SERVICIOS CSIRT

LUMA cloud

El CSIRT de Luma (Computer Security Incident Response Team) es tu primera línea de defensa ante las amenazas cibernéticas. Nuestro equipo de expertos monitorea, detecta, investiga y responde a incidentes de seguridad en tiempo real, garantizando la protección continua de tu infraestructura y datos.

🔹 ¿Qué hacemos?
✅ Prevención: Identificamos vulnerabilidades antes de que sean explotadas.
✅ Detección: Monitoreo constante para descubrir amenazas en tiempo real.
✅ Respuesta: Contención y mitigación inmediata de ataques cibernéticos.
✅ Remediación: Restauramos la seguridad y fortalecemos tu defensa.
✅ Pentesting continuo y simulación de ataques: servicio de evaluación continua de la postura de seguridad mediante pruebas automatizadas y simuladas que reemplazan el modelo tradicional de pentesting puntual.
✅ Concientización: programas estructurados de concientización en ciberseguridad orientados a fortalecer la primera línea de defensa: el usuario. A través de campañas educativas, talleres prácticos, simulaciones de phishing y materiales interactivos

Misión del CSIRT Luma

Proveer capacidades especializadas para la gestión de incidentes de seguridad de la información, mediante la detección temprana, análisis avanzado, contención y recuperación frente a amenazas cibernéticas que afecten la infraestructura digital de nuestros clientes.
Actuamos como un socio estratégico en la protección de sus activos críticos, garantizando la continuidad operativa y el cumplimiento de estándares internacionales de ciberseguridad. Nuestro accionar se basa en metodologías reconocidas, monitoreo continuo y respuesta coordinada, orientados a preservar la confidencialidad, integridad y disponibilidad de la información.

El CSIRT LUMA, integrado al Centro de Operaciones de Seguridad (SOC), es responsable de liderar y coordinar el proceso de respuesta ante incidentes de seguridad de la información, tanto en entornos internos como en los servicios ofrecidos a los clientes.
Este proceso incluye la identificación temprana de actividades anómalas o maliciosas, el análisis detallado de eventos y alertas, y la correlación de datos provenientes de diversas fuentes, como sistemas SIEM, sensores de red, endpoints, servicios en la nube y fuentes de inteligencia de amenazas (Threat Intelligence).
Una vez confirmado un incidente, el CSIRT ejecuta acciones de contención, mitigación y erradicación siguiendo protocolos establecidos, con el objetivo de evitar su propagación, limitar su impacto y restaurar la operación normal de los servicios afectados. Se aplican medidas correctivas y se recolecta evidencia digital de manera controlada para fines de análisis forense y cumplimiento legal si es necesario.
El CSIRT LUMA también se encarga de la coordinación de la comunicación interna y externa, asegurando que los involucrados estén informados oportunamente y que se apliquen los procedimientos definidos en los planes de respuesta, continuidad del negocio y recuperación ante desastres.
Una vez resuelto el incidente, se realiza una evaluación post mortem (post-incident review) para identificar causas raíz, lecciones aprendidas y oportunidades de mejora. Estos hallazgos alimentan un proceso continuo de fortalecimiento de las capacidades defensivas y preventivas del entorno tecnológico.
Nuestro enfoque se basa en marcos internacionales como el NIST SP 800-61, ISO/IEC 27035, y las buenas prácticas del FIRST, garantizando una gestión estructurada, efectiva y alineada con los estándares globales de ciberseguridad.

Tipo de Incidente:

Incidentes categorizados según la naturaleza de la amenaza detectada:

Acceso no autorizado / Intrusión: Acceso indebido a sistemas, redes o aplicaciones.
Malware / Ransomware: Instalación de software malicioso que afecta la disponibilidad, integridad o confidencialidad.
Phishing / Suplantación: Correos o mensajes falsos dirigidos a obtener credenciales u otra información sensible.
Fuga de información: Exposición o robo de datos confidenciales o sensibles.
Denegación de servicio (DoS/DDoS): Ataques que afectan la disponibilidad de los servicios tecnológicos.
Violación de políticas internas: Acciones o configuraciones que incumplen normativas de seguridad institucional.
Manipulación / Fraude digital: Alteración de sistemas o datos con fines maliciosos.

Impacto en el Negocio

Clasificación en función del efecto en los servicios, usuarios y operaciones:

Crítico: Paralización de servicios esenciales, pérdida de datos sensibles o exposición pública. Afecta gravemente la continuidad del negocio.
Alto: Degradación importante de servicios. Afecta procesos clave o usuarios internos.
Medio: Problemas operativos puntuales o intermitentes. Riesgo controlado.
Bajo: Eventos sin afectación directa o de impacto mínimo. Pueden ser sintomáticos.

Frecuencia o Comportamiento:

Según la persistencia o naturaleza del evento:

Evento aislado: No se ha repetido ni está relacionado con otros casos.
Recurrente: El incidente ocurre con frecuencia o en múltiples puntos.
Activo / en curso: Amenaza que aún se encuentra presente y requiere monitoreo constante.
Latente / potencial: Indicios de amenaza que aún no se materializa pero requiere seguimiento.

Prioridad de Respuesta

Esta categoría determina la urgencia y tiempo de respuesta del CSIRT:

• P1 – Alta prioridad: Atención inmediata (ransomware, intrusión confirmada, fuga crítica).
P2 – Prioridad media: Atención en menos de 4 horas. Afectación parcial o potencial de escalamiento.
P3 – Prioridad baja: Atención programada. Incidentes sin impacto inmediato.
P4 – Observación / mejora: Casos informativos o que no representan amenaza directa.

Sistema NO degradado

Imposibilidad de acceso que afecta un único sitio/ número bajo de usuarios, sin impedir la ejecución de las acciones principales del negocio.
La integridad de la información del negocio no ha sido cambiada.

El CSIRT Luma ejecuta la gestión de incidentes de seguridad de la información conforme al Procedimiento de Gestión de Eventos e Incidentes, priorizando la atención en función del nivel de criticidad del ataque y del valor de los activos afectados. Este enfoque garantiza una respuesta oportuna, efectiva y alineada con las mejores prácticas.
Asimismo, se establece la coordinación con partes interesadas externas —incluidas autoridades competentes y comunidades especializadas— mediante la aplicación de lineamientos definidos en documentos internos que regulan dichos contactos, asegurando una comunicación estructurada y trazable durante todo el ciclo de vida del incidente.