SlideShare una empresa de Scribd logo

UND12_Auditoria de Sistemas. Mi plan B.pdf

D
DemsshillCoutino

auditoria de sistemas

Internet
1 de 50
Descargar para leer sin conexión
CIBERSEGURIDAD PARA AUTÓNOMOS Y MICROEMPRESAS Unidad 12 Auditorías de Sistemas. Mi plan B Parte teórica
2 1 2 3 4 5 ► ► índice ► ► ► 2 INTRODUCCIÓN REACCIÓN ANTE INCIDENTES PLAN B: CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES OTROS CONCEPTOS A CONSIDERAR CONCLUSIONES EJEMPLO REACCIÓN ANTE INCIDENTES ► 6
Objetivos Aprender a diseñar un plan de continuidad. Definir estrategias de recuperación. Evaluar el impacto de los incidentes de seguridad en la organización. 3 Descripción del concepto de análisis informático forense (Computer Forensics) Identificar las posibles implicaciones jurídicas o la necesidad de la presencia de un notario. Detectar las situaciones que requieran aprobación externa por parte de la autoridad competente en cada caso (FCSE, notario, etc.)
1. INTRODUCCIÓN
5 1. INTRODUCCIÓN A lo largo de las unidades de este curso hemos aprendido cual es el valor de la información, a identificar nuestros activos, reconocer las amenazas que les pueden afectar y como protegerlos. Pero… ¿qué pasa si a pesar de todas las medidas de seguridad y controles un desastre pone en peligro mi negocio? ¿y si soy víctima de un ataque o un incidente que afecte a mis activos? ¿cómo puedo saber qué pasó? En estos casos, seguro que te interesa recuperar la actividad normal, sobre todo si ha ocurrido algún desastre que te lo impida. Después querrás investigar qué paso para evitarlo, en la medida de lo posible, en el futuro. Los desastres, como inundaciones o incendios, si nos afectan, nos impiden llevar a cabo los procesos esenciales para la empresa y no se pueden resolver como haríamos con otros incidentes. Para esos casos veremos cómo podemos asegurar la continuidad del negocio con un «Plan B». Además existen procedimientos para investigar los incidentes de seguridad, saber qué pasó y depurar responsabilidades. Los técnicos lo llaman análisis forense. Veremos en qué consiste. Y, no hay que olvidar que hay que saber a quien pedir ayuda como vimos en la unidad anterior.
6 ¿POR QUÉ NECESITO UN PLAN B? Las empresas deben estar preparadas para prevenir, protegerse y reaccionar ante incidentes graves de seguridad que puedan afectarles y que podrían impactar en sus negocios. Un Plan de Continuidad de Negocio es un conjunto de tareas que permite la recuperación, tras un incidente grave, en un plazo de tiempo determinado. 1. INTRODUCCIÓN
7 1. INTRODUCCIÓN Un análisis forense es la ciencia que permite reconstruir lo que ha sucedido en un sistema de información tras un incidente de seguridad o un ataque. Se trata de un procedimiento que nos permite dar respuesta a las siguientes preguntas: ¿Qué ha ocurrido? ¿Dónde? ¿Cuándo? ¿Quién lo realizó? ¿Cómo se hizo? ¿Qué acciones se llevaron a cabo? ¿QUÉ ES EL ANÁLISIS FORENSE? El análisis forense se debe realizar en paralelo al plan de continuidad de negocio, para poder evitar que el incidente pueda volver a ocurrir en el futuro.
8 8 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
9 Todas las empresas están en riesgo de sufrir incidentes, ya sea por causas directas o ajenas a la misma: 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES ¿POR QUÉ NECESITO UN PLAN B? Causas directas: fallo de suministro inundaciones Incendios Causas ajenas: ataques dirigidos errores humanos malware
10 Se ha producido una fuga de agua en una de las plantas de la oficina que ha derivado en la inundación de la misma. El empleado que lo descubre avisa inmediatamente a los servicios técnicos de la empresa de suministros de la compañía para que detecten de dónde proviene la inundación y se cierre la fuga. Debido a que han transcurrido varias horas desde que se inició el incidente hasta que se detectó y puso remedio, se han producido goteras en algunos puntos de la planta, por lo que se puede ver comprometido el sistema eléctrico y es conveniente desalojar los puestos de trabajo de algunos trabajadores. EJEMPLO: NECESIDAD DE UN PLAN B 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
11 ¿QUÉ CAUSAS PUEDEN HACER PELIGRAR LA CONTINUIDAD DE TU ACTIVIDAD? Existen muchos factores que pueden afectar a la continuidad de los servicios ofrecidos por una empresa. Los más comunes suelen ser: Daños materiales o a sistemas Cese de actividad de un proveedor Robo de información interna o de clientes Daños operacionales de negocio Desastres industriales Desastres naturales (Intencionados o accidentales) (Fallos de suministro, incendios…) (Terremotos, inundaciones…) 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
12 Un plan de continuidad de negocio es un conjunto de actividades destinadas a mantener la continuidad de una organización para mitigar el impacto de un incidente o desastre. La recuperación de los servicios afectados por una catástrofe ha de estar basada en una estrategia. Por esto se establecen los objetivos de recuperación (en tiempo) para los distintos procesos o RTO (Recovery Time Objective) Una parada prolongada de los servicios en una empresa puede no ser asumible por la misma. Para valorar esto, en cada servicio, se utiliza el parámetro MTD (Maximum Tolerable Downtime) o tiempo máximo tolerable de caída. 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES CONCEPTOS BÁSICOS DE LA CONTINUIDAD DE NEGOCIO El Plan de Gestión de la Continuidad sirve para estar preparado en caso de que ocurra un incidente.
13 Podría pensarse que la continuidad del negocio es exclusiva de las grandes organizaciones, pero cada organización, incluso las más pequeñas, establecen las medidas proporcionales a sus necesidades para garantizar su continuidad en caso de desastre. Para diseñar un PLAN DE CONTINUIDAD que se ajuste a las necesidades de negocio, tendremos que definir unos objetivos y seguir un proceso. DISEÑO DEL PLAN DE CONTINUIDAD I 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES Es recomendable seguir el siguiente proceso: Los objetivos son:
14 DISEÑO PLAN DE CONTINUIDAD II FASE 1: Análisis • Análisis del impacto en el negocio. • Evaluación de amenazas. • Estudio de riesgos aplicables. FASE 2: Diseño • Selección de estrategias de recuperación. • Medidas de mitigación de riesgos. • Estructura de respuesta al incidente/contingencia. FASE 3: Implantación • Desarrollo y gestión del Plan de Continuidad de Negocio. • Elementos clave de los planes. • Programa de formación y concienciación. FASE 4: Verificación • Plan de pruebas. • Valorar diferentes tipos de pruebas. • Desarrollar, ejecutar y evaluar las pruebas. 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
15 ESTRATEGIA PARA LA RECUPERACIÓN Es necesario definir un plan para recuperar los procesos críticos del negocio en caso de una incidencia grave. Para ello es necesario: Determinar la estrategia continuidad de negocio. Definir el proceso a seguir. Establecer los requisitos para la recuperación: umbrales de recuperación (tiempo máximo de tolerable de caída por la organización) coste de la recuperación (coste económico para volver a la situación anterior) requisitos mínimos aceptables para la recuperación (definir a partir de que punto se considera restaurado el normal funcionamiento del sistema) 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
16 Gracias a que la empresa tenía diseñado un plan de continuidad de negocio, no se pierde el trabajo de los empleados y éstos podrán continuar con sus tareas mediante «teletrabajo» o reubicación en otros lugares del edificio. El protocolo a seguir en estos casos se basa en una estrategia de recuperación de las copias de seguridad (backup) que se generan periódicamente, así como una evaluación del impacto del incidente. Se llevará a cabo el reemplazo de los equipos afectados y se realiza la reapertura de las distintas zonas afectadas en función de la prioridad establecida dentro del plan de continuidad. EJEMPLO: ESTRATEGIA DE RECUPERACIÓN Se detecta que algunos equipos de los trabajadores han sufrido daños debido a las goteras ocasionadas por la inundación, por lo que no pueden continuar con sus tareas diarias. 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES El objetivo de las copias de seguridad es poder recuperar la información que de otra forma se hubiese perdido en caso de un incidente o desastre.
17 VOLVER A LA NORMALIDAD Una vez ocurrida la incidencia, es necesario realizar las actividades asociadas a la estrategia de recuperación para reactivar todos los servicios afectados. Esto implica la revisión de 5 aspectos importantes: Evaluación de daños: valorar los activos y sistemas comprometidos por la incidencia y determinar la estrategia para su recuperación o reemplazo. Priorización de actividades: definir que servicios han de ser recuperados primero ya sea debido a su criticidad o importancia para la empresa. Desarrollar un cronograma de recuperación: definiendo los tiempos establecidos y costes de recuperar cada uno de los servicios afectados. Ejecución de actividades: llevar a cabo las actividades planificadas. Evaluación de resultados: una vez finalizada la vuelta a la normalidad, evaluar la efectividad de las medidas llevadas a cabo de cara a futuro. 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
18 En base a los resultados obtenidos, se pueden definir mejoras para el plan de recuperación a fin de cubrir las debilidades descubiertas. PRUEBAS Y SIMULACROS Aparte de diseñar el plan de recuperación para los procesos de la empresa, se ha de probar y evaluar de forma periódica para asegurar que cubren nuestras expectativas. Estas actividades pueden ser de varios tipos: Prueba: someter a examen el proceso de recuperación definido para los servicios ofrecidos por el negocio. Simulacro: se pone en práctica un conjunto específico de procedimientos de recuperación dentro de un escenario predefinido. Ejercicio: basado en un evento en un escenario para evaluar la capacidad de toma de decisiones. 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
19 EJEMPLO PLAN DE CONTINUIDAD 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES VER VIDEO
20 20 3. REACCIÓN ANTE INCIDENTES
21 Además de ejecutar el Plan de Continuidad debes investigar qué ha pasado para evitar que vuelva a ocurrir y depurar responsabilidades. Para ayudarte existe una disciplina informática auxiliar que se denomina «Informática forense». Según el FBI: «La informática forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional». Esta disciplina consiste en un conjunto de técnicas que permiten garantizar la verdad alrededor de las pruebas (evidencia digital) pudiéndose aportar, llegado el caso, en un procedimiento judicial. Con estas técnica podremos recuperar información borrada y analizar la información que existía en equipos formateados. Además se podrán extraer y examinar todo tipo de datos, incluyendo los de las redes sociales: historial de navegación, fotos, documentos, charlas, música, películas, logs, información compartida, etc. 3. REACCIÓN ANTE INCIDENTES
22 ¡Qué interesante! No conocía la informática forense. Pero parece un procedimiento muy técnico, ¿la puedo aplicar? No te preocupes, en este apartado vamos a ver cuál debe ser la reacción ante incidentes. ¿Cuáles son los principales objetivos de la Informática Forense?  Descubrir lo que ha ocurrido.  Compensar los daños causados por criminales o intrusos.  Perseguir y procesar judicialmente a los criminales.  Crear y aplicar medidas para prevenir casos similares. 3. REACCIÓN ANTE INCIDENTES
23 ¿CÓMO ACTUAR ANTE UN INCIDENTE? 3. REACCIÓN ANTE INCIDENTES El primer paso en caso de que haya un incidente de seguridad es recuperar el servicio, y para ello utilizaremos los planes de continuidad de negocio. Esta recuperación de servicio debe realizarse preservando las pruebas, para saber que ha pasado, aprender de ello y depurar las posibles responsabilidades legales. Los tipos de información que pueden ser relevante como evidencias, son por ejemplo: tráfico de red dispositivos de red sistemas operativos bases de datos Algunos ejemplos de delitos que estudia el análisis forense son: delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos delitos relacionados con el contenido (pornografía infantil) delitos de propiedad intelectual (piratería) Xenofobia (difusión de material o insultos y amenazas) aplicaciones periféricos ficheros dispositivos móviles Puedes obtener más información sobre este tema en el siguiente enlace: [1]
24 Identificar el incidente Recopilar información Análisis e investigación o Determinar los sistemas comprometidos. o Identificar el tipo de incidente: • origen del incidente • responsable del incidente (atacante, intruso, usuario…) o Detectar un incidente de seguridad: • si tiene implicaciones jurídicas • realizar entrevistas al personal implicado o Recopilar de evidencias digitales: • clonado de disco duro del ordenador involucrado en una investigación o Preservar las evidencias recopiladas. • cadena de custodia o Análisis e investigación de los hechos. • herramientas a utilizar o Metodologías aplicables. o Documentar el procedimiento seguido. o Recopilar los resultados obtenidos. o Entregar del informe final y presentación de resultados. 1 Resultados 4 3. REACCIÓN ANTE INCIDENTES ¿CÓMO ACTUAR ANTE UN INCIDENTE? 2 3
25 Para ello, los pasos procedimentales se agrupan en las siguientes fases: ¿CÓMO ACTUAR ANTE UN INCIDENTE? Cuando se sospecha que algo ha ocurrido, es decir, que ha habido un incidente, se debe llevar a cabo un protocolo de actuación que permita descubrir qué pasó y cómo ocurrió. Identificación del incidente Recopilación de Información Análisis e Investigación Documentación y presentación de resultados 3. REACCIÓN ANTE INCIDENTES
26 IDENTIFICACIÓN Y CLASIFICACIÓN DE INCIDENTES El primer paso consiste en identificar el tipo de incidente ocurrido, y en el caso de que ocurriese más de uno, priorizarlos dependiendo de su gravedad. Una de las clasificaciones más comunes se basa en origen del incidente: Un usuario no autorizado accede al sistema o a información interna. El sistema ha sido comprometido por una infección de virus, troyanos, spyware, etc. Se impide el correcto funcionamiento de servicios tales como DNS, correo electrónico, navegación web, etc. Extraer información personal de una persona o empresa con la finalidad de obtener un beneficio económico. 3. REACCIÓN ANTE INCIDENTES
27 PRIORIZAR EL INCIDENTE SEGÚN SU CRITICIDAD 3. REACCIÓN ANTE INCIDENTES Clase de incidente Tipo de incidente Ataque Ataque dirigido Modificación del sitio web Código dañino Infección extendida Infección única Denegación de servicio (DoS) Exitosa No exitosa Acceso no autorizado, robo o pérdida de datos Acceso no autorizado Robo o perdida de equipos Pérdida de datos Pruebas y reconocimientos Pruebas no autorizadas Alarmas de sistemas monitorización Daños físicos Daños o cambios físicos no autorizados a los sistemas Fuego Inundación Abuso de privilegios y usos inadecuados Abuso de privilegios o de políticas de seguridad de la información Infracciones de derechos de autor o piratería Uso indebido de la marca Nivel de criticidad Tiempo para registro interno BAJO Lo antes posible, pero no más de un mes desde la detección MEDIO Lo antes posible, pero no más de una semana desde la detección ALTO En las 48 horas siguientes a la detección MUY ALTO En las 12 horas siguientes a la detección CRÍTICO En la hora siguientes a la detección Fuente: cnn-cert.cni.es Estas tablas muestran un modelo para tipificar y priorizar los incidentes:
28 Una vez determinado el tipo de incidente acontecido, es fundamental determinar las implicaciones jurídicas que puede tener para nuestra empresa. De esta manera se pueden poner en marcha medidas para mitigar los daños y las responsabilidades legales o judiciales que el incidente pueda tener en la empresa o en los servicios que ofrece. Implicaciones jurídicas Debemos ser conscientes de que existen leyes que no permiten ciertas acciones. Si vulneramos alguna de estas leyes puede que no podamos probar los hechos ocurridos, llegado el caso, en un procedimiento judicial. judicial. ¿Y si no es mi intención denunciar o demandar? ¿Y si quiero llevar a cabo una investigación propia y adoptar medidas internas? Creo que aún así, en esos casos debes procurar asesorarte sobre posibles consecuencias legales para evitar cualquier responsabilidad. IDENTIFICAR EL INCIDENTE 3. REACCIÓN ANTE INCIDENTES
29 Casos de robo o fugas de información de mi negocio relacionada con mis clientes, proveedores etc. que pueden incluir datos de carácter personal de acuerdo con lo establecido en la LOPD. 3. REACCIÓN ANTE INCIDENTES Recuerda que los incidentes de seguridad pueden ser constitutivos de delito de acuerdo con lo establecido en la legislación. Estos son algunos de los incidentes de seguridad que hemos mencionado a lo largo de este curso y que son más relevantes desde el punto de vista legal (por sus consecuencias). Uso de herramientas o aplicaciones sin las oportunas licencias (SW pirata). Casos de suplantación de identidad a través de técnicas de ingeniería social como el phishing para obtener información sensible o inducir a engaño y conseguir algún beneficio económico.
30 Requisitoria pericial: contactar con un notario para certificar el proceso de clonado de dispositivos de almacenamiento. (Necesario en el caso de que la evidencia pueda ser aportada en un juicio). Entrevista aclaratoria: que permita calcular el alcance del análisis forense así como identificar las partes implicadas en el mismo. Inspección preliminar: a través de la cual se tratará de identificar toda información a procesar en el análisis con el objetivo de identificar qué ocurrió. Recopilación de evidencias: de manera segura para su posterior análisis e investigación. RECOPILACIÓN DE INFORMACIÓN En esta fase se han de recopilar todas las evidencias posibles del incidente acontecido (pruebas de los hechos) para poder analizarlas y determinar lo ocurrido. Para ello será necesario llevar a cabo 4 acciones: 3. REACCIÓN ANTE INCIDENTES
31 Cada vez que se realice un análisis forense digital de un dispositivo electrónico deberemos mantener en todo momento la cadena de custodia, de manera que las evidencias puedan ser trazadas hasta su origen y se garantice que no hayan sido alteradas durante el proceso. Para ello se dispondrá de un fichero de cadena de custodia donde se incluirán las evidencias, las firmas (hash*) de las mismas, y todos los actores que han tenido acceso a las evidencias, cuando han tenido acceso y por cuanto tiempo. Cadena de custodia En el caso de un posible juicio, si no existe una cadena de custodia las pruebas serán invalidadas. RECOPILACIÓN DE INFORMACIÓN Puedes obtener más información sobre este tema en el siguiente enlace: [2] 3. REACCIÓN ANTE INCIDENTES *hash: Algoritmo que hace un resumen digital de la información en archivos o soportes. Este resumen es único para cada evidencia, así se puede comprobar si las copias son iguales al original o no.
32 Tipos de datos a recopilar RECOPILACIÓN DE INFORMACIÓN A la hora de recopilar la información relevante para la investigación debemos conocer las características del entorno (digital o virtual) y del lugar del sistema en que esté almacenada la misma. Durante la recopilación de datos de un sistema para su posterior análisis, es importante distinguir entre los tipos de datos que nos encontraremos: Por lo tanto, es importante considerar los datos que se quieren recopilar como evidencias antes de manipular el sistema, para evitar poner en riesgo, por ejemplo, los datos volátiles en memoria o de aplicaciones en ejecución. Volátiles Se pierden al apagar el sistema, incluyendo ficheros abiertos, procesos de memoria, ficheros del sistema, usuarios autenticados, etc. No volátiles Ficheros almacenados en discos, registros de eventos, aplicaciones, etc. Transitorios Ficheros en memoria RAM/Caché, ficheros temporales, etc. 3. REACCIÓN ANTE INCIDENTES
33 Las evidencias que necesitaremos para el análisis se suelen encontrar en el disco duro o dispositivo de almacenamiento del equipo. Para poder trabajar con el mismo, lo primero que se ha de hacer es clonar el disco y obtener un hash del mismo para verificar que es una copia exacta. Es importante distinguir entre clonado y obtención de una imagen del disco: Clon: copia exacta bit a bit de un disco duro. Imagen: contiene archivos, pero no sectores de arranque, información oculta, etc. Clonado de discos RECOPILACIÓN DE INFORMACIÓN Al hacer una copia exacta del disco duro tendremos acceso a toda la información, la que vemos y la que no. Podremos obtener información del contenido y de su «historia» (fecha de creación, modificaciones,...) e incluso recuperar información que fue borrada. 3. REACCIÓN ANTE INCIDENTES
34 Nos podemos encontrar con la situación de que el disco duro se encuentre cifrado completamente por motivos de seguridad o política de empresa. En este caso se podrá clonar el disco, pero para poder acceder a los datos será necesario disponer de la clave de descifrado: Solicitar la contraseña al dueño/usuario del equipo. Utilizar herramientas de recuperación de contraseñas (alto coste, limitado éxito). RECOPILACIÓN DE INFORMACIÓN ¿Y si el disco duro esta cifrado? Este procedimiento, la recopilación de información, es indispensable para llevar a cabo investigaciones de posibles infracciones, fraudes o delitos en los que estén involucrados los dispositivos electrónicos (ordenadores, smartphones…) de tú negocio. Por sus características técnicas y debido a que es necesario utilizar herramientas especificas, es recomendable acudir a expertos que garanticen su eficacia y que se mantiene la cadena de custodia. 3. REACCIÓN ANTE INCIDENTES
35 Antes de llevar a cabo la fase de Análisis e Investigación será necesario preservar las evidencias recogidas, a fin de disponer de una copia original a partir de la cual sea posible reconstruir todo el proceso llevado a cabo para la obtención de los resultados del análisis forense. Protocolo de actuación A continuación, se procederá a analizar las evidencias recogidas e investigar los indicios que resulten de las mismas a fin de determinar qué sucedió y cómo se produjo. ANÁLISIS E INVESTIGACIÓN 3. REACCIÓN ANTE INCIDENTES
36 Cuando trabajemos con evidencias, debemos de seguir una serie de pautas para garantizar su integridad y autenticidad: • Firmar las evidencias mediante hashes para verificar que no sean manipuladas. La firma permite comprobar la identidad de una persona a través de su certificado digital, y también verificar la integridad de la evidencia. • Se deberán realizar copias de las evidencias para evitar que estas se dañen o alteren durante el proceso de extracción o, incluso, por si alguien intenta destruirlas. Manipulación de las evidencias Realizar una copia de la evidencia puede ser un proceso difícil y delicado. Las pruebas pueden ser modificadas incluso durante su recolección. ANÁLISIS E INVESTIGACIÓN 3. REACCIÓN ANTE INCIDENTES
37 Finalmente, será necesario documentar todas las actividades realizadas de manera que tengamos una visión completa del incidente acontecido y la investigación realizada. Se deberán incluir: Descripción del incidente ocurrido y detalles de los sistemas y equipos afectados. Listado de las evidencias obtenidas. Definición de los pasos realizados durante la investigación. Resultados obtenidos del análisis de las evidencias. RESULTADOS Y DOCUMENTACIÓN 3. REACCIÓN ANTE INCIDENTES
38 En el caso que el incidente tenga implicaciones legales y se tenga que ir a juicio, será necesario un informe forense (o pericial). Este informe es un dictamen que tiene como objetivo ayudar a los letrados y a los jueces a entender los detalles muy técnicos de la investigación realizada. El Perito Judicial Informático es el que da la aceptación de la veracidad y contundencia de las pruebas presentadas en un proceso legal, y el encargado de solucionar aspectos de conocimientos que el juez o los tribunales no están obligados de conocer. Para ejercer de Perito Judicial informático es indispensable una certificación refrendada por alguna institución en la que haya acreditado sus conocimientos y su pericia. [3]. Informe forense (pericial) RESULTADOS Y DOCUMENTACIÓN Asunto Evidencias/muestras recibidas Resolución o estudios efectuados sobre las evidencias/muestras Situación final de las evidencias/muestras Conclusiones finales También se pueden solicitar informes fuera del ámbito judicial. Hay distintos modelos para realizar estos informes, tales como el UNE 71506:2013 ANEXO A, que provee: [4] 3. REACCIÓN ANTE INCIDENTES
39 4. EJEMPLO REACCIÓN ANTE INCIDENTES 39
40 EJEMPLO DE CÓMO IDENTIFICAR UN INCIDENTE Los perjuicios más comunes son: Daño a la imagen/marca de empresa con el consiguiente impacto negativo en mis clientes (potenciales y actuales). Consiguiente disminución de ingresos por interrupción de mi actividad profesional. Desaparición del negocio por la gravedad y el impacto del incidente de seguridad en la organización. 4. EJEMPLO REACCIÓN ANTE INCIDENTES El correo electrónico de un empleado envía correos no autorizados por el empleado, el procedimiento a seguir es: Se procede a identificar a todo el personal que ha podido tener acceso a la sala en la que se encontraba el equipo en las fechas de emisión de los correos. El soporte de IT revisa la configuración del equipo y procede a identificar el incidente. Por otro lado, se determinan las implicaciones jurídicas que este caso puede tener. Tras una primer inspección de los correos existentes en la bandeja de entrada del empleado, el soporte de IT determina que efectivamente ha habido un acceso no autorizado al equipo.
41 A la hora de comprobar si un empleado ha cometido una actividad ilegal o perjudicial para la organización, en primer lugar se llama al empleado para informarle de que se va a realizar el clonado de su equipo para su posterior análisis. Debido a que puede haber implicaciones legales, se contrata la presencia de un notario que certifique la integridad y veracidad de las copias clonadas. Si el disco duro está cifrado, se requerirá que el empleado proporcione su clave de descifrado. Así mismo, se procederá a guardar bajo custodia una copia del original, mientras que se trabajará sobre la otra copia. A continuación, se procederá a recopilar las evidencias de los correos enviados, registros del sistema, etc. EJEMPLO DE RECOPILACIÓN DE INFORMACIÓN 4. EJEMPLO REACCIÓN ANTE INCIDENTES
42 En este caso se sospecha de una intrusión no autorizada o de un uso malicioso del equipo a través del correo electrónico, se realizará un análisis en 3 pasos: Inspección de los registros de acceso: se comprueba que todos los accesos han sido autorizados y están dentro del horario indicado por el empleado afectado. Inspección de correos electrónicos del empleado: se detecta actividad maliciosa; se observan aquellos que han sido generados automáticamente y que llevan un fichero adjunto sospechoso. Análisis del sistema: se detecta que el sistema ha sido infectado por un malware malicioso que se expande por correo electrónico. Analizando el comportamiento, se determina que los correos han sido enviados por dicho malware ya que el patrón coincide. EJEMPLO DE ANÁLISIS E INVESTIGACIÓN Al tratarse de un virus nuevo no ha sido identificado por el antivirus corporativo. 4. EJEMPLO REACCIÓN ANTE INCIDENTES
43 Finalmente, el soporte de IT procede a generar un informe explicando la situación y los problemas detectados en el análisis del equipo. Después se pondrá en contacto con el empleado para llevar a cabo una limpieza del equipo a fin de que pueda seguir desarrollando su actividad diaria sin problemas. EJEMPLO DE RESULTADOS Y DOCUMENTACIÓN 4. EJEMPLO REACCIÓN ANTE INCIDENTES
44 5. OTROS ASPECTOS A CONSIDERAR: WEB Y ALMACENAMIENTO
45 5. OTROS ASPECTOS A CONSIDERAR: WEB Y ALMACENAMIENTO WEB Y ALMACENAMIENTO Proveedor Comprobar su fiabilidad, verificar su registro oficial, etc. Comprobar la disponibilidad que nos ofrecen del servicio, dado que la falta de disponibilidad puede afectar a nuestro negocio. Servicio Ofrecido Condiciones del servicio contratado (SLA). Conocer y concretar la disponibilidad de servicio que nos ofrecen, así como el tiempo de recuperación en caso de que falle. Almacenamiento Lugar de ubicación de los servidores, capacidad, sistemas de recuperación y protección ante fallos. En caso de un fallo en el almacenamiento, ya sea local o contratado a terceros, esto afectara a nuestro funcionamiento y por tanto es necesario conocer su capacidad de recuperación. A la hora de llevar a cabo un Plan B de nuestra empresa, se han de tener en cuenta las siguientes consideraciones de los servicios contratados a terceros:
46 En cuanto al análisis forense de un sistema que se encuentre en un servidor web o de almacenamiento, se han de tener en cuenta las siguientes consideraciones: Para el clonado de los discos que dependan de terceros, será necesario contar con la aprobación del proveedor. En caso contrario, será necesaria una orden judicial. En el supuesto de que el caso presente implicaciones legales, será necesaria la presencia de un notario y el cumplimiento de la cadena de custodia. 5. OTROS ASPECTOS A CONSIDERAR: WEB Y ALMACENAMIENTO WEB Y ALMACENAMIENTO
Otros aspectos a considerar son: Revisa detenidamente los acuerdos de nivel de servicio (SLA) al contratar servicios a terceros. Considera las potenciales amenazas que puede sufrir tu empresa, ya sean directas o indirectas. Recuerda que los daños no tienen por qué ser sólo materiales, también pueden derivarse de un cese de actividad, robo de información, etc. C O N C L U S I O N E S La seguridad total no es alcanzable, pero debes tratar de reducir el impacto al mínimo posible de una forma que sea asumible para la empresa. Conviene tener definido un plan de continuidad que permita que la empresa sea capaz de responder a un incidentes graves. El plan debe incluir un procedimiento de recuperación para reestablecer las operaciones de la compañía dentro de un tiempo razonable y un coste asumible. Plan B: Continuidad de negocio y recuperación ante desastres
Siempre que se detecte un comportamiento anómalo en el equipo se ha de informar al soporte de IT de la compañía de lo sucedido. Recuerde no manipular el equipo para evitar la pérdida de evidencias. Siga siempre las instrucciones que te indiquen los responsables del soporte de IT. C O N C L U S I O N E S Evalúe el impacto que puede tener el incidente tanto para el empleado como para la empresa. Determine la necesidad de la presencia de un notario. Cumpla siempre con la cadena de custodia. Recuerde generar siempre un informe detallado del procedimiento seguido y los resultados obtenidos. Asegúrese de justificar los resultados con evidencias reales. Reacción ante incidentes Otros aspectos a considerar son: Solicitar la aprobación del proveedor para el clonado de discos que dependan de terceros. Contratar los servicios de un notario en el supuesto de que el caso conlleve implicaciones legales.
49 Referencias [1] policia.es- Brigada de Investigación Tecnológica- Alertas: http://www.policia.es/org_central/judicial/udef/bit_alertas.html [2] INCIBE_ Cadena de custodia: https://www.certsi.es/blog [3] antpji.com_ ¿Qué es un perito informático?: http://www.antpji.com/antpji2013/index.php/articulos2/101-que-es-un-perito- informatico [5] INCIBE_ Plan de contingencia y continuidad e negocio: https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-contingencia- continuidad-negocio [6] INCIBE_ Blog de seguridad: https://www.incibe.es/protege-tu-empresa/blog/filtro/continuidad-negocio [4] aenor.es_ UNE 71506:2013 ANEXO A, http://www.aenor.es/aenor/normas/normas/fichanorma.asp?tipo=N&codigo=N005141 4#.WAT3QvmLRD9
Has completado esta unidad ¡Te esperamos en la siguiente!

Recomendados

Plan de-contingencias
Plan de-contingenciasPlan de-contingencias
Plan de-contingenciasUniversidad Militar Nueva Granada-Universidad de Cundinamarca
 
ISO 22301 - Ingertec
ISO 22301 - IngertecISO 22301 - Ingertec
ISO 22301 - IngertecGrupo Ingertec
 
Implantacion de un SGCN segun UNE 71599
Implantacion de un SGCN segun UNE 71599Implantacion de un SGCN segun UNE 71599
Implantacion de un SGCN segun UNE 71599Jorge García Carnicero
 
Elaboración del plan de emergencias
Elaboración del plan de emergencias Elaboración del plan de emergencias
Elaboración del plan de emergencias miguel911
 
Sistemas de Almacenamiento y Hospedaje de Información
Sistemas de Almacenamiento y Hospedaje de Información Sistemas de Almacenamiento y Hospedaje de Información
Sistemas de Almacenamiento y Hospedaje de Información LuluGonzalez9
 
contingencia.ppt
contingencia.pptcontingencia.ppt
contingencia.pptjhonJD1
 
contingencia.ppt
contingencia.pptcontingencia.ppt
contingencia.pptHECTOR839056
 
Continuidad del negocio
Continuidad del negocioContinuidad del negocio
Continuidad del negocioANNY
 

Recomendados

Plan de-contingencias
Plan de-contingenciasPlan de-contingencias
Plan de-contingenciasUniversidad Militar Nueva Granada-Universidad de Cundinamarca
 
ISO 22301 - Ingertec
ISO 22301 - IngertecISO 22301 - Ingertec
ISO 22301 - IngertecGrupo Ingertec
 
Implantacion de un SGCN segun UNE 71599
Implantacion de un SGCN segun UNE 71599Implantacion de un SGCN segun UNE 71599
Implantacion de un SGCN segun UNE 71599Jorge García Carnicero
 
Elaboración del plan de emergencias
Elaboración del plan de emergencias Elaboración del plan de emergencias
Elaboración del plan de emergencias miguel911
 
Sistemas de Almacenamiento y Hospedaje de Información
Sistemas de Almacenamiento y Hospedaje de Información Sistemas de Almacenamiento y Hospedaje de Información
Sistemas de Almacenamiento y Hospedaje de Información LuluGonzalez9
 
contingencia.ppt
contingencia.pptcontingencia.ppt
contingencia.pptjhonJD1
 
contingencia.ppt
contingencia.pptcontingencia.ppt
contingencia.pptHECTOR839056
 
Continuidad del negocio
Continuidad del negocioContinuidad del negocio
Continuidad del negocioANNY
 
Plan de contingencia
Plan de contingenciaPlan de contingencia
Plan de contingenciaChenny3
 
Plan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputoPlan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputomarily calderón lizana
 
Informe continuidad de negocio
Informe continuidad de negocioInforme continuidad de negocio
Informe continuidad de negocioTestalon Testalone
 
Plan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputoPlan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputovanesa calderón lizana
 
9.1) plan de contingencias.
9.1) plan de contingencias.9.1) plan de contingencias.
9.1) plan de contingencias.Jose Ivan Vega Gonzalez
 
2429
24292429
2429Arturo Pava
 
Plan De Contingencia
Plan De ContingenciaPlan De Contingencia
Plan De Contingenciasardellayulia
 
Modulo 9 Crisis Externa - Qué hacer - ESP.pptx
Modulo 9 Crisis Externa - Qué hacer - ESP.pptxModulo 9 Crisis Externa - Qué hacer - ESP.pptx
Modulo 9 Crisis Externa - Qué hacer - ESP.pptxcaniceconsulting
 
Esquema para adm.centros de computo
Esquema para adm.centros de computoEsquema para adm.centros de computo
Esquema para adm.centros de computoVioletita Pesantez Jimenez
 
Guía plan de continuidad y recuperación de negocio
Guía plan de continuidad y recuperación de negocioGuía plan de continuidad y recuperación de negocio
Guía plan de continuidad y recuperación de negociomiguel911
 
Modelo plan de contingencias
Modelo plan de contingenciasModelo plan de contingencias
Modelo plan de contingenciasManuel Vitis Topaz
 
Sistemas de Almacenamiento y Hospedaje de Información
Sistemas de Almacenamiento y Hospedaje de Información Sistemas de Almacenamiento y Hospedaje de Información
Sistemas de Almacenamiento y Hospedaje de InformaciónClases Fic
 
Metodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMetodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMaria Martinez
 
Manual continuidad negocio
Manual continuidad negocioManual continuidad negocio
Manual continuidad negocioLeonardo Lenin Banegas Barahona
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 
Informe mantenimiento predictivo
Informe mantenimiento predictivoInforme mantenimiento predictivo
Informe mantenimiento predictivoCamilo Rojas
 
Semana 06 - Auditoria de Sistemas.pdf
Semana 06 - Auditoria de Sistemas.pdfSemana 06 - Auditoria de Sistemas.pdf
Semana 06 - Auditoria de Sistemas.pdfasesor8
 
Recuperación de Negocios y Desastres PPT
Recuperación de Negocios y Desastres PPTRecuperación de Negocios y Desastres PPT
Recuperación de Negocios y Desastres PPTJhossepJhonnyPomaVid
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaMariano Galvez
 
Planes de continuidad del Negocio
Planes de continuidad del NegocioPlanes de continuidad del Negocio
Planes de continuidad del NegocioUtópicas Consultoría
 
maestria oficial ciencia-datos apiicado a la estadistia.pdf
maestria oficial ciencia-datos apiicado a la estadistia.pdfmaestria oficial ciencia-datos apiicado a la estadistia.pdf
maestria oficial ciencia-datos apiicado a la estadistia.pdfDemsshillCoutino
 
SISTEMA DE DOS ECUACIONES utilizando difentes petodos para solucionar.pptx
SISTEMA DE DOS ECUACIONES utilizando difentes petodos para solucionar.pptxSISTEMA DE DOS ECUACIONES utilizando difentes petodos para solucionar.pptx
SISTEMA DE DOS ECUACIONES utilizando difentes petodos para solucionar.pptxDemsshillCoutino
 

Más contenido relacionado

Similar a UND12_Auditoria de Sistemas. Mi plan B.pdf

Plan de contingencia
Plan de contingenciaPlan de contingencia
Plan de contingenciaChenny3
 
Plan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputoPlan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputomarily calderón lizana
 
Informe continuidad de negocio
Informe continuidad de negocioInforme continuidad de negocio
Informe continuidad de negocioTestalon Testalone
 
Plan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputoPlan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputovanesa calderón lizana
 
Plan De Contingencia
Plan De ContingenciaPlan De Contingencia
Plan De Contingenciasardellayulia
 
Modulo 9 Crisis Externa - Qué hacer - ESP.pptx
Modulo 9 Crisis Externa - Qué hacer - ESP.pptxModulo 9 Crisis Externa - Qué hacer - ESP.pptx
Modulo 9 Crisis Externa - Qué hacer - ESP.pptxcaniceconsulting
 
Guía plan de continuidad y recuperación de negocio
Guía plan de continuidad y recuperación de negocioGuía plan de continuidad y recuperación de negocio
Guía plan de continuidad y recuperación de negociomiguel911
 
Sistemas de Almacenamiento y Hospedaje de Información
Sistemas de Almacenamiento y Hospedaje de Información Sistemas de Almacenamiento y Hospedaje de Información
Sistemas de Almacenamiento y Hospedaje de InformaciónClases Fic
 
Metodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMetodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMaria Martinez
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 
Informe mantenimiento predictivo
Informe mantenimiento predictivoInforme mantenimiento predictivo
Informe mantenimiento predictivoCamilo Rojas
 
Semana 06 - Auditoria de Sistemas.pdf
Semana 06 - Auditoria de Sistemas.pdfSemana 06 - Auditoria de Sistemas.pdf
Semana 06 - Auditoria de Sistemas.pdfasesor8
 
Recuperación de Negocios y Desastres PPT
Recuperación de Negocios y Desastres PPTRecuperación de Negocios y Desastres PPT
Recuperación de Negocios y Desastres PPTJhossepJhonnyPomaVid
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaMariano Galvez
 

Similar a UND12_Auditoria de Sistemas. Mi plan B.pdf (20)

Plan de contingencia
Plan de contingenciaPlan de contingencia
Plan de contingencia
 
Plan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputoPlan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputo
 
Informe continuidad de negocio
Informe continuidad de negocioInforme continuidad de negocio
Informe continuidad de negocio
 
Plan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputoPlan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputo
 
9.1) plan de contingencias.
9.1) plan de contingencias.9.1) plan de contingencias.
9.1) plan de contingencias.
 
2429
24292429
2429
 
Plan De Contingencia
Plan De ContingenciaPlan De Contingencia
Plan De Contingencia
 
Modulo 9 Crisis Externa - Qué hacer - ESP.pptx
Modulo 9 Crisis Externa - Qué hacer - ESP.pptxModulo 9 Crisis Externa - Qué hacer - ESP.pptx
Modulo 9 Crisis Externa - Qué hacer - ESP.pptx
 
Esquema para adm.centros de computo
Esquema para adm.centros de computoEsquema para adm.centros de computo
Esquema para adm.centros de computo
 
Guía plan de continuidad y recuperación de negocio
Guía plan de continuidad y recuperación de negocioGuía plan de continuidad y recuperación de negocio
Guía plan de continuidad y recuperación de negocio
 
Modelo plan de contingencias
Modelo plan de contingenciasModelo plan de contingencias
Modelo plan de contingencias
 
Sistemas de Almacenamiento y Hospedaje de Información
Sistemas de Almacenamiento y Hospedaje de Información Sistemas de Almacenamiento y Hospedaje de Información
Sistemas de Almacenamiento y Hospedaje de Información
 
Metodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMetodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastres
 
Manual continuidad negocio
Manual continuidad negocioManual continuidad negocio
Manual continuidad negocio
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
 
Informe mantenimiento predictivo
Informe mantenimiento predictivoInforme mantenimiento predictivo
Informe mantenimiento predictivo
 
Semana 06 - Auditoria de Sistemas.pdf
Semana 06 - Auditoria de Sistemas.pdfSemana 06 - Auditoria de Sistemas.pdf
Semana 06 - Auditoria de Sistemas.pdf
 
Recuperación de Negocios y Desastres PPT
Recuperación de Negocios y Desastres PPTRecuperación de Negocios y Desastres PPT
Recuperación de Negocios y Desastres PPT
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informatica
 
Planes de continuidad del Negocio
Planes de continuidad del NegocioPlanes de continuidad del Negocio
Planes de continuidad del Negocio
 

Más de DemsshillCoutino

maestria oficial ciencia-datos apiicado a la estadistia.pdf
maestria oficial ciencia-datos apiicado a la estadistia.pdfmaestria oficial ciencia-datos apiicado a la estadistia.pdf
maestria oficial ciencia-datos apiicado a la estadistia.pdfDemsshillCoutino
 
SISTEMA DE DOS ECUACIONES utilizando difentes petodos para solucionar.pptx
SISTEMA DE DOS ECUACIONES utilizando difentes petodos para solucionar.pptxSISTEMA DE DOS ECUACIONES utilizando difentes petodos para solucionar.pptx
SISTEMA DE DOS ECUACIONES utilizando difentes petodos para solucionar.pptxDemsshillCoutino
 
Introduccion a las tecnologias Tecnologías Web en sus diferentes fases
Introduccion a las tecnologias Tecnologías Web en sus diferentes fasesIntroduccion a las tecnologias Tecnologías Web en sus diferentes fases
Introduccion a las tecnologias Tecnologías Web en sus diferentes fasesDemsshillCoutino
 
Analisis de algoritmo para la inteligencia aratificial.pdf
Analisis de algoritmo para la inteligencia aratificial.pdfAnalisis de algoritmo para la inteligencia aratificial.pdf
Analisis de algoritmo para la inteligencia aratificial.pdfDemsshillCoutino
 
Las Expresiones Algebraicas.ppt
Las Expresiones Algebraicas.pptLas Expresiones Algebraicas.ppt
Las Expresiones Algebraicas.pptDemsshillCoutino
 
INTRODCCION A LA DIAGRAMAS DE FLUJO.ppt
INTRODCCION A LA DIAGRAMAS DE FLUJO.pptINTRODCCION A LA DIAGRAMAS DE FLUJO.ppt
INTRODCCION A LA DIAGRAMAS DE FLUJO.pptDemsshillCoutino
 
resolucion de problemas.ppt
resolucion de problemas.pptresolucion de problemas.ppt
resolucion de problemas.pptDemsshillCoutino
 
AUDITORIAS informaticas .pptx
AUDITORIAS informaticas .pptxAUDITORIAS informaticas .pptx
AUDITORIAS informaticas .pptxDemsshillCoutino
 
FUNCION EN UNA DIRECCION.pptx
FUNCION EN UNA DIRECCION.pptxFUNCION EN UNA DIRECCION.pptx
FUNCION EN UNA DIRECCION.pptxDemsshillCoutino
 
Numeros Reales y Conjuntos.pptx
Numeros Reales y Conjuntos.pptxNumeros Reales y Conjuntos.pptx
Numeros Reales y Conjuntos.pptxDemsshillCoutino
 

Más de DemsshillCoutino (20)

maestria oficial ciencia-datos apiicado a la estadistia.pdf
maestria oficial ciencia-datos apiicado a la estadistia.pdfmaestria oficial ciencia-datos apiicado a la estadistia.pdf
maestria oficial ciencia-datos apiicado a la estadistia.pdf
 
SISTEMA DE DOS ECUACIONES utilizando difentes petodos para solucionar.pptx
SISTEMA DE DOS ECUACIONES utilizando difentes petodos para solucionar.pptxSISTEMA DE DOS ECUACIONES utilizando difentes petodos para solucionar.pptx
SISTEMA DE DOS ECUACIONES utilizando difentes petodos para solucionar.pptx
 
Introduccion a las tecnologias Tecnologías Web en sus diferentes fases
Introduccion a las tecnologias Tecnologías Web en sus diferentes fasesIntroduccion a las tecnologias Tecnologías Web en sus diferentes fases
Introduccion a las tecnologias Tecnologías Web en sus diferentes fases
 
Analisis de algoritmo para la inteligencia aratificial.pdf
Analisis de algoritmo para la inteligencia aratificial.pdfAnalisis de algoritmo para la inteligencia aratificial.pdf
Analisis de algoritmo para la inteligencia aratificial.pdf
 
Las Expresiones Algebraicas.ppt
Las Expresiones Algebraicas.pptLas Expresiones Algebraicas.ppt
Las Expresiones Algebraicas.ppt
 
INTRODCCION A LA DIAGRAMAS DE FLUJO.ppt
INTRODCCION A LA DIAGRAMAS DE FLUJO.pptINTRODCCION A LA DIAGRAMAS DE FLUJO.ppt
INTRODCCION A LA DIAGRAMAS DE FLUJO.ppt
 
resolucion de problemas.ppt
resolucion de problemas.pptresolucion de problemas.ppt
resolucion de problemas.ppt
 
FUNCION CUADRATICA.pptx
FUNCION CUADRATICA.pptxFUNCION CUADRATICA.pptx
FUNCION CUADRATICA.pptx
 
Clase 1.pdf
Clase 1.pdfClase 1.pdf
Clase 1.pdf
 
entendiendo automatas.ppt
entendiendo automatas.pptentendiendo automatas.ppt
entendiendo automatas.ppt
 
Algoritmos.ppt
Algoritmos.pptAlgoritmos.ppt
Algoritmos.ppt
 
AUDITORIAS informaticas .pptx
AUDITORIAS informaticas .pptxAUDITORIAS informaticas .pptx
AUDITORIAS informaticas .pptx
 
Las Tecnologias.pptx
Las Tecnologias.pptxLas Tecnologias.pptx
Las Tecnologias.pptx
 
FUNCION EN UNA DIRECCION.pptx
FUNCION EN UNA DIRECCION.pptxFUNCION EN UNA DIRECCION.pptx
FUNCION EN UNA DIRECCION.pptx
 
PLANOS RECTAS.pdf
PLANOS RECTAS.pdfPLANOS RECTAS.pdf
PLANOS RECTAS.pdf
 
RECTA SOBRE PLANOS.pptx
RECTA SOBRE PLANOS.pptxRECTA SOBRE PLANOS.pptx
RECTA SOBRE PLANOS.pptx
 
CsOBIT.ppt
CsOBIT.pptCsOBIT.ppt
CsOBIT.ppt
 
Numeros Reales y Conjuntos.pptx
Numeros Reales y Conjuntos.pptxNumeros Reales y Conjuntos.pptx
Numeros Reales y Conjuntos.pptx
 
Sistemas Numericos.pdf
Sistemas Numericos.pdfSistemas Numericos.pdf
Sistemas Numericos.pdf
 
Bases de Datos.pptx
Bases de Datos.pptxBases de Datos.pptx
Bases de Datos.pptx
 

Último

Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAdanielaerazok
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenadanielaerazok
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenajuniorcuellargomez
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfOscarBlas6
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webDecaunlz
 

Último (8)

Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalena
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalena
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdf
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la web
 

UND12_Auditoria de Sistemas. Mi plan B.pdf

  • 1. CIBERSEGURIDAD PARA AUTÓNOMOS Y MICROEMPRESAS Unidad 12 Auditorías de Sistemas. Mi plan B Parte teórica
  • 2. 2 1 2 3 4 5 ► ► índice ► ► ► 2 INTRODUCCIÓN REACCIÓN ANTE INCIDENTES PLAN B: CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES OTROS CONCEPTOS A CONSIDERAR CONCLUSIONES EJEMPLO REACCIÓN ANTE INCIDENTES ► 6
  • 3. Objetivos Aprender a diseñar un plan de continuidad. Definir estrategias de recuperación. Evaluar el impacto de los incidentes de seguridad en la organización. 3 Descripción del concepto de análisis informático forense (Computer Forensics) Identificar las posibles implicaciones jurídicas o la necesidad de la presencia de un notario. Detectar las situaciones que requieran aprobación externa por parte de la autoridad competente en cada caso (FCSE, notario, etc.)
  • 5. 5 1. INTRODUCCIÓN A lo largo de las unidades de este curso hemos aprendido cual es el valor de la información, a identificar nuestros activos, reconocer las amenazas que les pueden afectar y como protegerlos. Pero… ¿qué pasa si a pesar de todas las medidas de seguridad y controles un desastre pone en peligro mi negocio? ¿y si soy víctima de un ataque o un incidente que afecte a mis activos? ¿cómo puedo saber qué pasó? En estos casos, seguro que te interesa recuperar la actividad normal, sobre todo si ha ocurrido algún desastre que te lo impida. Después querrás investigar qué paso para evitarlo, en la medida de lo posible, en el futuro. Los desastres, como inundaciones o incendios, si nos afectan, nos impiden llevar a cabo los procesos esenciales para la empresa y no se pueden resolver como haríamos con otros incidentes. Para esos casos veremos cómo podemos asegurar la continuidad del negocio con un «Plan B». Además existen procedimientos para investigar los incidentes de seguridad, saber qué pasó y depurar responsabilidades. Los técnicos lo llaman análisis forense. Veremos en qué consiste. Y, no hay que olvidar que hay que saber a quien pedir ayuda como vimos en la unidad anterior.
  • 6. 6 ¿POR QUÉ NECESITO UN PLAN B? Las empresas deben estar preparadas para prevenir, protegerse y reaccionar ante incidentes graves de seguridad que puedan afectarles y que podrían impactar en sus negocios. Un Plan de Continuidad de Negocio es un conjunto de tareas que permite la recuperación, tras un incidente grave, en un plazo de tiempo determinado. 1. INTRODUCCIÓN
  • 7. 7 1. INTRODUCCIÓN Un análisis forense es la ciencia que permite reconstruir lo que ha sucedido en un sistema de información tras un incidente de seguridad o un ataque. Se trata de un procedimiento que nos permite dar respuesta a las siguientes preguntas: ¿Qué ha ocurrido? ¿Dónde? ¿Cuándo? ¿Quién lo realizó? ¿Cómo se hizo? ¿Qué acciones se llevaron a cabo? ¿QUÉ ES EL ANÁLISIS FORENSE? El análisis forense se debe realizar en paralelo al plan de continuidad de negocio, para poder evitar que el incidente pueda volver a ocurrir en el futuro.
  • 8. 8 8 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
  • 9. 9 Todas las empresas están en riesgo de sufrir incidentes, ya sea por causas directas o ajenas a la misma: 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES ¿POR QUÉ NECESITO UN PLAN B? Causas directas: fallo de suministro inundaciones Incendios Causas ajenas: ataques dirigidos errores humanos malware
  • 10. 10 Se ha producido una fuga de agua en una de las plantas de la oficina que ha derivado en la inundación de la misma. El empleado que lo descubre avisa inmediatamente a los servicios técnicos de la empresa de suministros de la compañía para que detecten de dónde proviene la inundación y se cierre la fuga. Debido a que han transcurrido varias horas desde que se inició el incidente hasta que se detectó y puso remedio, se han producido goteras en algunos puntos de la planta, por lo que se puede ver comprometido el sistema eléctrico y es conveniente desalojar los puestos de trabajo de algunos trabajadores. EJEMPLO: NECESIDAD DE UN PLAN B 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
  • 11. 11 ¿QUÉ CAUSAS PUEDEN HACER PELIGRAR LA CONTINUIDAD DE TU ACTIVIDAD? Existen muchos factores que pueden afectar a la continuidad de los servicios ofrecidos por una empresa. Los más comunes suelen ser: Daños materiales o a sistemas Cese de actividad de un proveedor Robo de información interna o de clientes Daños operacionales de negocio Desastres industriales Desastres naturales (Intencionados o accidentales) (Fallos de suministro, incendios…) (Terremotos, inundaciones…) 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
  • 12. 12 Un plan de continuidad de negocio es un conjunto de actividades destinadas a mantener la continuidad de una organización para mitigar el impacto de un incidente o desastre. La recuperación de los servicios afectados por una catástrofe ha de estar basada en una estrategia. Por esto se establecen los objetivos de recuperación (en tiempo) para los distintos procesos o RTO (Recovery Time Objective) Una parada prolongada de los servicios en una empresa puede no ser asumible por la misma. Para valorar esto, en cada servicio, se utiliza el parámetro MTD (Maximum Tolerable Downtime) o tiempo máximo tolerable de caída. 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES CONCEPTOS BÁSICOS DE LA CONTINUIDAD DE NEGOCIO El Plan de Gestión de la Continuidad sirve para estar preparado en caso de que ocurra un incidente.
  • 13. 13 Podría pensarse que la continuidad del negocio es exclusiva de las grandes organizaciones, pero cada organización, incluso las más pequeñas, establecen las medidas proporcionales a sus necesidades para garantizar su continuidad en caso de desastre. Para diseñar un PLAN DE CONTINUIDAD que se ajuste a las necesidades de negocio, tendremos que definir unos objetivos y seguir un proceso. DISEÑO DEL PLAN DE CONTINUIDAD I 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES Es recomendable seguir el siguiente proceso: Los objetivos son:
  • 14. 14 DISEÑO PLAN DE CONTINUIDAD II FASE 1: Análisis • Análisis del impacto en el negocio. • Evaluación de amenazas. • Estudio de riesgos aplicables. FASE 2: Diseño • Selección de estrategias de recuperación. • Medidas de mitigación de riesgos. • Estructura de respuesta al incidente/contingencia. FASE 3: Implantación • Desarrollo y gestión del Plan de Continuidad de Negocio. • Elementos clave de los planes. • Programa de formación y concienciación. FASE 4: Verificación • Plan de pruebas. • Valorar diferentes tipos de pruebas. • Desarrollar, ejecutar y evaluar las pruebas. 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
  • 15. 15 ESTRATEGIA PARA LA RECUPERACIÓN Es necesario definir un plan para recuperar los procesos críticos del negocio en caso de una incidencia grave. Para ello es necesario: Determinar la estrategia continuidad de negocio. Definir el proceso a seguir. Establecer los requisitos para la recuperación: umbrales de recuperación (tiempo máximo de tolerable de caída por la organización) coste de la recuperación (coste económico para volver a la situación anterior) requisitos mínimos aceptables para la recuperación (definir a partir de que punto se considera restaurado el normal funcionamiento del sistema) 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
  • 16. 16 Gracias a que la empresa tenía diseñado un plan de continuidad de negocio, no se pierde el trabajo de los empleados y éstos podrán continuar con sus tareas mediante «teletrabajo» o reubicación en otros lugares del edificio. El protocolo a seguir en estos casos se basa en una estrategia de recuperación de las copias de seguridad (backup) que se generan periódicamente, así como una evaluación del impacto del incidente. Se llevará a cabo el reemplazo de los equipos afectados y se realiza la reapertura de las distintas zonas afectadas en función de la prioridad establecida dentro del plan de continuidad. EJEMPLO: ESTRATEGIA DE RECUPERACIÓN Se detecta que algunos equipos de los trabajadores han sufrido daños debido a las goteras ocasionadas por la inundación, por lo que no pueden continuar con sus tareas diarias. 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES El objetivo de las copias de seguridad es poder recuperar la información que de otra forma se hubiese perdido en caso de un incidente o desastre.
  • 17. 17 VOLVER A LA NORMALIDAD Una vez ocurrida la incidencia, es necesario realizar las actividades asociadas a la estrategia de recuperación para reactivar todos los servicios afectados. Esto implica la revisión de 5 aspectos importantes: Evaluación de daños: valorar los activos y sistemas comprometidos por la incidencia y determinar la estrategia para su recuperación o reemplazo. Priorización de actividades: definir que servicios han de ser recuperados primero ya sea debido a su criticidad o importancia para la empresa. Desarrollar un cronograma de recuperación: definiendo los tiempos establecidos y costes de recuperar cada uno de los servicios afectados. Ejecución de actividades: llevar a cabo las actividades planificadas. Evaluación de resultados: una vez finalizada la vuelta a la normalidad, evaluar la efectividad de las medidas llevadas a cabo de cara a futuro. 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
  • 18. 18 En base a los resultados obtenidos, se pueden definir mejoras para el plan de recuperación a fin de cubrir las debilidades descubiertas. PRUEBAS Y SIMULACROS Aparte de diseñar el plan de recuperación para los procesos de la empresa, se ha de probar y evaluar de forma periódica para asegurar que cubren nuestras expectativas. Estas actividades pueden ser de varios tipos: Prueba: someter a examen el proceso de recuperación definido para los servicios ofrecidos por el negocio. Simulacro: se pone en práctica un conjunto específico de procedimientos de recuperación dentro de un escenario predefinido. Ejercicio: basado en un evento en un escenario para evaluar la capacidad de toma de decisiones. 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
  • 19. 19 EJEMPLO PLAN DE CONTINUIDAD 2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES VER VIDEO
  • 20. 20 20 3. REACCIÓN ANTE INCIDENTES
  • 21. 21 Además de ejecutar el Plan de Continuidad debes investigar qué ha pasado para evitar que vuelva a ocurrir y depurar responsabilidades. Para ayudarte existe una disciplina informática auxiliar que se denomina «Informática forense». Según el FBI: «La informática forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional». Esta disciplina consiste en un conjunto de técnicas que permiten garantizar la verdad alrededor de las pruebas (evidencia digital) pudiéndose aportar, llegado el caso, en un procedimiento judicial. Con estas técnica podremos recuperar información borrada y analizar la información que existía en equipos formateados. Además se podrán extraer y examinar todo tipo de datos, incluyendo los de las redes sociales: historial de navegación, fotos, documentos, charlas, música, películas, logs, información compartida, etc. 3. REACCIÓN ANTE INCIDENTES
  • 22. 22 ¡Qué interesante! No conocía la informática forense. Pero parece un procedimiento muy técnico, ¿la puedo aplicar? No te preocupes, en este apartado vamos a ver cuál debe ser la reacción ante incidentes. ¿Cuáles son los principales objetivos de la Informática Forense?  Descubrir lo que ha ocurrido.  Compensar los daños causados por criminales o intrusos.  Perseguir y procesar judicialmente a los criminales.  Crear y aplicar medidas para prevenir casos similares. 3. REACCIÓN ANTE INCIDENTES
  • 23. 23 ¿CÓMO ACTUAR ANTE UN INCIDENTE? 3. REACCIÓN ANTE INCIDENTES El primer paso en caso de que haya un incidente de seguridad es recuperar el servicio, y para ello utilizaremos los planes de continuidad de negocio. Esta recuperación de servicio debe realizarse preservando las pruebas, para saber que ha pasado, aprender de ello y depurar las posibles responsabilidades legales. Los tipos de información que pueden ser relevante como evidencias, son por ejemplo: tráfico de red dispositivos de red sistemas operativos bases de datos Algunos ejemplos de delitos que estudia el análisis forense son: delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos delitos relacionados con el contenido (pornografía infantil) delitos de propiedad intelectual (piratería) Xenofobia (difusión de material o insultos y amenazas) aplicaciones periféricos ficheros dispositivos móviles Puedes obtener más información sobre este tema en el siguiente enlace: [1]
  • 24. 24 Identificar el incidente Recopilar información Análisis e investigación o Determinar los sistemas comprometidos. o Identificar el tipo de incidente: • origen del incidente • responsable del incidente (atacante, intruso, usuario…) o Detectar un incidente de seguridad: • si tiene implicaciones jurídicas • realizar entrevistas al personal implicado o Recopilar de evidencias digitales: • clonado de disco duro del ordenador involucrado en una investigación o Preservar las evidencias recopiladas. • cadena de custodia o Análisis e investigación de los hechos. • herramientas a utilizar o Metodologías aplicables. o Documentar el procedimiento seguido. o Recopilar los resultados obtenidos. o Entregar del informe final y presentación de resultados. 1 Resultados 4 3. REACCIÓN ANTE INCIDENTES ¿CÓMO ACTUAR ANTE UN INCIDENTE? 2 3
  • 25. 25 Para ello, los pasos procedimentales se agrupan en las siguientes fases: ¿CÓMO ACTUAR ANTE UN INCIDENTE? Cuando se sospecha que algo ha ocurrido, es decir, que ha habido un incidente, se debe llevar a cabo un protocolo de actuación que permita descubrir qué pasó y cómo ocurrió. Identificación del incidente Recopilación de Información Análisis e Investigación Documentación y presentación de resultados 3. REACCIÓN ANTE INCIDENTES
  • 26. 26 IDENTIFICACIÓN Y CLASIFICACIÓN DE INCIDENTES El primer paso consiste en identificar el tipo de incidente ocurrido, y en el caso de que ocurriese más de uno, priorizarlos dependiendo de su gravedad. Una de las clasificaciones más comunes se basa en origen del incidente: Un usuario no autorizado accede al sistema o a información interna. El sistema ha sido comprometido por una infección de virus, troyanos, spyware, etc. Se impide el correcto funcionamiento de servicios tales como DNS, correo electrónico, navegación web, etc. Extraer información personal de una persona o empresa con la finalidad de obtener un beneficio económico. 3. REACCIÓN ANTE INCIDENTES
  • 27. 27 PRIORIZAR EL INCIDENTE SEGÚN SU CRITICIDAD 3. REACCIÓN ANTE INCIDENTES Clase de incidente Tipo de incidente Ataque Ataque dirigido Modificación del sitio web Código dañino Infección extendida Infección única Denegación de servicio (DoS) Exitosa No exitosa Acceso no autorizado, robo o pérdida de datos Acceso no autorizado Robo o perdida de equipos Pérdida de datos Pruebas y reconocimientos Pruebas no autorizadas Alarmas de sistemas monitorización Daños físicos Daños o cambios físicos no autorizados a los sistemas Fuego Inundación Abuso de privilegios y usos inadecuados Abuso de privilegios o de políticas de seguridad de la información Infracciones de derechos de autor o piratería Uso indebido de la marca Nivel de criticidad Tiempo para registro interno BAJO Lo antes posible, pero no más de un mes desde la detección MEDIO Lo antes posible, pero no más de una semana desde la detección ALTO En las 48 horas siguientes a la detección MUY ALTO En las 12 horas siguientes a la detección CRÍTICO En la hora siguientes a la detección Fuente: cnn-cert.cni.es Estas tablas muestran un modelo para tipificar y priorizar los incidentes:
  • 28. 28 Una vez determinado el tipo de incidente acontecido, es fundamental determinar las implicaciones jurídicas que puede tener para nuestra empresa. De esta manera se pueden poner en marcha medidas para mitigar los daños y las responsabilidades legales o judiciales que el incidente pueda tener en la empresa o en los servicios que ofrece. Implicaciones jurídicas Debemos ser conscientes de que existen leyes que no permiten ciertas acciones. Si vulneramos alguna de estas leyes puede que no podamos probar los hechos ocurridos, llegado el caso, en un procedimiento judicial. judicial. ¿Y si no es mi intención denunciar o demandar? ¿Y si quiero llevar a cabo una investigación propia y adoptar medidas internas? Creo que aún así, en esos casos debes procurar asesorarte sobre posibles consecuencias legales para evitar cualquier responsabilidad. IDENTIFICAR EL INCIDENTE 3. REACCIÓN ANTE INCIDENTES
  • 29. 29 Casos de robo o fugas de información de mi negocio relacionada con mis clientes, proveedores etc. que pueden incluir datos de carácter personal de acuerdo con lo establecido en la LOPD. 3. REACCIÓN ANTE INCIDENTES Recuerda que los incidentes de seguridad pueden ser constitutivos de delito de acuerdo con lo establecido en la legislación. Estos son algunos de los incidentes de seguridad que hemos mencionado a lo largo de este curso y que son más relevantes desde el punto de vista legal (por sus consecuencias). Uso de herramientas o aplicaciones sin las oportunas licencias (SW pirata). Casos de suplantación de identidad a través de técnicas de ingeniería social como el phishing para obtener información sensible o inducir a engaño y conseguir algún beneficio económico.
  • 30. 30 Requisitoria pericial: contactar con un notario para certificar el proceso de clonado de dispositivos de almacenamiento. (Necesario en el caso de que la evidencia pueda ser aportada en un juicio). Entrevista aclaratoria: que permita calcular el alcance del análisis forense así como identificar las partes implicadas en el mismo. Inspección preliminar: a través de la cual se tratará de identificar toda información a procesar en el análisis con el objetivo de identificar qué ocurrió. Recopilación de evidencias: de manera segura para su posterior análisis e investigación. RECOPILACIÓN DE INFORMACIÓN En esta fase se han de recopilar todas las evidencias posibles del incidente acontecido (pruebas de los hechos) para poder analizarlas y determinar lo ocurrido. Para ello será necesario llevar a cabo 4 acciones: 3. REACCIÓN ANTE INCIDENTES
  • 31. 31 Cada vez que se realice un análisis forense digital de un dispositivo electrónico deberemos mantener en todo momento la cadena de custodia, de manera que las evidencias puedan ser trazadas hasta su origen y se garantice que no hayan sido alteradas durante el proceso. Para ello se dispondrá de un fichero de cadena de custodia donde se incluirán las evidencias, las firmas (hash*) de las mismas, y todos los actores que han tenido acceso a las evidencias, cuando han tenido acceso y por cuanto tiempo. Cadena de custodia En el caso de un posible juicio, si no existe una cadena de custodia las pruebas serán invalidadas. RECOPILACIÓN DE INFORMACIÓN Puedes obtener más información sobre este tema en el siguiente enlace: [2] 3. REACCIÓN ANTE INCIDENTES *hash: Algoritmo que hace un resumen digital de la información en archivos o soportes. Este resumen es único para cada evidencia, así se puede comprobar si las copias son iguales al original o no.
  • 32. 32 Tipos de datos a recopilar RECOPILACIÓN DE INFORMACIÓN A la hora de recopilar la información relevante para la investigación debemos conocer las características del entorno (digital o virtual) y del lugar del sistema en que esté almacenada la misma. Durante la recopilación de datos de un sistema para su posterior análisis, es importante distinguir entre los tipos de datos que nos encontraremos: Por lo tanto, es importante considerar los datos que se quieren recopilar como evidencias antes de manipular el sistema, para evitar poner en riesgo, por ejemplo, los datos volátiles en memoria o de aplicaciones en ejecución. Volátiles Se pierden al apagar el sistema, incluyendo ficheros abiertos, procesos de memoria, ficheros del sistema, usuarios autenticados, etc. No volátiles Ficheros almacenados en discos, registros de eventos, aplicaciones, etc. Transitorios Ficheros en memoria RAM/Caché, ficheros temporales, etc. 3. REACCIÓN ANTE INCIDENTES
  • 33. 33 Las evidencias que necesitaremos para el análisis se suelen encontrar en el disco duro o dispositivo de almacenamiento del equipo. Para poder trabajar con el mismo, lo primero que se ha de hacer es clonar el disco y obtener un hash del mismo para verificar que es una copia exacta. Es importante distinguir entre clonado y obtención de una imagen del disco: Clon: copia exacta bit a bit de un disco duro. Imagen: contiene archivos, pero no sectores de arranque, información oculta, etc. Clonado de discos RECOPILACIÓN DE INFORMACIÓN Al hacer una copia exacta del disco duro tendremos acceso a toda la información, la que vemos y la que no. Podremos obtener información del contenido y de su «historia» (fecha de creación, modificaciones,...) e incluso recuperar información que fue borrada. 3. REACCIÓN ANTE INCIDENTES
  • 34. 34 Nos podemos encontrar con la situación de que el disco duro se encuentre cifrado completamente por motivos de seguridad o política de empresa. En este caso se podrá clonar el disco, pero para poder acceder a los datos será necesario disponer de la clave de descifrado: Solicitar la contraseña al dueño/usuario del equipo. Utilizar herramientas de recuperación de contraseñas (alto coste, limitado éxito). RECOPILACIÓN DE INFORMACIÓN ¿Y si el disco duro esta cifrado? Este procedimiento, la recopilación de información, es indispensable para llevar a cabo investigaciones de posibles infracciones, fraudes o delitos en los que estén involucrados los dispositivos electrónicos (ordenadores, smartphones…) de tú negocio. Por sus características técnicas y debido a que es necesario utilizar herramientas especificas, es recomendable acudir a expertos que garanticen su eficacia y que se mantiene la cadena de custodia. 3. REACCIÓN ANTE INCIDENTES
  • 35. 35 Antes de llevar a cabo la fase de Análisis e Investigación será necesario preservar las evidencias recogidas, a fin de disponer de una copia original a partir de la cual sea posible reconstruir todo el proceso llevado a cabo para la obtención de los resultados del análisis forense. Protocolo de actuación A continuación, se procederá a analizar las evidencias recogidas e investigar los indicios que resulten de las mismas a fin de determinar qué sucedió y cómo se produjo. ANÁLISIS E INVESTIGACIÓN 3. REACCIÓN ANTE INCIDENTES
  • 36. 36 Cuando trabajemos con evidencias, debemos de seguir una serie de pautas para garantizar su integridad y autenticidad: • Firmar las evidencias mediante hashes para verificar que no sean manipuladas. La firma permite comprobar la identidad de una persona a través de su certificado digital, y también verificar la integridad de la evidencia. • Se deberán realizar copias de las evidencias para evitar que estas se dañen o alteren durante el proceso de extracción o, incluso, por si alguien intenta destruirlas. Manipulación de las evidencias Realizar una copia de la evidencia puede ser un proceso difícil y delicado. Las pruebas pueden ser modificadas incluso durante su recolección. ANÁLISIS E INVESTIGACIÓN 3. REACCIÓN ANTE INCIDENTES
  • 37. 37 Finalmente, será necesario documentar todas las actividades realizadas de manera que tengamos una visión completa del incidente acontecido y la investigación realizada. Se deberán incluir: Descripción del incidente ocurrido y detalles de los sistemas y equipos afectados. Listado de las evidencias obtenidas. Definición de los pasos realizados durante la investigación. Resultados obtenidos del análisis de las evidencias. RESULTADOS Y DOCUMENTACIÓN 3. REACCIÓN ANTE INCIDENTES
  • 38. 38 En el caso que el incidente tenga implicaciones legales y se tenga que ir a juicio, será necesario un informe forense (o pericial). Este informe es un dictamen que tiene como objetivo ayudar a los letrados y a los jueces a entender los detalles muy técnicos de la investigación realizada. El Perito Judicial Informático es el que da la aceptación de la veracidad y contundencia de las pruebas presentadas en un proceso legal, y el encargado de solucionar aspectos de conocimientos que el juez o los tribunales no están obligados de conocer. Para ejercer de Perito Judicial informático es indispensable una certificación refrendada por alguna institución en la que haya acreditado sus conocimientos y su pericia. [3]. Informe forense (pericial) RESULTADOS Y DOCUMENTACIÓN Asunto Evidencias/muestras recibidas Resolución o estudios efectuados sobre las evidencias/muestras Situación final de las evidencias/muestras Conclusiones finales También se pueden solicitar informes fuera del ámbito judicial. Hay distintos modelos para realizar estos informes, tales como el UNE 71506:2013 ANEXO A, que provee: [4] 3. REACCIÓN ANTE INCIDENTES
  • 39. 39 4. EJEMPLO REACCIÓN ANTE INCIDENTES 39
  • 40. 40 EJEMPLO DE CÓMO IDENTIFICAR UN INCIDENTE Los perjuicios más comunes son: Daño a la imagen/marca de empresa con el consiguiente impacto negativo en mis clientes (potenciales y actuales). Consiguiente disminución de ingresos por interrupción de mi actividad profesional. Desaparición del negocio por la gravedad y el impacto del incidente de seguridad en la organización. 4. EJEMPLO REACCIÓN ANTE INCIDENTES El correo electrónico de un empleado envía correos no autorizados por el empleado, el procedimiento a seguir es: Se procede a identificar a todo el personal que ha podido tener acceso a la sala en la que se encontraba el equipo en las fechas de emisión de los correos. El soporte de IT revisa la configuración del equipo y procede a identificar el incidente. Por otro lado, se determinan las implicaciones jurídicas que este caso puede tener. Tras una primer inspección de los correos existentes en la bandeja de entrada del empleado, el soporte de IT determina que efectivamente ha habido un acceso no autorizado al equipo.
  • 41. 41 A la hora de comprobar si un empleado ha cometido una actividad ilegal o perjudicial para la organización, en primer lugar se llama al empleado para informarle de que se va a realizar el clonado de su equipo para su posterior análisis. Debido a que puede haber implicaciones legales, se contrata la presencia de un notario que certifique la integridad y veracidad de las copias clonadas. Si el disco duro está cifrado, se requerirá que el empleado proporcione su clave de descifrado. Así mismo, se procederá a guardar bajo custodia una copia del original, mientras que se trabajará sobre la otra copia. A continuación, se procederá a recopilar las evidencias de los correos enviados, registros del sistema, etc. EJEMPLO DE RECOPILACIÓN DE INFORMACIÓN 4. EJEMPLO REACCIÓN ANTE INCIDENTES
  • 42. 42 En este caso se sospecha de una intrusión no autorizada o de un uso malicioso del equipo a través del correo electrónico, se realizará un análisis en 3 pasos: Inspección de los registros de acceso: se comprueba que todos los accesos han sido autorizados y están dentro del horario indicado por el empleado afectado. Inspección de correos electrónicos del empleado: se detecta actividad maliciosa; se observan aquellos que han sido generados automáticamente y que llevan un fichero adjunto sospechoso. Análisis del sistema: se detecta que el sistema ha sido infectado por un malware malicioso que se expande por correo electrónico. Analizando el comportamiento, se determina que los correos han sido enviados por dicho malware ya que el patrón coincide. EJEMPLO DE ANÁLISIS E INVESTIGACIÓN Al tratarse de un virus nuevo no ha sido identificado por el antivirus corporativo. 4. EJEMPLO REACCIÓN ANTE INCIDENTES
  • 43. 43 Finalmente, el soporte de IT procede a generar un informe explicando la situación y los problemas detectados en el análisis del equipo. Después se pondrá en contacto con el empleado para llevar a cabo una limpieza del equipo a fin de que pueda seguir desarrollando su actividad diaria sin problemas. EJEMPLO DE RESULTADOS Y DOCUMENTACIÓN 4. EJEMPLO REACCIÓN ANTE INCIDENTES
  • 44. 44 5. OTROS ASPECTOS A CONSIDERAR: WEB Y ALMACENAMIENTO
  • 45. 45 5. OTROS ASPECTOS A CONSIDERAR: WEB Y ALMACENAMIENTO WEB Y ALMACENAMIENTO Proveedor Comprobar su fiabilidad, verificar su registro oficial, etc. Comprobar la disponibilidad que nos ofrecen del servicio, dado que la falta de disponibilidad puede afectar a nuestro negocio. Servicio Ofrecido Condiciones del servicio contratado (SLA). Conocer y concretar la disponibilidad de servicio que nos ofrecen, así como el tiempo de recuperación en caso de que falle. Almacenamiento Lugar de ubicación de los servidores, capacidad, sistemas de recuperación y protección ante fallos. En caso de un fallo en el almacenamiento, ya sea local o contratado a terceros, esto afectara a nuestro funcionamiento y por tanto es necesario conocer su capacidad de recuperación. A la hora de llevar a cabo un Plan B de nuestra empresa, se han de tener en cuenta las siguientes consideraciones de los servicios contratados a terceros:
  • 46. 46 En cuanto al análisis forense de un sistema que se encuentre en un servidor web o de almacenamiento, se han de tener en cuenta las siguientes consideraciones: Para el clonado de los discos que dependan de terceros, será necesario contar con la aprobación del proveedor. En caso contrario, será necesaria una orden judicial. En el supuesto de que el caso presente implicaciones legales, será necesaria la presencia de un notario y el cumplimiento de la cadena de custodia. 5. OTROS ASPECTOS A CONSIDERAR: WEB Y ALMACENAMIENTO WEB Y ALMACENAMIENTO
  • 47. Otros aspectos a considerar son: Revisa detenidamente los acuerdos de nivel de servicio (SLA) al contratar servicios a terceros. Considera las potenciales amenazas que puede sufrir tu empresa, ya sean directas o indirectas. Recuerda que los daños no tienen por qué ser sólo materiales, también pueden derivarse de un cese de actividad, robo de información, etc. C O N C L U S I O N E S La seguridad total no es alcanzable, pero debes tratar de reducir el impacto al mínimo posible de una forma que sea asumible para la empresa. Conviene tener definido un plan de continuidad que permita que la empresa sea capaz de responder a un incidentes graves. El plan debe incluir un procedimiento de recuperación para reestablecer las operaciones de la compañía dentro de un tiempo razonable y un coste asumible. Plan B: Continuidad de negocio y recuperación ante desastres
  • 48. Siempre que se detecte un comportamiento anómalo en el equipo se ha de informar al soporte de IT de la compañía de lo sucedido. Recuerde no manipular el equipo para evitar la pérdida de evidencias. Siga siempre las instrucciones que te indiquen los responsables del soporte de IT. C O N C L U S I O N E S Evalúe el impacto que puede tener el incidente tanto para el empleado como para la empresa. Determine la necesidad de la presencia de un notario. Cumpla siempre con la cadena de custodia. Recuerde generar siempre un informe detallado del procedimiento seguido y los resultados obtenidos. Asegúrese de justificar los resultados con evidencias reales. Reacción ante incidentes Otros aspectos a considerar son: Solicitar la aprobación del proveedor para el clonado de discos que dependan de terceros. Contratar los servicios de un notario en el supuesto de que el caso conlleve implicaciones legales.
  • 49. 49 Referencias [1] policia.es- Brigada de Investigación Tecnológica- Alertas: http://www.policia.es/org_central/judicial/udef/bit_alertas.html [2] INCIBE_ Cadena de custodia: https://www.certsi.es/blog [3] antpji.com_ ¿Qué es un perito informático?: http://www.antpji.com/antpji2013/index.php/articulos2/101-que-es-un-perito- informatico [5] INCIBE_ Plan de contingencia y continuidad e negocio: https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-contingencia- continuidad-negocio [6] INCIBE_ Blog de seguridad: https://www.incibe.es/protege-tu-empresa/blog/filtro/continuidad-negocio [4] aenor.es_ UNE 71506:2013 ANEXO A, http://www.aenor.es/aenor/normas/normas/fichanorma.asp?tipo=N&codigo=N005141 4#.WAT3QvmLRD9
  • 50. Has completado esta unidad ¡Te esperamos en la siguiente!