Inicio

Gestión Infosec

Entrevista

Las leyes

Palabras de ciso

Tips para un ciso

Puntos de vista

Actualización Técnica

Hacking bajo la lupa

Estadísticas

Productos

Toolbox

Capacitaciones

Links de interés

¿lo sabias?

Hot vulnerabilities

Comunidad Infosec

Efraude

Noticias

Bolsa de trabajo

Agenda y eventos

Lectores

Libro de pases

El chiste del mes

Ver Anteriores

Envíenos su Comentario

Conferencias 2013, 2012, 2011 aquí

 

ULTIMAS CONFERENCIAS:

 

AÑO 9 - Nº 11 - NOV 13

PALABRAS DE CISO

Directrices para la identificación, recolección, adquisición y preservación de la evidencia digital - ISO/IEC 27037:2012

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA

En el desarrollo de un análisis forense digital tradicional con medios magnéticos y ópticos, generalmente los analistas forenses acuden a la buena práctica internacional para soportar los pasos que se adelantan con el fin de asegurar la evidencia digital identificada en los diferentes componentes informáticos y tecnológicos presentes en la escena del crimen. 


Principios que gobiernan la evidencia digital

De acuerdo con la ISO/IEC 27037:2012 la evidencia digital es gobernada por tres principios fundamentales: la relevancia, la confiabilidad y la suficiencia. Estos tres elementos definen la formalidad de cualquier investigación basada en evidencia digital, bien ésta sea utilizada para que sea admisible en corte o no.

La relevancia es una condición técnicamente jurídica, que habla sobre aquellos elementos que son pertinentes a la situación que se analiza o investiga, con el fin de probar o no una hipótesis que se ha planteado alrededor de los hechos. Todo aquello que no cumpla con este requisito será irrelevante y excluido del material probatorio recabado para efectos del caso bajo estudio.

La confiabilidad es otra característica fundamental, que busca validar la repetibilidad y auditabilidad de un proceso aplicado para obtener una evidencia digital, esto es, que la evidencia que se extrae u obtiene es lo que deber ser y que, si un tercero sigue el mismo proceso, deberá obtener resultados similares verificables y comprobables.

Finalmente y no menos importante la suficiencia, la cual está relacionada con completitud de pruebas informáticas, es decir que, con las evidencias recolectadas y analizadas tenemos elementos suficientes para sustentar los hallazgos y verificar las afirmaciones efectuadas sobre la situación investigada. Este elemento está sujeto a la experiencia y formalidad del perito informático en el desarrollo de sus procedimientos y priorización de esfuerzos.

Habida cuenta de lo anterior, los informáticos forenses deberán prestar atención a estas indicaciones del estándar y recabar en el desarrollo de prácticas que permitan validar estos tres principios, que si bien se describen en el documento, no se concretan en acciones específicas que de alguna forma, sugieran una vía de aplicación que pueda validarse.

En este contexto, se detallan algunas preguntas (a manera de ejemplo) que pueden ser útiles para efectos de validar los tres principios enunciados:

Relevancia

¿La evidencia que se aporta vincula al sujeto con la escena del crimen y la víctima?

¿La evidencia prueba algunas hipótesis concreta que se tiene del caso en estudio?

¿La evidencia recolectada valida un indicio clave que permita esclarecer los hechos en estudio?

Confiabilidad

¿Los procedimientos efectuados sobre los dispositivos tecnológicos han sido previamente probados?

¿Se conoce la tasa de error de las herramientas forenses informáticas utilizadas?

¿Se han efectuado auditorias sobre la eficacia y eficiencia de los procedimientos y herramientas utilizadas para adelantar el análisis forense informático?

Suficiencia

¿Se ha priorizado toda la evidencia recolectada en el desarrollo del caso, basado en su apoyo a las situaciones que se deben probar?

¿Se han analizado todos los elementos informáticos identificados en la escena del crimen?

¿Se tiene certeza que no se ha eliminado o sobreescrito evidencia digital en los medios analizados?

Dos roles claves: Digital Evidence First Responder (DEFR) y el Digital Evidence Specialist (DES)

Por primera vez un estándar ISO establece definiciones de roles para efectos de las actividades requeridas en informática forense. Estos dos roles DEFR, cuya traducción podría ser “Primer respondiente de la evidencia digital” y el DES, como “Especialista en evidencia digital”.

El primero es aquella persona que está autorizada, formada y habilitada para actuar en la escena de un incidente, y así recoger y adquirir las evidencias digitales con las debidas garantías. Este es un rol que deben tener todas las organizaciones, toda vez que cualquier persona en una empresa puede actuar como primer respondiente frente a un incidente donde la evidencia digital sea parte de los elementos materiales probatorios.

Según la norma, esta persona y su formación dependerán del contexto de cada legislación y política organizacional, como quiera que, es en el contexto del ejercicio de primer respondiente que se establecen las condiciones y habilidades requeridas para asegurar de primera mano la evidencia digital propia de la situación en estudio.

¿Qué debe hacer un primer respondiente frente a un incidente informático?

Si bien no detalla la norma la respuesta a esta pregunta, si podríamos indicar algunos elementos claves que se deben seguir frente a un proceso fundamental en el aseguramiento y custodia base de la evidencia informática, mientras el especialista en evidencia digital llega al sitio.

Asegurar el área dónde ocurre el evento informático y los elementos materiales probatorios que se encuentren allí: notas, documentos, dispositivos electrónicos, entre otros.

Evitar que personal extraño al área, tenga acceso a la misma y a los equipos que allí se encuentren.

Tomar fotos o video de cómo encontró el área y documentar fecha, hora y condiciones en las cuales llega al sitio donde ocurren los hechos.

EL PERITO INFORMÁTICO

En este contexto, se presenta una primera insinuación sobre esta problemática del perito informático, debe estar asistida por tres elementos fundamentales:

Ser un tercero neutral, alguien ajeno al proceso y a los intereses particulares que se encuentren en discusión.

Ser un experto, una persona con formación formal, con experiencia fruto de sus desempeños laborales, conocimientos especializados, científicos o prácticos según el caso.

Ser una persona que voluntariamente, acepte incorporar sus conocimientos al proceso.

Si bien el estudio de cómo se debe formar un perito informático, escapa al alcance de este documento, si es preciso anotar que a la fecha existen diversos programas formales de formación de investigadores de crímenes de alta tecnología o en ciencias forenses informáticas que dan respuesta desde diferentes perspectivas a la formación de estos especialistas y auxiliares de la justicia, para que se tenga una vista medianamente clara y detallada de las habilidades y conocimientos que se deben tener frente al aseguramiento de la evidencia digital.

Fuente: http://insecurityit.blogspot.com.ar/

 

| Ediciones Anteriores |


Análisis del riesgo en la gestión de parches

Por Maximiliano Cittadini
Nuevas Tecnologías
Trend Argentina


McAfee Webinar | Protegiendo las identidades en la nube

Por Carlos González

Director de Ingeniería de Preventa

McAfee LATAM.


Unidades de estado sólido. El reto de la computación forense en el mundo de los semiconductores
Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Building an Identity Management Business Case

Por Enrique Santiago

Director - SIDIF

CA & Caribe


Securing Movile Devices: using Cobit 5 on BYOD

Por Alfonso Mateluna Concha
CISA – CISM – CRISC – CISSP

ISACA - Chile


Tripp Lite Colombia apostó al acceso y monitoreo seguro en la gestión de infraestructura

Por Camilo Ochoa

Gerente de Desarrollo

Tripp Lite Colombia


 

Mitos y Verdades sobre la Certificación ISO 207001

Por Harro Osthoff

Auditor ISO 9001,
ISO/IEC 20000, ISO/IEC 27001, ISO 28000
TÜV Rheinland Argentina S.A.
Extracto de la Conferencia para Infosecurity Vip 2013


Las contraseñas. Un sobreviviente de las batallas frente a la inseguridad de la información

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


ADN: el medio de almacenamiento más seguro!

Por Nick Goldman

European Bioinformatics Institute

Hinxton - UK

Los investigadores, del Instituto Europeo de Bioinformática (IEB), con sede en Inglaterra, demostraron que es posible guardar textos, imágenes y sonidos en "la molécula de la vida".


Reputación online, un valor en alza

Por Samuel Segarra

Consultor de sistemas de gestión de S2 Grupo

España


El impacto financiero del cibercrimen se incrementa en casi un 40%

HP ha presentado los datos de la tercera edición del “Estudio sobre el cibercrimen 2012”, conducido por el Instituto Ponemon, en el que ha quedado manifiesto que la frecuencia de los ciberataques se ha duplicado.


Desafíos de la Seguridad 2012

Por Juan Ospina
Bit Defender - Colombia


Documentos electrónicos: la inseguridad más allá de la manifestación de la voluntad

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Auditando la inseguridad de la información

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


Automatizando ITIL

Por Joaquin Rivas

Grupo CONSISA

Costa Rica


Microsoft Online Services EN LA NUBE: compliance a 10 mil metros de altura

Por Alex Campos

IT Evangelist

Microsoft Chile


SEGURIDAD EN LA NUBE: compliance a 10 mil metros de altura

Por Lisseth Rodríguez

Proyect Manager - Delta Networks Systems


Cloud Computing: Los Retos de la Seguridad

Por Mariangel Hernández Aldana

Channel Manager  - Astaro Región Andina y Venezuela


Seguridad Informática Hoy, tendencias de los ataques informáticos.

Por Oscar Leonardo Banchiero
Instructor Ethical Hacking
ISEC Information Security Inc


Pronósticos de seguridad de la información

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


LA RED EL NUEVO CAMPO DE BATALLA
Andrés A. Buendía Ucrós

Sales Engineer – North LatinAmerica & Caribbean


Infosecurity y seguridad informática
Por Frano Capeta Mondoñedo

Country Manager Perú

ISEC Information Security Inc.


Autenticación Segura en un mundo nublado

Por Esteban Lubensky
Gerente General
GMS


Seguridad Multinivel
Por Carlos Moreno Carrascal
Channel Account Manager
Trend Micro Latinoamérica


Seguridad Multinivel
Por Carlos Mario Reyes
Especialista de Producto
TECNASA El Salvador


Cloud & Virtualization Security

Por Carlos Rienzi
System Engineer
CISCO - Argentina


El Factor Gente en la Seguridad de la Información

Por Sandra Da Silva
Analista de Infraestructura TIC
Petrobras Paraguay Distribución Ltd.


Impacto de las Amenazas Físicas y Ambientales en la Seguridad de Data Centers y Cuartos de Cableado

Por Daniel A. Molina

APC by Schneider Electric

Territory Manager - Puerto Rico & Dominican Republic


WikiLeaks: 40 Minutos de Verdad

HÉCTOR MARIO DELGADO
GERENTE GENERAL - SOFTNET S.A
Medellín - Colombia


Arquitectura de Seguridad de la Información: Una lección pendiente para los CISO's

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


La lección que nos deja Wikileaks
Alfredo Zuccotti

Subgerente de Seguridad

Cooperativa Universitaria - Paraguay


Administración de Eventos de Seguridad
Stephen Fallas
Security Solution Architect – Latin America
Hewlett Packard - Disertante para Infosecurity Vip - Quito 2010

 

 

 

 

 

 

 

Copyright © 2013 ISEC. Todos los derechos reservados
Política de privacidad