GESTIÓN DE INCIDENTES (Servicio IRIS-CERT)


GESTIÓN DE INCIDENTES

En el momento que recibe una denuncia, IRIS-CERT genera un ticket y se pone en contacto con el responsable de la IP atacante a través de correo eletrónico o si se califica como incidente muy grave mediante llamada telefónica. En este ticket se ofrece la información detectada hasta el momento y se solicitan explicaciones sobre el origen y causas del ataque, así como medidas preventivas para remitir la agresión.

Estos tickets se caracterizan porque en el campo "Asunto" del reporte aparece un identificador del tipo [IRIS-CERT #id], donde id es un número natural que identifica el incidente de forma única e inequívoca.

Procedimiento de mitigación Mensajes de seguimiento Valores de cierre
(1) Visualizar 'Procedimiento de mitigación'.

Observación:
  • Desde RedIRIS se podrán aplicar filtros ante incidentes graves de seguridad, como puedan ser ataques de denegación de servicio o contra la infraestructura de comunicaciones. En estos casos se intentará que, en la medida de lo posible, sea la red regional o la propia institución la que en primera instancia aplique el filtro. En cualquier caso, IRIS-CERT podría aplicar el filtrado en la infraestructura de red de RedIRIS para agilizar el proceso o bien por una imposibilidad de la red regional o la institutucion afectada a aplicarlo.

  • De igual forma, se podrán aplicar filtros ante incidentes de seguridad reiterados con origen una institución afiliada a RedIRIS, en los cuales no haya ningún tipo de respuesta o ésta no sea satisfactoria.

  • Toda aplicación de filtrado se notificará a la institución y a la red regional, si procede.

Una vez que el informe se lanza se espera respuesta por parte del destinatario. En caso de no obtenerla, IRIS-CERT mandará, de forma automática, mensajes de seguimiento.

El procedimiento para el envío de mensajes de seguimiento variará dependiendo si el origen del ataque es una institución afiliada a RedIRIS o una institución externa.

 

Instituciones afiliadas a RedIRIS

Se abrirá y se enviará un ticket a los puntos de contactos de seguridad de la institución afiliada con copia a la red regional, si existiese.

Una vez lanzado el ticket se esperan 7 días naturales y se manda el primer mensaje de seguimiento (SEGUIMIENTO #1).

En caso de no recibir respuesta en los 7 días naturales siguientes, se vuelve a enviar un mensaje de seguimiento (SEGUIMIENTO #2).

Finalmente, en caso de seguir sin recibir respuesta, se manda un mensaje avisando del cierre del ticket con valor de resolución "Problema no resuelto (no se obtiene respuesta)".

Observación: En caso de cerrar el ticket a "Problema no resuelto (no se obtiene respuesta)" se puede cambiar el valor de resolución a "Solucionado satisfactoriamente (se aportan soluciones)". Para ello basta contestar al mensaje de cierre del ticket indicando las causas del ataque y las soluciones aportadas.

 

Instituciones no afiliadas a RedIRIS

Una vez lanzado el ticket se esperan 7 días naturales y se manda el primer mensaje de seguimiento (SEGUIMIENTO #1).

En caso de no recibir respuesta en los 7 días naturales siguientes, se procede a cerrar el ticket con valor de resolución "Problema no resuelto (no se obtiene respuesta)".

Fijémonos que, en este caso, no se manda mensaje indicando el valor de cierre.

Observación: En caso de cerrar el ticket a "Problema no resuelto (no se obtiene respuesta)" se puede cambiar el valor de resolución a "Solucionado satisfactoriamente (se aportan soluciones)". Para ello basta contestar al mensaje de cierre del ticket indicando las causas del ataque y las soluciones aportadas.

 

 

Enlaces relacionados