como preservar evidencia digital en una investigacion ... · como preservar evidencia digital en...
Post on 13-Jun-2020
10 Views
Preview:
TRANSCRIPT
8 de noviembre de 2018 | Buenos Aires | Argentina
COMO PRESERVAR EVIDENCIA DIGITAL EN UNA INVESTIGACION CORPORATIVA
WHOAMI Ingeniero Electrónico , UBA 1987
Master en Tecnologías de la Información en el programa GADEX 2010/2011
Certificado en Informática Forense EnCE , ACE , CCE , NPFA y FCA, MFCE
Miembro del capítulo sudamericano HTCIA
Profesor titular de Análisis Forense y Delitos Informáticos en la Maestría de Seguridad Informática
UBA y en la UDBSV (El Salvador)
Profesor de la Academia de la Magistratura del Perú
Profesor titular de la Especialización en Derecho Informático de la UBA
Profesor titular del posgrado en Cibercrimen y Evidencia Digital de la UBA
Miembro de numerosos comités académicos de eventos de Seguridad Informática
Expositor Frecuente en eventos de toda Latinoamérica
Perito Informático y Consultor en tópicos de Informática Forense en toda Latinoamérica
Consultor del PROGRAMA NACIONAL CONTRA LA CRIMINALIDAD INFORMÁTICA del
Ministerio de Justicia de la Nación
AGENDA
Investigaciones digitales corporativas – Por que investigar ?
Que es un incidente de seguridad Informática – Como proceder ?
Identificar y preservar evidencia digital
Que es la Informática Forense ?
Como preservo la evidencia digital ? : Aspectos legales y técnicos
Conclusiones
Preguntas ?
INVESTIGACIONES DIGITALES CORPORATIVAS
1. Fraude interno/externo
2. Robo de secretos
3. Violaciones al compliance o regulaciones
4. Almacenamiento ilegitimo / Actividades paralela
5. Desvinculaciones conflictivas
6. Incidentes externos sobre la infraestructura
POR QUE INVESTIGAR ?
1. Incidente que afecta la operatividad
2. Regulaciones legales y cumplimiento interno
3. Acciones judiciales (activas o pasivas)
INCIDENTE DE SEGURIDAD INFORMATICA
“Es cualquier evento adverso , relacionado con la seguridad de un
sistema informatico o de las comunicaciones informaticas ”
http://www.cert.org
Se incluyen amenazas internas y externas
• Mitigar : Restaurar la operatividad • Identificar : Como ? Cuando ? Donde ? • Preservar Evidencia : Posible Judicialización
En que orden ? Equipo de Respuesta a Incidentes : Dirección , Sistemas , Auditores , Abogados (I/E)
QUE HACER FRENTE A UN INCIDENTE ?
Con planificación previa y procedimientos claros en la recolección de evidencia se pueden disminuir los tiempos sin afectar el restablecimiento operativo y manteniendo el mejor escenario para una eventual judicialización.
Preconstitución de la Prueba
La Prueba Anticipada
PRESERVAR EVIDENCIA
INFORMATICA + BASE LEGAL
• Procedimientos técnicos informáticos : mejores prácticas,
protocolos , Normas técnicas y estándares
• Procedimientos técnicos legales: legislaciones, códigos de
procedimiento
• Ambito judicial
• Ambito corporativo
QUE ES LA INFORMÁTICA FORENSE ?
COMO SE REGULA LA INFORMÁTICA FORENSE ?
DONDE SE APLICA LA INFORMÁTICA FORENSE ?
“ Es la ciencia de adquirir ,
preservar , obtener y presentar datos que han sido procesados electronicamente y almacenados o transmitidos a través de un medio informático”
http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm
DEFINICION DE INFORMATICA FORENSE
QUE ES LA EVIDENCIA DIGITAL ?
EVIDENCIA INFORMATICA = EVIDENCIA DIGITAL = EVIDENCIA ELECTRONICA
... “ Datos que han sido procesados
electronicamente y almacenados o
transmitidos a través de un medio
informático”... (FBI)
MEMORIA DE ALMACENAMIENTO MEMORIA PROCESAMIENTO (RAM) TRAFICO DE RED
ASPECTOS LEGALES DEL RESGUARDO DE PRUEBA DIGITAL Como preservo la evidencia digital ?
Conservar el estado de un sistema que posea evidencia digital
Recolección de Evidencia mediante procedimientos efectivos
ASPECTOS LEGALES DEL RESGUARDO DE PRUEBA DIGITAL Como resguardo la evidencia digital ?
Recolección de Evidencia mediante acta Notarial
Rol del:
ESCRIBANO
REQUIRENTE
PERITO
ASPECTOS TÉCNICOS EN LA RECOLECCIÓN DE EVIDENCIA DIGITAL
RECOLECCION EFECTIVA
Acceder a la evidencia necesaria en el lugar correcto
Oportunidad (segun tipo de evidencia)
Registro en el giro normal de operación del negocio
Efectuar Imágenes Forenses (copiar/clonar)
Bit a bit
Autenticación por medio de una función de Hash
Documentar el procedimiento (cadena de custodia) Y si no hay oportunidad de seguir las mejores practicas?...
CONCLUSIONES
• Trabajar sobre la hipótesis de judicialización
• Planificar la recolección
• Resguardar mediante Acta Notarial
• Elegir el procedimiento técnico que mejor se ajuste
a los recursos disponibles, según el tipo de evidencia
a recolectar pero sin poner en peligro la futura prueba
• Iniciar la Cadena de Custodia
PREGUNTAS ???
Muchas gracias por su atención
Ing. Gustavo Daniel Presman gustavo@presman.com.ar
http://www.presman.com.ar Linkedin: http://ar.linkedin.com/in/gpresman
Twitter: @gpresman
top related