Publicado el 15 de Mayo del 2017
595 visualizaciones desde el 15 de Mayo del 2017
203,8 KB
28 paginas
Creado hace 17a (07/06/2006)
Administración de la Evidencia Digital
De la teoría a la práctica
Jeimy J. Cano, Ph.D, CFE
GECTI – Facultad de Derecho
Universidad de los Andes
http://www.gecti.org
JCM-06 All rights reserved
1
Agenda
Introducción
Evidencia digital: Análisis en contexto
Admisibilidad
Valor probatorio
Auditabilidad Vs Trazabilidad
Inseguridad en los sistemas de logging
Confidencialidad
Integridad
Disponibilidad
JCM-06 All rights reserved
2
Agenda
Network Security Monitoring- NSM
Recolección
Análisis
Escalamiento
Indicadores
Advertencias
Una mirada práctica
Reflexiones finales
Referencias
JCM-06 All rights reserved
3
Introducción
La criminalidad informática organizada viene creciendo de
manera exponencial.
Los intrusos cada vez más conocen en profundidad los
detalles de las tecnologías y sus limitaciones
Se hace cada vez más fácil desaparecer la evidencia y
confundir a los investigadores forenses en informática
Las autoridades de justicia poco a poco se involucran en
temas de delito informático
Las organizaciones diariamente desarrollan operaciones de
negocio donde la evidencia de los mismos es digital.
JCM-06 All rights reserved
4
Evidencia digital
Análisis en contexto
Evidencia Digital
Admisibilidad
Valor Probatorio
Directrices Derecho Probatorio
Ley 527 de 1999
Modelo Integrado de Admisibilidad
de Evidencia Digital
Peritos Especializados
Estándares de Admon de Evidencia Digital
JCM-06 All rights reserved
5
Admisibilidad de la evidencia digital
Conceptos legales
Confiable
Cn
De acuerdo
con las leyes y disposiciones vigentes
A
Auténtica
Cm
Completa
JCM-06 All rights reserved
6
Admisibilidad de la evidencia digital
Implementación técnica
Configuración
Cn
C
e
n
tr
a
li
z
a
c
i
ó
De acuerdo
n
Sincronización
procedimientos formales establecidos
A
Integridad
Aseguramiento
Cm
Correlación
JCM-06 All rights reserved
7
Evidencia digital
Análisis en contexto
Evidencia Digital
Admisibilidad
Valor Probatorio
Directrices Derecho Probatorio
Ley 527 de 1999
Modelo Integrado de Admisibilidad
de Evidencia Digital
Peritos Especializados
Estándares de Admon de Evidencia Digital
JCM-06 All rights reserved
8
Peritos especializados
Pericia:
“Sabiduría, práctica, experiencia y habilidad en una ciencia u
arte”. Diccionario de la Lengua Española
Perito:
“Persona que, poseyendo especiales conocimientos teóricos o
prácticos, informa bajo juramento, al juzgador sobre puntos
litigiosos en cuanto se relaciona con su especial saber o
experiencia”. Diccionario de la Lengua Española.
Dictámen:
Es un informe escrito sobre una determinada materia que
debidamente motivado y razonado es emitido por un profesional
versado en la materia. (Tomado de: Emilio del Peso Navarro. (2001)
Peritajes Informáticos. Segunda edición. Ed. Diaz de Santos. Pág. 39)
JCM-06 All rights reserved
9
Peritos especializados
Al realizar una pericia forense en informática existen al
menos siete (7) pasos que se deben efectuar para
hacerla de manera competente y válida:
Se deben utilizar medios forenses estériles
Mantener la integridad del medio original
Identificar las posibles evidencias en la escena del delito
Etiquetar, controlar y transmitir adecuadamente las copias
de los datos, impresiones y resultado de la investigación.
Análisis de los datos identificados
Presentación y sustención de resultados
Validación y verificación de los procedimientos aplicados
JCM-06 All rights reserved
10
Ciclo de Vida
Administración de la Evidencia Digital
2
2
Producción de la
Producción de la
Evidencia
Evidencia
1
1
Diseño de la
Diseño de la
Evidencia
Evidencia
3
3
Recolección de la
Recolección de la
Evidencia
Evidencia
4
4
Análisis de la
Análisis de la
evidencia
evidencia
6
6
Determinar la
Determinar la
Relevancia de la
Relevancia de la
evidencia
evidencia
5
5
Reporte y
Reporte y
Presentación
Presentación
JCM-06 All rights reserved
Ciclo de vida de la administración de la evidencia digital.
[Tomado de: HB171:2003 Handbook Guidelines for the management of IT Evidence.]
11
Ciclo de Vida
Administración de la Evidencia Digital
1. Diseño de la evidencia
Clasificar la información de la organización, de tal forma que se pueda
establecer cuál es la evidencia más relevante y formal que se tiene.
Determinar los tiempos de retención de documentos electrónicos, la
transformación de éstos (cambios de formato) y la disposición final de los
mismos.
Diseñar los registros de auditoría de las aplicaciones, como parte
fundamental de la fase de diseño de la aplicación. Este diseño debe
considerar la completitud y el nivel de detalle (granularidad) de los
registros.
Utilización de medidas tecnológicas de seguridad informática para validar
la autenticidad e integridad de los registros electrónicos. Tecnologías como
certificados digitales, token criptográficos, entre otras podrían ser
candidatas en esta práctica.
La infraestructura tecnológica debe asegurar la sincronización de las
máquinas o dispositivos que generen la información, de tal manera que se
pueda identificar con claridad la fecha y hora de los registros electrónicos
JCM-06 All rights reserved
12
Ciclo de Vida
Administración de la Evidencia Digital
2. Producción de la evidencia
Desarrollar y documentar un plan de pruebas formal para validar la
correcta generación de los registros de la aplicación.
Diseñar mecanismos de seguridad basados en certificados digitales para
las aplicaciones de tal forma que se pueda validar que es la aplicación la
que genera los registros electrónicos.
En la medida de lo posible establecer un servidor de tiempo contra los
cuales se pueda verificar la fecha y hora de creación de los archivos.
Contar con pruebas y auditorías frecuentes alrededor de la confiabilidad de
los registros y su completitud, frente al diseño previo de los registros
electrónicos.
Diseñar y mantener un control de integridad de los registros electrónicos,
que permita identificar cambios que se hayan presentado en ellos.
JCM-06 All rights reserved
13
Ciclo de Vida
Administración de la Evidencia Digital
3. Recolección de evidencia
Establecer un criterio de recolección de evidencia digital según su
volatibilidad: de la más volátil a la menos volátil.
Documentar todas las actividades que el profesional a cargo de la
recolección ha efectuado durante el proceso de tal manera que se pueda
auditar el proceso en sí mismo y se cuente con la evidencia de este
proceso.
Asegurar el área dónde ocurrió el siniestro, con el fin de custodiar el área
o escena del delito y así fortalecer la cadena de custodia y recolección de
la evidencia.
Registrar en medio fotográfico o video la escena del posible ilícito,
detallando los elementos informáticos allí involucrados.
Levantar un mapa o diagrama de conexiones de
los elementos
informáticos involucrados, los cuales deberán ser parte del reporte del
levantamiento de información en la escena del posible ilícito.
14
JCM-06 All rights reserved
Ciclo de Vida
Administración de la Evidencia Digital
4. Análisis de la evidencia
Efectuar copias autenticadas de los registros electrónicos originales sobre
medios forenses estériles para adelantar el análisis de los datos
disponibles.
Capacitar y formar en aspectos técnicos y legales a los profesionales que
adelantarán las labores de análisis de datos.
Validar y verificar la confiabilidad y limitaciones de las herramientas de
hardware y software utilizadas para adelantar los análisis de los datos.
Establecer el rango de tiempo de análisis y correlacionar los eventos en el
contexto de
recolectados y validados
previamente.
registros electrónicos
los
Mantener la perspectiva de los análisis efectuados sin descartar lo obvio,
desentrañar lo escondido y validar las limitaciones de las tecnologías o
aplicaciones que generaron los registros electrónicos.
JCM-06 All rights reserved
15
Ciclo de Vida
Administración de la Evidencia Digital
5. Reporte y presentación
Mantener una copia de la cadena de custodia y de la notificación oficial
para adelantar el análisis de los registros electrónicos.
Incluir las irregularidades encontradas o cualquier acción que pudiese ser
irregular durante el análisis de la evidencia.
Preparar una presentación del caso de manera pedagógica, que permita a
las partes observar claramente el contexto del caso y las evidencias
identificadas.
Detallar las conclusiones de los análisis realizados sustentados en los
hechos identificados. Evitar los juicios de valor o afirmaciones no
verificables.
Contar con un formato de presentación de informe de análisis de evidencia
JCM-06 All rights reserved
16
Ciclo de Vida
Administración de la Evidencia Digital
6. Determinar la relevancia de la evidencia
Demostrar con hechos y documentación que los procedimientos aplicados
para recolectar y analizar los registros electrónicos son razonables y
robustos.
Verificar y validar con pruebas que los resultados obtenidos luego de
efectuar el análisis de los datos, son repetibles y verificables por un
tercero especializado.
Auditar periódicamente los procedimientos de recolección y análisis de
registros electrónicos.
Fortalecer las políticas, procesos y procedimientos de seguridad de la
información asociados con el manejo de evidencia digital.
Procurar certificaciones profesiona
Comentarios de: Administración de la Evidencia Digital (0)
No hay comentarios