS-CERT: http://www.rediris.es/cert/IH/taxonomia.html.
  • Incidentes de seguridad reiterados que estén causando un perjuicio a la imagen de la institución afiliada, a la red autonómica, a RedIRIS.

  • Incidentes en los cuales IRIS-CERT haya exigido actuaciones reactivas para la mitigación/solución del problema y éstas no se emprendan por parte de la institución o red autonómica.

  • Incidentes que causen una alteración en el funcionamiento del servicio de atención de incidentes.

Este procedimiento es parte del protocolo ordinario de gestión de incidentes de seguridad de RedIRIS (http://www.rediris.es/cert/IH/seguimiento.html) y consiste en lo siguiente:

Procedimiento ordinario


Incidentes con prioridad 'bajo' o 'normal':

En este tipo de incidentes IRIS-CERT esperará a que la institución tome las acciones correctivas necesarias para la solución del problema, siguiendo el protocolo ordinario de gestión de incidentes.

Incidentes con prioridad 'alta':

  1. Se intenta contactar con la institución responsable de la IP implicada en el incidente, para que tomé las acciones correctivas oportunas tanto por correo como por teléfono. Primero con su responsable de seguridad de la institución y luego con el PER de la institución.

    Si se trata de una institución conectada a una red autonómica, se pone también en copia de todos los mensajes a los responsables de seguridad de la red autonómica.

  2. Si al siguiente día laborable después de la última comunicación y como máximo transcurridas 24 horas, el problema persiste, se solicita directamente a la red autonómica que proceda a tomar las acciones correctivas necesarias sobre la IP atacante para atajar el problema.

    Para ello RedIRIS enviará un mensaje solicitando dichas acciones a la red autonómica, poniendo en copia de dicho mensaje a los responsables de la institución, de forma que sean conscientes de las medidas que la red autonómica va a tomar sobre su IP.

    Durante el transcurso de este lapso de tiempo se podrá contactar con ambas partes para conocer el estado de la implementación de la solución.

  3. Si al siguiente día laborable desde el último mensaje y como máximo transcurridas 24 horas, el problema persiste, RedIRIS procederá a mitigar el problema directamente en el backbone. Las acciones implementadas por RedIRIS para solucionar el problemas estarán vigentes hasta que la institución o la red autonómica acrediten que el problema ha quedado resuelto. RedIRIS quedará a la espera de recibir la información de la institución o la red autonómica, en la que debe consignarse el código del incidente (número de ticket) y la justificación que acredite que el problema se ha resuelto.

  4. Cuando RedIRIS recibe la comunicación con la solución del problema dispondrá como máximo de 24 horas para analizar dicha información y proceder a la eliminación de las medidas correctivas aplicadas sobre la IP.

Procedimiento mitigación para incidentes con prioridad alta

Incidentes con prioridad 'emergencia':

  1. Se toman las acciones correctivas del problema sobre el backbone de RedIRIS sin previa notificación a la institución afectada o a la red autonómica. De esta forma se protege la infraestructura de RedIRIS para garantizar su normal funcionamiento.

  2. Se intenta contactar con la institución responsable de la IP implicada en el incidente, tanto por correo como por teléfono. Primero con el responsable de seguridad de la institución y luego con el PER de la institución.

    Si se trata de una institución conectada a una Red Autonómica, se pone también en copia de todos los mensajes a los responsables de seguridad de la red autonómica.

  3. RedIRIS mantendrá las medidas correctivas aplicadas hasta que la institución o la red autonómica acrediten que el problema ha quedado resuelto.

    RedIRIS quedará a la espera de recibir la información de la institución o la red autonómica, en la que debe consignarse el código del incidente (número de ticket) y la justificación que acredite que el problema se ha resuelto.

  4. Cuando RedIRIS recibe la comunicación con la solución del problema dispondrá como máximo de 24 horas para analizar dicha información y proceder a la eliminación de las aacciones correctivas aplicasa sobre la IP.

Procedimiento mitigación para incidentes con prioridad emergencia

Observación:
  1. Acciones/Medidas correctivas: Son todos aquellos pasos encaminados para resolver un problema.