Download Aproximación a la Informática Forense

page
1
page
2
Document related concepts
no text concepts found
Transcript 
134
Peritaciones y Arbitrajes
Aproximación a la
Informática Forense
LA INFORMÁTICA FORENSE DEFINE EL PROCESO DE
OBTENCIÓN DE INFORMACIÓN DIGITAL SOBRE UN INCIDENTE
PARA POSTERIORMENTE ANALIZARLA Y DETERMINAR LO QUE
REALMENTE SUCEDIÓ DURANTE EL MISMO
de seguridad informática que se presenten para prevenir, mitigar, corregir
Roberto
Fañanás Conte
CISA
ARMADA ESPAÑOLA
B
y controlar los riesgos en la infraes-
tiende como la violación o la amenaza
tructura informática que soporta los
inminente de violación de las políticas
procesos críticos del negocio.
de seguridad o los estándares o prácti-
Una de las primeras consideraciones
a la hora de crear un Plan de Respuesta
cas de la Organización.
Los procedimientos que emanen de
ante Incidentes es definir que entiende
este Plan deberán estandarizar las
la Organización por Incidente. No obs-
respuestas intentando minimizar los
tante, a la hora de acercarse a esta
errores que se puedan producir espe-
ásicamente, al Gobierno de las
cialmente aquellos debidos a la pre-
Tecnologías de la Información
mura de tiempo y al stress de la situa-
y Comunicaciones (TIC) se le
exigen dos cosas: que produzca valor
comercial y que se mitiguen los riesgos. La primera se lleva a cabo por la
alineación estratégica con el negocio.
La segunda al establecer las responsabilidades dentro de la Organización.
Una administración de la Seguridad
TIC y por ende de la Gestión del Riesgo debe abordar la Gestión de Inci-
Un Incidente de Seguridad
TIC se entiende como la
violación o la amenaza
inminente de violación de
las políticas de seguridad
ción, para ello el Plan definirá el Ciclo
de Vida continuo de Respuesta ante
Incidentes cubriendo cuatro fases:
1. Preparación
2. Detección y Análisis
3. Contención, Erradicación y Recuperación
4. Actividades Posteriores al Incidente
Es aquí donde la Informática
Forense se convierte en la estrella.
Informática Forense se puede definir
dentes conforme a estos principios, ya
que antes o después toda Organiza-
definición es bueno recordar que la defi-
como la rama de la Ciencia Forense
ción se verá involucrada en un Inci-
nición de Incidente ha evolucionado, en
que mediante un Método Científico,
dente.
el pasado, un Incidente de Seguridad en
define el proceso de obtención de tan-
las TIC, era definido como cualquier
ta información digital como sea posible
frente a la Gestión de Incidentes debe
suceso adverso que tenía como conse-
sobre un Incidente para posteriormen-
verse reflejada en las políticas, proce-
cuencia una pérdida de la confidenciali-
te analizarla y ser capaz de determinar
dimientos y normas desarrollados a tal
dad, de la integridad o de la disponibili-
lo que realmente sucedió durante el
efecto con el objetivo de determinar el
dad de los datos o sistemas. Hoy en día,
mismo, utilizando herramientas y tec-
origen y las causas de los incidentes
un Incidente de Seguridad TIC se en-
nología que puedan ser aceptadas por
La posición de la Organización
nº 4 „ julio / agosto 2006
Peritaciones y Arbitrajes
• ADMISIBLES: Deben obtenerse de
será un individuo altamente prepara-
forma legal, para garantizar su validez
do, que conoce las técnicas forenses y
ante los tribunales si fuese necesario.
que utilizará contramedidas que en-
• AUTENTICAS: Debemos garantizar
mascaren sus actividades, por ello
que en todo el proceso seguido se ha
acciones que en principio pueden ser
garantizado la Cadena de Custodia.
de sentido común, como puede ser el
• COMPLETAS: Deben contar todo lo
aislar el sistema comprometido, pue-
sucedido, y no sólo una visión parcial
den provocar la eliminación de las
del mismo.
Evidencias existentes. Es por ello que
• FIABLES: No debe haber ninguna
cualquier acción debe de ser evaluada
duda de los procedimientos seguidos
previamente ya que en la mayoría de
en su obtención y autenticidad.
las ocasiones la vuelta atrás será im-
• CREÍBLES: Deben garantizar que
posible.
con la información que aportan, se
comprende que es lo que ha sucedido.
Si la planificación es un elemento
un tribunal y probar su veracidad y
exactitud con el propósito de presentar
dicha información como Evidencias.
Es necesario tener en consideración
tanto es necesario poder defender el
como y el porque de nuestro método
de trabajo, la respuesta la encontramos en la misma esencia del Método
Científico:
1. Identificar el problema
2. Formular una hipótesis
3. Probar conceptual y empíricamente
la hipótesis
4. Evaluar la hipótesis.
5. Si la hipótesis es aceptada, evaluar
existencia de un incidente. Por ello el
clave dentro de cualquier proceso de
Plan deberá definir el procedimiento
gestión, en cualquier actividad forense
de puesta en marcha del Plan, así
se convierte en el acto principal. Vea-
como los procedimientos que garanti-
mos algunas razones que confirman
cen la difusión, entrenamiento y
esta afirmación.
concienciación de dicho procedimiento
Un principio fundamental en la ciencia forense es el «Principio de Locard»:
Cualquiera o cualquier objeto que en-
que toda actuación Forense puede
finalizar en los tribunales y que por
Rara vez será el equipo de Respuesta a Incidentes el que descubra la
de puesta en marcha entre todos los
usuarios.
De igual modo es necesario prever
que cualquier incidente puede exceder
El «enemigo» está
preparado, conoce las
técnicas forenses y
utiliza contramedidas que
enmascaran sus
actividades
su impacto.
el perímetro no ya de nuestra Organización sino incluso las fronteras políticas nacionales y lo que condicionará
de forma sustancial nuestras actuaciones: las fronteras legislativas. Es por
ello imprescindible conocer los principios legales internacionales relacionados con el crimen informático
(Cybercrime).
Por último, pero no por ello menos
importante, señalar que la creación de
un equipo forense no es una cuestión
trivial, requiere la creación de un equi-
tra en la escena del crimen deja un
po multidisciplinar con una gran espe-
forense es la presentación de Eviden-
rastro en la escena o en la víctima y
cialización, dilatada experiencia y mu-
cias, ¿pero qué se entiende por Evi-
viceversa, es decir, cada contacto
cho, mucho entrenamiento.
La finalidad última del análisis
dencia? Podemos definir como tal a
deja un rastro. Siendo este principio
toda porción de información que per-
la raíz de cualquier investigación
mite afirmar o descartar la ocurrencia
forense, puede convertirse en el ma-
de un hecho específico y que debe
yor enemigo del análisis forense, ya
correlacionar todas las posibles varia-
que cualquier actuación incluso la sola
bles para no ser circunstancial.
presencia en el escenario contaminará
Siguiendo las recomendaciones del
RFC 3227, debemos garantizar que las
evidencias son:
e incluso puede llegar a invalidar las
evidencias.
El campo de batalla puede parecer
confuso y caótico, pero el bando
propio debe permanecer ordenado.
Así será a prueba de derrotas.
Sun Tzu - El Arte de la Guerra
El «enemigo» en muchos casos
nº 4 „ julio / agosto 2006
135
Related documents
Guía actualizada para futuros peritos informáticos. Últimas
Guía actualizada para futuros peritos informáticos. Últimas
estado del analisis forense digital en colombia diego alejandro
estado del analisis forense digital en colombia diego alejandro
Aproximación a la informática forense y el derecho
Aproximación a la informática forense y el derecho
Metodología de análisis forense orientada a incidentes en
Metodología de análisis forense orientada a incidentes en
tesis de grado ingeniero en sistemas informáticos
tesis de grado ingeniero en sistemas informáticos
Informática Forense
Informática Forense