¿Qué servicios ofrece CSIRT.gal?

Para cooperar en la prestación de sus servicios a la sociedad gallega, en cada caso dentro de las condiciones que se establecen para los distintos colectivos destinatarios, se ha constituido una oficina técnica cuyas funciones principales son:

  • Soporte y apoyo al gobierno y gestión de la seguridad de la información
  • Apoyo en el cumplimiento normativo
  • Gestión de herramientas de seguridad
  • Difusión de las políticas, normas y procedimientos de seguridad establecidos

A continuación se describen los principales servicios que se prestan desde CSIRT.gal:

1. SERVICIOS Y HERRAMIENTAS DE MONITORIZACIÓN

Monitorización del nivel de ciberseguridad de Galicia y Entidades Gallegas

Este servicio obtiene la información de fuentes públicas disponibles en Internet (whois, registros DNS, RIPE, ...) y de elementos de análisis no invasivos, sin comprometer en ningún momento el perímetro de las organizaciones monitorizadas.

Gracias a esta monitorización, a nivel regional se puede medir el riesgo de ciberseguridad media y compararlo con el nivel de ciberseguridad global del resto de territorios de España, identificar los sectores productivos con mayor riesgo cibernético y supervisar la evolución de los índices de ciberseguridad tanto en cada uno de esos sectores como en media en el territorio. 

Para las entidades públicas gallegas, se obtienen y se les proporcionan datos sobre los riesgos informáticos que las amenazan desde Internet en función de la observación de su tráfico y de la configuración de los servicios a los que se puede acceder en todas las direcciones IP que les están asignadas (esto se conoce como superficie de exposición de la entidad), contribuyendo a la remediación de los problemas encontrados y obteniendo por lo tanto redes y servicios más seguros.

Imagen
Monitorización ciberseguridad

Monitorización continua de la superficie de exposición

El análisis continuo de vulnerabilidades permite detectar todos los servicios de red ofrecidos en direcciones IP seleccionadas de entre las pertenecientes a las entidades supervisadas, proporcionando información detallada sobre esos servicios, los sistemas en los que se están ejecutando y las versiones de software que tienen instaladas, lo que permite proporcionar recomendaciones sólidas para la asignación de recursos de supervisión y mejora.

Con esta información se puede comprobar si las aplicaciones instaladas tienen la versión apropiada en función del tipo de sistema y que todos los elementos se encuentren libres de vulnerabilidades conocidas, así como comprobar que se aplicaron los parches y actualizaciones requeridos. De este modo se puede evaluar el riesgo que suponen las configuraciones analizadas y la necesidad de proceder a actualizarlas.

Imagen
Pantalla ciberseguridad

Servicio de pentesting persistente

El pentesting o test de penetración tiene como objetivo detectar las vulnerabilidades existentes en los dominios analizados. Este servicio incorpora y automatiza las últimas técnicas y herramientas de los atacantes, y permite replicar el modelo de ataque en tres pasos que utilizan los cibercriminales:

  • Recolectar información
  • Analizar activos
  • Explotar vulnerabilidades

Al simular ataques de la manera que lo haría un cibercriminal se detectan debilidades y vulnerabilidades que deben ser corregidas. Los datos obtenidos son analizados por un equipo de seguridad calificado que evalúa los activos y descarta los falsos positivos para, finalmente, proporcionar soluciones a configuraciones inseguras de sistemas, ficheros potencialmente explotables y cualquier otro tipo de vulnerabilidad que se detecte. La repetición periódica de estas operaciones permite verificar la corrección de los problemas encontrados e incorporar nuevas pruebas según se van conociendo nuevas vulnerabilidades.

Imagen
Grupo de servidores informáticos

2. Servicios de Vigilancia Digital

El servicio de Vigilancia Digital es una solución integral dirigida a la detección y prevención de posibles amenazas de seguridad para evitar que se conviertan en un problema real.

Proporciona protección adicional frente a otros tipos de riesgos y amenazas que se detectan en Internet, como la existencia de dominios sospechosos (que puedan ser utilizados en esquemas de phishing), exposición de información confidencial y robo de credenciales. Las características principales sobre las que se cimienta este servicio son:

  • Detección proactiva de abusos que atenten contra la marca y la reputación de la entidad
  • Anticipación ante abusos cuya finalidad sea la disrupción en el negocio
  • Detección de actividades susceptibles de convertirse en acciones fraudulentas
  • Gestión y reducción del volumen de amenazas digitales
Imagen
Hacker informático

3. Servicios de gestión de eventos e información de seguridad

Se ha implementado un servicio SIEM (gestión de eventos e información de seguridad) que permite cosechar, correlacionar y analizar de forma automatizada los eventos, notificaciones de alarma y archivos de registro proporcionados a partir de fuentes de datos de sistemas y equipos de seguridad, con el objetivo de visibilizar lo antes posible los ataques o las tendencias de ataque en tiempo real.

Este servicio ofrece una capa de valor adicional sobre la seguridad que acercan los equipos perimetrales:

  • Monitorizando de forma centralizada todas las amenazas
  • Diferenciando amenazas reales de falsos positivos
  • Acercando conocimiento experto a los eventos
  • Detectando tendencias y patrones, obteniendo así un alto grado de proactividad
Imagen
Servizos de xestión de eventos e información de seguridade

4. Servicios de auditoría técnica

Se realizan revisiones técnicas sobre diferentes entornos para la mejora de la ciberseguridad:

  • Redes y sistemas:
    • Puesto de trabajo
    • Dispositivos móviles
    • Redes WIFI
  • Aplicaciones:
    • Aplicaciones web
    • Aplicaciones móviles
    • Análisis estático y dinámico
  • Pruebas de intrusión
  • Servicios de Red Team*

* En ciberseguridad se llama ‘Equipo Rojo’ (Red Team) a un grupo de expertos que pone en práctica contra la red propia las técnicas de ataque utilizadas por los cibercriminales, con el objetivo de identificar y eliminar sus vulnerabilidades. Como complemento, el ‘Equipo Azul’ (Blue Team) necesita ser consciente de esa misma información, pero desde el punto de vista de organizar la mejor defensa posible de los activos de información de la red.

Imagen
Servizos de auditoría técnica

5. Servicios de auditoría normativa

Se realizan revisiones normativas para la mejora de la seguridad de la información y la protección de datos personales. Principalmente en tres ámbitos concretos:

  • Esquema nacional de seguridad (ENS) y tareas de adecuación al mismo
  • Protección de datos personales (RGPD/LOPDGDD)
  • Normas ISO 27000
Imagen
Servizos de auditoría normativa

6. Formación, concienciación y talento

Las personas usuarias suelen ser el eslabón más débil de la cadena de seguridad y por eso es esencial contar con programas de formación y concienciación que las doten de los conocimientos y recursos necesarios para poder ejercer de verdaderos ‘cortafuegos humanos’.

Uno de los principales objetivos del CSIRT.gal es la formación y concienciación de las personas usuarias, tanto principiantes como expertas, y de la ciudadanía en general. Para eso se desarrollan campañas de concienciación y actividades formativas dirigidas a los distintos colectivos mediante diferentes recursos, tales como:

  • Charlas de formación sobre ciberseguridad y protección de datos
  • Píldoras informativas, infografías e informes
  • Servicio de avisos y alertas de seguridad
  • Artículos especializados
  • Vídeos formativos

Algunos de estos materiales disponen canales diferenciados para su distribución, pero todos ellos están disponibles para cualquier persona o entidad interesada a través de este Portal de Ciberseguridad de Galicia. 

Todo este esfuerzo busca el desarrollo de las capacidades necesarias que ayuden a las entidades y personas usuarias a hacer frente a las amenazas inherentes al uso de las Tecnologías de la Información, en un entorno de aprendizaje constante. El objetivo final es que disminuyan los incidentes de seguridad y fugas de información entre la ciudadanía, en las organizaciones y en las entidades gallegas.

Imagen
Persona en videollamada tomando apuntes