Scribd
Cargar
28 vistas3 páginas

Controles de Seguridad y Metodología Forense

El documento describe las cinco fases de la metodología forense para auditar incidentes de seguridad: 1) Adquisición, 2) Preservación, 3) Análisis, 4) Documentación, 5) Presentación. Explica que la adquisición involucra obtener copias bit a bit de la información relacionada al incidente para preservar la evidencia original. La preservación garantiza que la evidencia no se destruya o altere mediante el uso de hashes y cadena de custodia. El análisis utiliza herramientas forenses para examinar la evidencia y

Cargado por

Yormen Carbalo
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
28 vistas3 páginas

Controles de Seguridad y Metodología Forense

El documento describe las cinco fases de la metodología forense para auditar incidentes de seguridad: 1) Adquisición, 2) Preservación, 3) Análisis, 4) Documentación, 5) Presentación. Explica que la adquisición involucra obtener copias bit a bit de la información relacionada al incidente para preservar la evidencia original. La preservación garantiza que la evidencia no se destruya o altere mediante el uso de hashes y cadena de custodia. El análisis utiliza herramientas forenses para examinar la evidencia y

Cargado por

Yormen Carbalo
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 3

¿Cómo se debería implementar de controles de seguridad a nivel de desarrollo?

Brinda un ejemplo.

Debemos asegurar la entrada, el procesamiento y la salida de información de forma


que se cumpla con los niveles de confidencialidad, integridad y disponibilidad. Por lo
tanto, deben implementarse controles preventivos diseñados para evitar la entrada de
datos no autorizados o no válidos, controles de detección ayudan a identificar los
sucesos no autorizadas o no válidos y los controles correctivos para ayudar en la
recuperación de los sucesos no deseados.

¿Cuáles son las fases de la metodología forense?

1.Adquisición

En esta fase se obtienen copias de la información que se sospecha que puede estar
vinculada con algún incidente. De este modo, hay que evitar modificar cualquier tipo
de dato utilizando siempre copias bite a bite con las herramientas y dispositivos
adecuados. Cabe aclarar este tipo de copia es imprescindible, debido a que nos dejara
recuperar archivos borrados o particiones ocultas, arrojando como resultado una
imagen de igual tamaño al disco estudiado.

Rotulando con fecha y hora acompañado del uso horario, las muestras deberán ser
aisladas en recipientes que no permitan el deterioro ni el contacto con el medio. En
muchos casos, esta etapa es complementada con el uso de fotografías con el objetivo
de plasmar el estado de los equipos y sus componentes electrónicos.

Recomendamos la utilización de guantes, bolsas antiestáticas y jaulas de Faraday


para depositar dispositivos que puedan interaccionar con ondas electromagnéticas
como son los celulares. La adquisición de muestras debe respetar una regla
fundamental que está ligada a la volatilidad de las muestras, por lo que se deberán
recolectar en el orden de la más volátil en primera instancia a la menos, sobre el final.
A modo de ejemplo, podríamos indicar que primero deberíamos recolectar datos
relevantes a la memoria, contenidos del caché y como último paso recolectar el
contenido de documentos o información que esté disponible en el soporte de
almacenamiento.

Como ya sabemos las RFC son un conjunto de documentos que sirven de referencia
para estandarizaciones, normalizaciones en comunicaciones y tecnología. De esta
forma consultando la RFC 3227, podremos relevar con mayor profundidad todo lo que
compete a esta etapa.
2.Preservación

En esta etapa se debe garantizar la información recopilada con el fin de que no se


destruya o sea transformada. Es decir que nunca debe realizarse un análisis sobre la
muestra incautada, sino que deberá ser copiada y sobre la copia se deberá realizar la
pericia. De este modo, aparece el concepto de cadena de custodia, la cual es un acta
en donde se registra el lugar, fecha, analista y demás actores que manipularon la
muestra. En muchos casos deberemos utilizar las técnicas de Hashes para identificar
deforma unívoca determinados archivos que podrían ser de gran utilidad para la
investigación.

3.Análisis

Finalmente, una vez obtenida la información y preservada, se pasa a la parte más


compleja. Sin duda, es la fase más técnica, donde se utilizan tanto hardware como
softwares específicamente diseñados para el análisis forense. Si bien existen métricas
y metodologías que ayudan a estructurar el trabajo de campo, se podrán obtener
grandes diferencias dependiendo de las herramientas que se utilicen, las capacidades
y experiencia del analista. Además, es muy importante tener en claro qué es lo que
estamos buscando, debido a que esto dará un enfoque más preciso a la hora de ir a
buscar pruebas. Sin embargo, el estudio de la línea de tiempo (timeline), logs de
accesos y una descarga de la memora RAM será muy útil para la mayoría de las
pericias. Es muy importante en esta instancia la evaluación de criticidad del incidente
encontrado y los actores involucrados en él.

4.Documentación

Si bien esta es una etapa final, recomendamos ir documentando todas las acciones,
en lo posible, a medida que vayan ocurriendo. Aquí ya debemos tener claro por
nuestro análisis qué fue lo sucedido, e intentar poner énfasis en cuestiones críticas y
relevantes a la causa. Debemos citar y adjuntar toda la información obtenida,
estableciendo una relación lógica entre las pruebas obtenidas y las tareas realizadas,
asegurando la repetibilidad de la investigación.

5.Presentación

Normalmente se suelen usar varios modelos para la presentación de esta


documentación. Por un lado, se entrega un informe ejecutivo mostrando los rasgos
más importantes de forma resumida y ponderando por criticidad en la investigación sin
entrar en detalles técnicos. Este informe debe ser muy claro, certero y conciso,
dejando afuera cualquier cuestión que genere algún tipo de duda. Un segundo informe
llamado “Informe Técnico” es una exposición que nos detalla en mayor grado y
precisión todo el análisis realizado, resaltando técnicas y resultados encontrados,
poniendo énfasis en modo de observación y dejando de lado las opiniones.

Conclusiones

A la hora de auditar un incidente de seguridad, hay que tener muy en claro su


naturaleza, ser meticulosos, estructurados, muy claros en las observaciones y detallar
con la mayor precisión posible. Asegurando preservar la muestra en estado original y
siempre trabajando sobre copias realizadas bit a bit, lograremos ir alineados a las
metodologías estandarizadas internacionales, las cuales nos darán pie a presentar
nuestros resultados con un soporte legal ante alguna Institución que lo requiera.

También podría gustarte