Modelo de madurez personalizado para un CSIRT coordinador
BENEFICIARIO
INTEGRANTES
Dora Alexandra Araque Cruz
Ángela Lizeth Luque Tovar
Luis Felipe Navas Pineda
AÑO
2023
PALABRAS CLAVE
CSIRT, madurez, modelo organizacional, SOC-CMM, CREST, ENISA, SIM3
CONTEXTO
Todas las organizaciones que se han encaminado por la transformación digital de sus procesos, independiente de su tamaño, deberían tener un equipo de profesionales encargados de la gestión de incidentes de seguridad de la información, propio o tercerizado.
A esos equipos se les denomina, por sus siglas en inglés, equipos CSIRT (Computer Security Incident Response Team) y todos coinciden en ofrecer servicios dirigidos a la prevención, detección, análisis, respuesta y/o reporte de incidentes, pero a su vez, todos difieren en su estructura, dependiendo de si sirven a una o varias organizaciones y de cómo se reparten las responsabilidades entre sus miembros.
Como a cualquier función de negocio, a un CSIRT se le puede medir su capacidad para mejorar continuamente en cuanto a la tecnología empleada, sus procesos y la calidad de su gente. A esa medición se le llama modelo de madurez. Al indagar en la literatura existente cómo son esos modelos, se observó que su foco era exclusivo para un tipo de modo de operación: el CSIRT centralizado, que sirve a una sola organización y tiene roles dedicados para las operaciones del día a día. Sin embargo, la motivación de este estudio era otro modo de operación: el CSIRT coordinador. Ante la inexistencia de un marco único y definitivo, surgió la necesidad de desarrollar uno propio partiendo de marcos desarrollados por grupos reconocidos de investigación en ciberseguridad.
PROPUESTA
Los equipos CSIRT coordinadores se organizan en jerarquías y suelen conformarse para servir a grandes compañías y grupos empresariales. Este trabajo presenta el desarrollo de un modelo de madurez objetivo y estructurado, que sea capaz de medir a ese tipo de entes.
Se realizó el análisis de distintos marcos de referencia, se evaluó su relevancia con el contexto organizacional, se estableció una metodología para combinar, ajustar y descartar distintos parámetros de evaluación, y finalmente, se puso a prueba el modelo con un CSIRT coordinador, que llevaba 2 años de constitución formal para un grupo empresarial.
RESULTADOS
Se generó un modelo de madurez personalizado en el que se evaluaron 4 dominios: procesos, tecnología, gobierno y personal del CSIRT coordinador. Aplicar el modelo fue el preámbulo para identificar cuáles eran las capacidades con más prioridad de mejora y así definir, diseñar e implementar un plan de trabajo mucho más fácil de sustentar para viabilidad económica ante las partes interesadas del negocio.