Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Procedimiento de mitigación

Cuando se detecta un incidente grave de seguridad es necesario reaccionar con rapidez. Si no es posible contactar con la institución implicada en el incidente, se procederá a aplicar este procedimiento para tratar de solucionar el problema lo antes posible.

Se consideran incidentes graves los especificados como prioridad alta o emergencia en la tabla "Relación de prioridades y taxonomía" disponible en la sección de taxonomía.

  • Incidentes de seguridad reiterados que estén causando un perjuicio a la imagen de la institución afiliada, a la red autonómica, a RedIRIS.
  • Incidentes en los cuales se haya solicitado o se haya exigido actuaciones reactivas para la mitigación/solución del problema y éstas no se emprendan por parte de la institución o red autonómica.
  • Incidentes que causen una alteración en el funcionamiento del servicio de atención de incidentes.

Este procedimiento es parte del protocolo ordinario de gestión de incidentes de seguridad y consiste en lo siguiente:

Procedimiento de mitigación

Incidentes con prioridad "bajo" o "normal":

En este tipo de incidentes el servicio esperará a que la institución tome las acciones correctivas necesarias para la solución del problema, siguiendo el protocolo ordinario de gestión de incidentes.

Incidentes con prioridad "alta":

Se intenta contactar con la institución responsable de la dirección IP implicada en el incidente para que tome las acciones correctivas oportunas tanto por correo como por teléfono. Primero con su responsable de seguridad de la institución y luego con el PER de la institución.

Si se trata de una institución conectada a una red autonómica, se pone también en copia de todos los mensajes a los responsables de seguridad de la red autonómica.

Si al siguiente día laborable después de la última comunicación y como máximo transcurridas 24 horas, el problema persiste, se solicita directamente a la red autonómica que proceda a tomar las acciones correctivas necesarias sobre la dirección IP atacante para atajar el problema. Para ello se enviará un mensaje solicitando dichas acciones a la red autonómica, poniendo en copia de dicho mensaje a los responsables de la institución, de forma que sean conscientes de las medidas que la red autonómica va a tomar sobre su dirección IP. Durante el transcurso de este lapso de tiempo se podrá contactar con ambas partes para conocer el estado de la implementación de la solución.

Si al siguiente día laborable desde el último mensaje y como máximo transcurridas 24 horas, el problema persiste, se procederá a mitigar el problema directamente en el backbone. Las acciones implementadas por RedIRIS para solucionar el problemas estarán vigentes hasta que la institución o la red autonómica acrediten que el problema ha quedado resuelto. Se quedará a la espera de recibir la información de la institución o la red autonómica, en la que debe consignarse el código del incidente (número de ticket) y la justificación que acredite que el problema se ha resuelto. Cuando se recibe la comunicación con la solución del problema dispondrá como máximo de 24 horas para analizar dicha información y proceder a la eliminación de las medidas correctivas aplicadas sobre la dirección IP

Procedimiento de aviso PRIORIDAD ALTA

Incidentes con prioridad "emergencia":

Se toman las acciones correctivas del problema sobre el backbone de RedIRIS sin previa notificación a la institución afectada o a la red autonómica. De esta forma se protege la infraestructura de RedIRIS para garantizar su normal funcionamiento.

Se intenta contactar con la institución responsable de la dirección IP implicada en el incidente, tanto por correo como por teléfono. Primero con el responsable de seguridad de la institución y luego con el PER de la institución. Si se trata de una institución conectada a una Red Autonómica, se pone también en copia de todos los mensajes a los responsables de seguridad de la red autonómica

RedIRIS mantendrá las medidas correctivas aplicadas hasta que la institución o la red autonómica acrediten que el problema ha quedado resuelto. RedIRIS quedará a la espera de recibir la información de la institución o la red autonómica, en la que debe consignarse el código del incidente (número de ticket) y la justificación que acredite que el problema se ha resuelto.

Cuando RedIRIS recibe la comunicación con la solución del problema dispondrá como máximo de 24 horas para analizar dicha información y proceder a la eliminación de las acciones correctivas aplicadas sobre la IP.

Procedimiento de aviso PRIORIDAD EMERGENCIA