Interesante leer de un maestro de la seguridad de informacion que para proactuar con los ataques basta twitear, leer blogs, etc.

Pues si se diera un poco mas de tiempo se podira haber enterado que el NIST que dice pertenece al FIRST(Forum of Incident Response and Security Temas), con cerca de 200 entidades CERT y CSIRTS que intercambian la informacion que el autor dice esta en el internet.

En lo que si estoy de acuerdo es en que estas instituciones no dan acceso al cibernauta comun, se basan en una filosofia excluyente donde solo los miembros de la red intercambian informacion util.

Le pregunto, como deberia ser un CERT o CSIRT del año 2010?, quedo a la espera de su respuesta para enviarla a la U. Carniege Mellon y ver si con eso me gano una beca, ya que los procedimientos de un CERT/CSIRT son bastante largos y engorrosos.

No creo que los CERT no funcionen, la ignorancia y poco interes de los usuarios, y sobre todo de las empresas con su personal “certificado” que no se involucran como deben, la informacion ahi esta, como siempre ha sido en la historia de internet, que esperes a que todo te lo digan es otra cosa, los cert son muy buenos y cumplen su labor de manera excepcional, creo que tiendes a esperar a que las cosas te lleguen para hacerlas.

Estimado Fausto, me hicieron llegar la liga de este artículo y al iniciar a leerlo me parecía que el autor era alguien sin mucho conocimiento de lo que es un CERT y en general de la seguridad de la información. Sin embargo me sorprendió ver que tú eres el autor, con la formación académica que tienes y tu inmersión en el medio me parece extraño que desconozcas las actividades que se llevan a cabo, como alertas tempranas, para ejecutar el ciclo de manejo de incidentes: identificación, contención, erradicación y recuperación.
Si bien los CERTs tienen mucho que hacer para poder combatir las amenazas de internet si me parece muy aventurado plantear que una de las opciones sea que desaparezcan; en E.U. el CERT/CC se ha vuelto tema de seguridad nacional, dependiendo ahora directamente del DHS (Department of Homeland Security).

El post se podría decir que es interesante, pero también tiene un tono un tanto amarillista y precisamente opuesto a la proactividad que predica…..Nada más critica, por tal o cual razón, pero un CISSP debe tener el criterio suficiente (creo) para, así como criticar, proponer……por eso concuerdo con victor y pregunto lo mismo…¿Qué cree un Maestro/Consultor/Analista/ que debe tener un CERT en 2010? ¿Qué podria haber en lugar de un CERT? Además, opino que debería informarse más acerca de las actividades de un CERT ya que a pesar de que una de sus activiades es la difusión, no es la principal…..

Que tal Fausto,

Es un punto de vista muy respetable aunque poco preciso, ya que solo habla de la parte de difusión de información por parte de los CERTs, lo cual no es el único objetivo de los mismos. Punto por punto:

<<<
<Desde el Blaster, el malware ha evolucionado a nuevas amenazas: buscan dinero y son sigilosos (no <quieren ser detectados). También han tomado fuerza los ataques dirigidos como el que sufrió Google. <<<¿Qué han hecho estos CERT contra este nuevo tipo de amenazas?
<<<

¿Sabías que cada vez hay mas organizaciones del sector público y privado que definen como iniciativa estratégica el contar con un CSIRT interno para minimizar este tipo de amenazas? y que algunos CERTs colaboran con los mismos para compartir asesoría y experiencia en el tema???

<<<
<<¿Alguien quiere conocer noticias relevantes de seguridad o estar al pendiente de nuevas amenazas <<o vulnerabilidades? Ahí está Twitter y el Google Reader (u otro recolector de RSS) que es de hecho lo <<que hago yo. ¿Manuales o procedimientos para configuraciones de seguridad? Ahí están los sitios <<de los fabricantes, el NIST u otras fuentes. ¿Información completa de malware? Tenemos los sitios <<web de los fabricantes de antivirus. Blogs y artículos completan la información (e incluyen opiniones)
<<<

Es como decir que por la misma existencia de la Internet va a desaparecer la prensa escrita ¿no es así cierto?? Además un CERT o CSIRT puede tomar medias aterrizadas al riesgo que presenta cada organización o país al cual da servicio… lo cual reduce la posibilidad del caos en el manejo de incidentes.

<<<
<<<¿Qué y cuánto se ha podido prevenir por tener estos CERT? ¿Existe algún dato concreto y objetivo <<<que defina la aportación de estos sitios? Los cientos de usuarios que caen víctimas del malware <<<para robar dinero al hacer banca en línea y las empresas que han perdido montos tan <<<descabellados (y que están a punto de la quiebra) probablemente no recibieron ayuda de estos <<<CERT, creo yo.
<<<
<<<Pidan casos concretos de ayuda, información detallada del apoyo brindado que en el mundo real <<<haya servido de algo o en qué medida han prevenido que amenazas exploten vulnerabilidades; en <<<pocas palabras, cifras, números y ahorro$. Juzguen por ustedes mismos.
<<<

Igual, tomas la perspectiva de lo que ves en el sitio web de cada CERT. Te has acercado a algún CERT o CSIRT a pedir estos datos??

<<<
<<<Opino que los CERT tienen una actitud muy poco proactiva, ellos piensan “yo pongo la información <<<y ayuda aquí, depende de los usuarios venir a buscarla, depende de ellos enterarse de mi <<<existencia”.
<<<

Igual, acércate a un CERT y te sorprenderás… incluso en la misma UNAM (México) tienen mecanismos pro-activos y proyectos interesantes para reaccionar a varias amenazas.

Espero que realmente tomes esto enserio y veamos otro articulo mas preciso que hable de tu acercamiento a la operación de un CERT, y no solo a su página web.

Saludos

Estimados, muchas gracias por sus comentarios. Vi en algunos de ellos una defensa por los CERT, ya que comentan que son muy buenos y que cumplen su función. Pero no me dicen por qué son muy buenos, o algunos ejemplos en donde los CERT hayan cumplido su función, una intervención definitiva donde veamos su efectividad. Reconozco que hacen una labor de recopilación de debilidades y que los fabricantes de SW se acercan a ellos para darles las noticias antes que a nadie; tal vez ayuden a una que otra empresa con sus problemas de emergencia. Ahora yo les pregunto: lo que hacen es suficiente? Si la respuesta es un “sí”, entonces ni hablar, tenemos puntos de vista distintos.

Yo imagino un CERT involucrado con las empresas y entidades gubernamentales, dando charlas para ofrecer sus servicios, preguntando sus necesidades. Imagino un CERT proactivo y no pasivo acercándose con quienes deben de “defender” para que sepan de su existencia y que sepan cómo pueden ayudarlos. Que salgan de su madriguera pues.

Imagino al personal de los CERT contactando vía correo a los encargados de los departamentos de sistemas de las corporaciones grandes y chicas para acercarse a ellos, ofrecerles su valiosa documentación para proteger a sistemas y redes.
Imagino a los CERT creando foros de discusión en sus páginas y/o en Facebook, LinkedIn u otro foro en Internet que ustedes gusten. Imagino a los CERT yendo a escuelas para charlar con los alumnos (¿primaria/secundaria?) respecto a los cuidados básicos que hay que tener en Internet.

No me digan que les falta personal y recursos o que no son magos. Porque donde se podrían ver limitantes, yo veo oportunidades; por algo hay que empezar. No, no me conformo con el trabajo que están haciendo los CERT, porque quiero que sean algo mejor de lo que son. Si para ustedes su trabajo es inmejorable y excepcional, adelante, tenemos una visión diferente. Para mí están caducos porque creyeron eso mismo: que lo que hacen es suficiente y que cumplen su función; no hay mejoría.

Portar el nombre de “CERT” es algo serio, deben de ser incluyentes y no excluyentes. No nos confundamos, en los CERT hay gente valiosa y conocedora, lo que busco es que vayan afuera a que los conozcan, que nos transmitan su labor y su función de una mucho mejor manera. Que creen foros interesantes, grupos en LinkedIn, blogs, artículos en revistas, uno que otro anuncio pagado en periódicos para saber de su existencia y de los servicios que pueden ofrecernos.
Sostengo que los CERT o al menos su modelo de “negocio” ya caducó y que deben de preguntarse qué más pueden hacer por entidades de gobierno, corporaciones e individuos; y si pueden cumplir su función de una mucho mejor manera.

Finalmente, de nuevo gracias por sus comentarios. Les expuse mis pensamientos y si aún no concuerdan, adelante, todos tenemos puntos de vista diferentes y por supuesto yo respeto los suyos.