Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porSalvador López Modificado hace 6 años
2
El análisis forense informático y la prevención de incidentes en la organización moderna
3
Acerca de: @Pablo Velasco Somera, CEH, CHFI - ISO Auditor Interno @Gerente de servicios de ciberseguridad
4
Agenda @ Introducción @ Auditoría forense informática @ Cronología
@ Proceso forense informático @ Gestión de incidentes @ Escenarios @ Caso de estudio @ Conclusiones
5
UN INCIDENTE ES...
6
Contexto
7
Contexto
8
¿Qué puede hacer la Organización?
Tomar medidas correctivas (paños de agua tibia). Utilizar enfoques preventivos basados en riesgos. Fortalecer los mecanismos de respuesta a incidentes. Empoderar a los departamentos de control interno. Nada.
9
AUDITORÍA FORENSE INFORMÁTICA
10
Introducción La auditoría forense informática es una herramienta administrativa, legal y procedimental la cual es utilizada para descubrir la génesis de un delito, violación o fraude por medio de pruebas realizadas sobre evidencia digital.
11
Cronología Fuente:https://hal.inria.fr/hal-01060606/document
2006 – Se genera el concepto de E-Discovery 1976 – Cryme by computer – Donn Parker 1993 – Conferencia sobre evidencia digital - FBI 1995 – Caso George Stanley Burdynski, Jr. 1947 – Era industrial de la computación 1985 – Se crea el IACIS 2015 – Caso san Bernandino Fuente:
12
Proceso forense informático
Pre-Investigación Preparación del caso Búsqueda e incautación Análisis Reporte y post-investigación
13
Pre- Investigación Entrada:Requerimientos para una capacidad forense.
Proceso:Construir capacidades forenses. Salida: Hardware forense y metodología.
14
Recursos - Capacidad forense
Físicos: Locaciones / Laboratorio. Hardware: Bloqueadores, herramientas físicas, Estaciones FRED / Servidor propio. Humanos: Expertos informáticos / Abogados. Tecnológicos: Herramientas Open Source / Herramientas licenciadas.
15
Recursos - Capacidad forense
16
Preparando el caso Entrada: Información sobre el caso.
Proceso:Elaborar hipótesis y planes. Salida: Describir un plan para obtener la evidencia digital.
17
El peor de los casos Es recomendable preparar una investigación pensando siempre en el peor escenario.
18
Búsqueda e incautación
Entrada: Plan de adquisición de evidencia digital. Proceso:Adquisición de la evidencia digital. Salida: Preservación y documentación de la evidencia digital.
19
Software de Adquisición
Sistemas Operativos Software de Adquisición Guymager
20
Cadena de custodia La cadena de custodia se define como el procedimiento controlado que se aplica a los indicios materiales relacionados con el delito, desde su localización hasta su valoración por los encargados de su análisis, normalmente peritos, y que tiene fin no viciar el manejo que de ellos se haga y así evitar alteraciones, sustituciones, contaminaciones o destrucciones. Fuente:
21
Cadena de custodia Lineamientos para la cadena de custodia en Colombia. Manual cadena de custodia:
22
Como se puede afectar la cadena de custodia?
Aquí una de tantas respuestas.
23
Recursos – Adquisición de evidencia
Aspectos legales y procedimentales: Manual de cadena de custodia . Aspectos técnicos: NIST SP
24
Análisis Entrada: Evidencia preservada (cadena de custodia).
Proceso:Análisis basado en hipótesis. Salida: Resultado del análisis (valor probatorio).
25
Recursos - Análisis La prueba en el proceso penal Colombiano: Ver Unidad 3. “ La prueba Pericial”, pág 171
26
Documentación Entrada: Análisis de los resultados.
Proceso: Reporte final escrito. Salida: Preparación del testimonio.
27
Post - Investigación Entrada: Reporte final – Notas.
Proceso: Proceso de sustentación / testificar. Salida: Actualización del perfil de riesgo.
28
Post - Investigación Debe se debe fortalecer la gestión del riesgo basado en el aprendizaje de los incidentes de seguridad.
29
Proceso de gestión de incidentes
Detección y registro Cierre del incidente Seguimiento Clasificación y soporte inicial Solución restablecimiento del servicio Investigación y diagnóstico Escalamiento
30
Caso de estudio Caso: Sabotaje informático, violación de la política de uso de software aceptado. Incidente registrado: Pérdida operativa del servicio de suministro debido a la caída del servidor principal encargado de realizar la coordinación de despachos. Pérdidas económicas: COP $1000 MILLONES
31
Formulación de hipótesis
Personal con acceso al servidor. Personal despedido recientemente Nivel de exposición del servidor hacia internet Personal con presencia de software malintencionado Ciberdelincuencia y software de minado de criptomonedas
32
Recolección de evidencia
Desplazamiento a la ciudad de Bogotá 5 equipos y 1 servidor bajo custodia Adquisición de la evidencia digital Preservación de la cadena de custodia bajo el marco normativo colombiano
33
Análisis de la evidencia
Transporte de la evidencia digital al laboratorio Análisis de la evidencia digital Comprobación de hipótesis iniciales Uso de software calibrado y aprobado internacionalmente
34
Hallazgos y conclusiones
Debilidades del proveedor tecnológico cuando se solicitó una copia correspondiente a la fecha del incidente. Ausencia de políticas para la gestión de logs en servidores y dispositivos perimetrales. Conocimiento sobre infecciones por malware en la plataforma tecnológica, evidencia intercambio de correos. Presencia de software malintencionado (malware) en equipos de cómputo del personal que accedía al servidor.
35
Conclusiones Todas las compañías son susceptibles de padecer algún tipo de incidente. La tecnología evoluciona, la sociedad es cambiante, la empresa crece: Revisión y creación constante de nuevas alertas y controles. Se debe alinear el proceso de respuesta a incidentes con la gestión del riesgo. Es cada vez mas importante el papel de los equipos de respuesta a incidentes. Las técnicas avanzan, las tecnologías también
Presentaciones similares
© 2025 SlidePlayer.es Inc.
All rights reserved.