La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

El análisis forense informático y la prevención de incidentes en la organización moderna

Presentaciones similares


Presentación del tema: "El análisis forense informático y la prevención de incidentes en la organización moderna"— Transcripción de la presentación:

1

2 El análisis forense informático y la prevención de incidentes en la organización moderna

3 Acerca de: @Pablo Velasco Somera, CEH, CHFI - ISO Auditor Interno @Gerente de servicios de ciberseguridad

4 Agenda @ Introducción @ Auditoría forense informática @ Cronología
@ Proceso forense informático @ Gestión de incidentes @ Escenarios @ Caso de estudio @ Conclusiones

5 UN INCIDENTE ES...

6 Contexto

7 Contexto

8 ¿Qué puede hacer la Organización?
Tomar medidas correctivas (paños de agua tibia). Utilizar enfoques preventivos basados en riesgos. Fortalecer los mecanismos de respuesta a incidentes. Empoderar a los departamentos de control interno. Nada.

9 AUDITORÍA FORENSE INFORMÁTICA

10 Introducción La auditoría forense informática es una herramienta administrativa, legal y procedimental la cual es utilizada para descubrir la génesis de un delito, violación o fraude por medio de pruebas realizadas sobre evidencia digital.

11 Cronología Fuente:https://hal.inria.fr/hal-01060606/document
2006 – Se genera el concepto de E-Discovery 1976 – Cryme by computer – Donn Parker 1993 – Conferencia sobre evidencia digital - FBI 1995 – Caso George Stanley Burdynski, Jr. 1947 – Era industrial de la computación 1985 – Se crea el IACIS 2015 – Caso san Bernandino Fuente:

12 Proceso forense informático
Pre-Investigación Preparación del caso Búsqueda e incautación Análisis Reporte y post-investigación

13 Pre- Investigación Entrada:Requerimientos para una capacidad forense.
Proceso:Construir capacidades forenses. Salida: Hardware forense y metodología.

14 Recursos - Capacidad forense
Físicos: Locaciones / Laboratorio. Hardware: Bloqueadores, herramientas físicas, Estaciones FRED / Servidor propio. Humanos: Expertos informáticos / Abogados. Tecnológicos: Herramientas Open Source / Herramientas licenciadas.

15 Recursos - Capacidad forense

16 Preparando el caso Entrada: Información sobre el caso.
Proceso:Elaborar hipótesis y planes. Salida: Describir un plan para obtener la evidencia digital.

17 El peor de los casos Es recomendable preparar una investigación pensando siempre en el peor escenario.

18 Búsqueda e incautación
Entrada: Plan de adquisición de evidencia digital. Proceso:Adquisición de la evidencia digital. Salida: Preservación y documentación de la evidencia digital.

19 Software de Adquisición
Sistemas Operativos Software de Adquisición Guymager

20 Cadena de custodia La cadena de custodia  se define como el procedimiento controlado que se aplica a los indicios materiales relacionados con el delito, desde su localización hasta su valoración por los encargados de su análisis, normalmente peritos, y que tiene fin no viciar el manejo que de ellos se haga y así evitar alteraciones, sustituciones, contaminaciones o destrucciones. Fuente:

21 Cadena de custodia Lineamientos para la cadena de custodia en Colombia. Manual cadena de custodia:

22 Como se puede afectar la cadena de custodia?
Aquí una de tantas respuestas.

23 Recursos – Adquisición de evidencia
Aspectos legales y procedimentales: Manual de cadena de custodia . Aspectos técnicos: NIST SP

24 Análisis Entrada: Evidencia preservada (cadena de custodia).
Proceso:Análisis basado en hipótesis. Salida: Resultado del análisis (valor probatorio).

25 Recursos - Análisis La prueba en el proceso penal Colombiano: Ver Unidad 3. “ La prueba Pericial”, pág 171

26 Documentación Entrada: Análisis de los resultados.
Proceso: Reporte final escrito. Salida: Preparación del testimonio.

27 Post - Investigación Entrada: Reporte final – Notas.
Proceso: Proceso de sustentación / testificar. Salida: Actualización del perfil de riesgo.

28 Post - Investigación Debe se debe fortalecer la gestión del riesgo basado en el aprendizaje de los incidentes de seguridad.

29 Proceso de gestión de incidentes
Detección y registro Cierre del incidente Seguimiento Clasificación y soporte inicial Solución restablecimiento del servicio Investigación y diagnóstico Escalamiento

30 Caso de estudio Caso: Sabotaje informático, violación de la política de uso de software aceptado. Incidente registrado: Pérdida operativa del servicio de suministro debido a la caída del servidor principal encargado de realizar la coordinación de despachos. Pérdidas económicas: COP $1000 MILLONES

31 Formulación de hipótesis
Personal con acceso al servidor. Personal despedido recientemente Nivel de exposición del servidor hacia internet Personal con presencia de software malintencionado Ciberdelincuencia y software de minado de criptomonedas

32 Recolección de evidencia
Desplazamiento a la ciudad de Bogotá 5 equipos y 1 servidor bajo custodia Adquisición de la evidencia digital Preservación de la cadena de custodia bajo el marco normativo colombiano

33 Análisis de la evidencia
Transporte de la evidencia digital al laboratorio Análisis de la evidencia digital Comprobación de hipótesis iniciales Uso de software calibrado y aprobado internacionalmente

34 Hallazgos y conclusiones
Debilidades del proveedor tecnológico cuando se solicitó una copia correspondiente a la fecha del incidente. Ausencia de políticas para la gestión de logs en servidores y dispositivos perimetrales. Conocimiento sobre infecciones por malware en la plataforma tecnológica, evidencia intercambio de correos. Presencia de software malintencionado (malware) en equipos de cómputo del personal que accedía al servidor.

35 Conclusiones Todas las compañías son susceptibles de padecer algún tipo de incidente. La tecnología evoluciona, la sociedad es cambiante, la empresa crece: Revisión y creación constante de nuevas alertas y controles. Se debe alinear el proceso de respuesta a incidentes con la gestión del riesgo. Es cada vez mas importante el papel de los equipos de respuesta a incidentes. Las técnicas avanzan, las tecnologías también

36


Descargar ppt "El análisis forense informático y la prevención de incidentes en la organización moderna"

Presentaciones similares


Anuncios Google