��������������� � �
3ER CONGRESO IBEROAMERICANO DE SEGURIDAD INFORMATICAUniversidad Técnica Federico Santa María
“Implementación y definición del modode empleo de la Informática Forense”
HÉCTOR GÓMEZ ARRIAGADAARMADA DE CHILE
��������������� � �
TEMARIO:
• INTRODUCCIÓN.
• TOMA DE CONCIENCIA.
• PROBLEMAS EN LAS INVESTIGACIONES.
• LA IMPLEMENTACIÓN.
• MODO DE EMPLEO.
• PREGUNTAS.
��������������� � �
Area especializada de la Seguridad Informática que por medio de la aplicación de técnicas y procedimientos especiales, busca obtener evidencia, ya sea de la comisión de un delito o bien para comprobar conductas perniciosas para la organización por parte de sus miembros.
¿Informática forense?
PrincipiosMínima manipulación, registro de cambios, requisitos
de la evidencia, entrenamiento.
INTRODUCCIÓN.
��������������� � �
LOS EQUIPOS
El incidente que seInvestiga puedeinvolucrar..
LAS REDES
INTRODUCCIÓN.
��������������� � �
Generada porpersonas.
Generada porcomputadores.
Fuentes de la Evidencia.
INTRODUCCIÓN.
��������������� � �
¿Cómo se investiga?
INTRODUCCIÓN.
Generada porpersonas.
Prioridad en losdispositivos de almacenamiento
Generada porcomputadores.
Prioridad en losdispositivos de conectividad
��������������� � �
TEMARIO:
• INTRODUCCIÓN.
• TOMA DE CONCIENCIA.
• PROBLEMAS EN LAS INVESTIGACIONES.
• LA IMPLEMENTACIÓN.
• MODO DE EMPLEO.
• PREGUNTAS.
��������������� � �
Nuestro primer caso: Ataque Interno.
���������� �
�� ����� ������������������������ � ����������������������������� ��������������������������������������������������������������
����� ������������������
TOMA DE CONCIENCIA.
�����������!
�����������"
����������������
�������� �����������������������
��������������� � �
¿Qué pasó después?.
TOMA DE CONCIENCIA.
Procedimientos yherramientas especializadas
��������������� � �
¿Qué pasó después?.����#���$�������%������&����������������'������(�%���)�����%���������������������$��������������*����������������������
Hay que convencer.
Lucha por los recursos.
Nuevos casos.
TOMA DE CONCIENCIA.
��������������� � ��
Los primeros resultados.
Resultados Auspiciosos.
En ocasiones, la IF solucionaba por si sola, algunos casos.
Mejoran los informes.
Mayores exigencias.
Se comienza a reconocer.
TOMA DE CONCIENCIA.
��������������� � ��
TEMARIO:
• INTRODUCCIÓN.
• TOMA DE CONCIENCIA.
• PROBLEMAS EN LAS INVESTIGACIONES.
• LA IMPLEMENTACIÓN.
• MODO DE EMPLEO.
• PREGUNTAS.
��������������� � ��
Proliferación de gurues y expertos.
PROBLEMAS EN LAS INVESTIGACIONES.
Entusiasmo mal entendido.
PC fuente de evidencia de todo tipo de “males”.
Manipulación inadecuada.
Problemas de jurisdicción.
¿Y las garantías?.
��������������� � ��
¿Informática forense = resucitar equipos?
PROBLEMAS EN LAS INVESTIGACIONES.
��������������� � ��
Investigadores no preparados.
PROBLEMAS EN LAS INVESTIGACIONES.
�����������������$����������'���
+���,
��������������� � ��
TEMARIO:
• INTRODUCCIÓN.
• TOMA DE CONCIENCIA.
• PROBLEMAS EN LAS INVESTIGACIONES.
• LA IMPLEMENTACIÓN.
• MODO DE EMPLEO.
• PREGUNTAS.
��������������� � ��
Políticas institucionales.
Medidas para asegurarCumplimiento
Políticas de Seguridad De la Organización
Política Organizacional
Misión y Objetivosde la Organización
Actividades y Operaciones dela Organización
Empleados o usuarios
Leyes y Regulaciones
LA IMPLEMENTACIÓN.
��������������� � ��
Políticas institucionales.
�����������������������
LA IMPLEMENTACIÓN.
Descubrimiento
Incidente
Aviso a responsablesde Seguridad
Actividades de preservaciónde LA eventual evidencia
Aviso a autoridadescorporativas
Toma de decisiones
Medidas de reacciónal incidente
Mitigación de efectos
Secuencia de Aseguramiento
��������������� � ��
Políticas institucionales.
Retención de la información.
Entrenamiento y educación.
Facilitación de la investigación interna.
Sostenimiento de mecanismos de recolección.
Conservación de la evidencia.
LA IMPLEMENTACIÓN.
Sincronización de hora.
��������������� � �
Informática Forense en la Armada.
LA IMPLEMENTACIÓN.
Análisis en laboratorio.Recolección de datos.
Equipo de Informática Forense.
Identificación
Fijación.
Preservación.
Levantamiento.
Protección. Extracción.
Reporte.
Análisis.
��������������� � ��
Entrenamiento.
LA IMPLEMENTACIÓN.
Especialistas en Seguridad.
Experiencia en seguridad informática.
Capacitaciones formales en informática y redes.
��������������� � ��
TEMARIO:
• INTRODUCCIÓN.
• TOMA DE CONCIENCIA.
• PROBLEMAS EN LAS INVESTIGACIONES.
• LA IMPLEMENTACIÓN.
• MODO DE EMPLEO.
• PREGUNTAS.
��������������� � ��
Responsabilidades.
MODO DE EMPLEO.
*������-���������
.�������-���������
�������-���������
/�������-���������
Sistema distribuido de seguridad.
Apoyo informático forense centralizado.
��������������� � ��
Investigación de incidentes.
MODO DE EMPLEO.
����������������������������
������������������ ������
������������������
��������������� � ��
Tipos de incidentes investigables.
MODO DE EMPLEO.
Fuga de Información
Comportamiento inadecuado
Alteración maliciosa de configuraciones
Sabotaje interno
Almacenamiento de material prohibido
Intentos de accesos no autorizados
��������������� � ��
TEMARIO:
• INTRODUCCIÓN.
• TOMA DE CONCIENCIA.
• PROBLEMAS EN LAS INVESTIGACIONES.
• LA IMPLEMENTACIÓN.
• MODO DE EMPLEO.
• PREGUNTAS.
��������������� � ��
¿PREGUNTAS?
Muchas gracias