Respuesta a incidentes

En el momento que recibe una denuncia, se genera un ticket y se pone en contacto con el responsable de la IP atacante a través de correo electrónico o si se califica como incidente muy grave mediante llamada telefónica. En este ticket se ofrece la información detectada hasta el momento y se solicitan explicaciones sobre el origen y causas del ataque, así como medidas preventivas para remitir la agresión.

Estos tickets se caracterizan porque en el campo "Asunto" del reporte aparece un identificador del tipo [INCIBE-CERT_IRIS #id], donde id es un número natural que identifica el incidente de forma única e inequívoca.

Diagrama de flujo

Observación:

  • Desde RedIRIS se podrán aplicar filtros ante incidentes graves de seguridad, como puedan ser ataques de denegación de servicio o contra la infraestructura de comunicaciones. En estos casos se intentará que, en la medida de lo posible, sea la red regional o la propia institución la que en primera instancia aplique el filtro. En cualquier caso, se podría aplicar el filtrado en la infraestructura de red de RedIRIS para agilizar el proceso o bien por una imposibilidad de la red regional o la institución afectada a aplicarlo.
  • De igual forma, se podrán aplicar filtros ante incidentes de seguridad reiterados con origen una institución afiliada a RedIRIS, en los cuales no haya ningún tipo de respuesta o ésta no sea satisfactoria.
  • Toda aplicación de filtrado se notificará a la institución y a la red regional, si procede.

Una vez que el informe se lanza se espera respuesta por parte del destinatario. En caso de no obtenerla, se mandarán, de forma automática, mensajes de seguimiento.

El procedimiento para el envío de mensajes de seguimiento variará dependiendo si el origen del ataque es una institución afiliada a RedIRIS o una institución externa.

Instituciones afiliadas a RedIRIS

Procedimiento

Se abrirá y se enviará un ticket a los puntos de contactos de seguridad de la institución afiliada con copia a la red regional, si existiese.

Una vez lanzado el ticket se esperan 7 días naturales y se manda el primer mensaje de seguimiento (SEGUIMIENTO #1).

En caso de no recibir respuesta en los 7 días naturales siguientes, se vuelve a enviar un mensaje de seguimiento (SEGUIMIENTO #2).

Finalmente, en caso de seguir sin recibir respuesta, se manda un mensaje avisando del cierre del ticket con valor de resolución "Cerrado (Sin resolución y sin respuesta)".

Observación: En caso de cerrar el ticket a "Cerrado (Sin resolución y sin respuesta)" se puede cambiar el valor de resolución a "Cerrado (Resuelto y con respuesta)". Para ello basta contestar al mensaje de cierre del ticket indicando las causas del incidente y las soluciones aportadas.