3. Objetivos
Aprender a diseñar un plan de continuidad.
Definir estrategias de recuperación.
Evaluar el impacto de los incidentes de seguridad en
la organización.
3
Descripción del concepto de análisis informático
forense (Computer Forensics)
Identificar las posibles implicaciones jurídicas o
la necesidad de la presencia de un notario.
Detectar las situaciones que requieran
aprobación externa por parte de la autoridad
competente en cada caso (FCSE, notario, etc.)
5. 5
1. INTRODUCCIÓN
A lo largo de las unidades de este curso hemos aprendido cual es el valor de la
información, a identificar nuestros activos, reconocer las amenazas que les pueden
afectar y como protegerlos.
Pero…
¿qué pasa si a pesar de todas las medidas de seguridad y controles un
desastre pone en peligro mi negocio?
¿y si soy víctima de un ataque o un incidente que afecte a mis activos?
¿cómo puedo saber qué pasó?
En estos casos, seguro que te interesa recuperar la actividad normal, sobre todo si ha ocurrido
algún desastre que te lo impida. Después querrás investigar qué paso para evitarlo, en la medida
de lo posible, en el futuro.
Los desastres, como inundaciones o incendios, si nos afectan, nos impiden llevar a cabo los
procesos esenciales para la empresa y no se pueden resolver como haríamos con otros
incidentes. Para esos casos veremos cómo podemos asegurar la continuidad del negocio con
un «Plan B».
Además existen procedimientos para investigar los incidentes de seguridad, saber qué pasó y
depurar responsabilidades. Los técnicos lo llaman análisis forense. Veremos en qué consiste.
Y, no hay que olvidar que hay que saber a quien pedir ayuda como vimos en la unidad
anterior.
6. 6
¿POR QUÉ NECESITO UN PLAN B?
Las empresas deben estar preparadas para prevenir, protegerse y reaccionar ante incidentes graves de
seguridad que puedan afectarles y que podrían impactar en sus negocios.
Un Plan de Continuidad de Negocio es un conjunto de tareas que permite la recuperación, tras un incidente
grave, en un plazo de tiempo determinado.
1. INTRODUCCIÓN
7. 7
1. INTRODUCCIÓN
Un análisis forense es la ciencia que permite reconstruir lo que ha sucedido en
un sistema de información tras un incidente de seguridad o un ataque.
Se trata de un procedimiento que nos permite dar
respuesta a las siguientes preguntas:
¿Qué ha ocurrido?
¿Dónde?
¿Cuándo?
¿Quién lo realizó?
¿Cómo se hizo?
¿Qué acciones se llevaron a cabo?
¿QUÉ ES EL ANÁLISIS FORENSE?
El análisis forense se debe realizar en paralelo al plan
de continuidad de negocio, para poder evitar que el
incidente pueda volver a ocurrir en el futuro.
8. 8 8
2. PLAN B. CONTINUIDAD DE NEGOCIO Y
RECUPERACIÓN ANTE DESASTRES
9. 9
Todas las empresas están en riesgo de sufrir incidentes, ya sea por causas directas o ajenas a la misma:
2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
¿POR QUÉ NECESITO UN PLAN B?
Causas directas:
fallo de suministro
inundaciones
Incendios
Causas ajenas:
ataques dirigidos
errores humanos
malware
10. 10
Se ha producido una fuga de agua en una de las plantas de la
oficina que ha derivado en la inundación de la misma.
El empleado que lo descubre avisa inmediatamente a los
servicios técnicos de la empresa de suministros de la compañía
para que detecten de dónde proviene la inundación y se cierre
la fuga.
Debido a que han transcurrido varias horas desde que se inició
el incidente hasta que se detectó y puso remedio, se han
producido goteras en algunos puntos de la planta, por lo que se
puede ver comprometido el sistema eléctrico y es conveniente
desalojar los puestos de trabajo de algunos trabajadores.
EJEMPLO: NECESIDAD DE UN PLAN B
2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
11. 11
¿QUÉ CAUSAS PUEDEN HACER PELIGRAR LA CONTINUIDAD DE TU ACTIVIDAD?
Existen muchos factores que pueden afectar a la continuidad de los servicios ofrecidos por una
empresa. Los más comunes suelen ser:
Daños materiales o
a sistemas
Cese de actividad de un
proveedor
Robo de información
interna o de clientes
Daños operacionales de
negocio
Desastres industriales Desastres naturales
(Intencionados o accidentales) (Fallos de suministro, incendios…) (Terremotos, inundaciones…)
2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
12. 12
Un plan de continuidad de negocio es un conjunto de
actividades destinadas a mantener la continuidad de una
organización para mitigar el impacto de un incidente o desastre.
La recuperación de los servicios afectados por una catástrofe
ha de estar basada en una estrategia. Por esto se establecen
los objetivos de recuperación (en tiempo) para los
distintos procesos o RTO (Recovery Time Objective)
Una parada prolongada de los servicios en una empresa
puede no ser asumible por la misma. Para valorar esto, en
cada servicio, se utiliza el parámetro MTD (Maximum Tolerable
Downtime) o tiempo máximo tolerable de caída.
2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
CONCEPTOS BÁSICOS DE LA CONTINUIDAD DE NEGOCIO
El Plan de Gestión de la Continuidad sirve para estar preparado en caso de que ocurra
un incidente.
13. 13
Podría pensarse que la continuidad del negocio es exclusiva de las grandes organizaciones, pero cada
organización, incluso las más pequeñas, establecen las medidas proporcionales a sus necesidades para
garantizar su continuidad en caso de desastre. Para diseñar un PLAN DE CONTINUIDAD que se ajuste a las
necesidades de negocio, tendremos que definir unos objetivos y seguir un proceso.
DISEÑO DEL PLAN DE CONTINUIDAD I
2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
Es recomendable seguir el siguiente proceso:
Los objetivos son:
14. 14
DISEÑO PLAN DE CONTINUIDAD II
FASE 1: Análisis
• Análisis del impacto en el negocio.
• Evaluación de amenazas.
• Estudio de riesgos aplicables.
FASE 2: Diseño
• Selección de estrategias de recuperación.
• Medidas de mitigación de riesgos.
• Estructura de respuesta al
incidente/contingencia.
FASE 3: Implantación
• Desarrollo y gestión del Plan de Continuidad
de Negocio.
• Elementos clave de los planes.
• Programa de formación y concienciación.
FASE 4: Verificación
• Plan de pruebas.
• Valorar diferentes tipos de pruebas.
• Desarrollar, ejecutar y evaluar las pruebas.
2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
15. 15
ESTRATEGIA PARA LA RECUPERACIÓN
Es necesario definir un plan para recuperar los procesos críticos del negocio en caso de
una incidencia grave. Para ello es necesario:
Determinar la estrategia continuidad de negocio.
Definir el proceso a seguir.
Establecer los requisitos para la recuperación:
umbrales de recuperación (tiempo máximo de tolerable de caída por la
organización)
coste de la recuperación (coste económico para volver a la situación
anterior)
requisitos mínimos aceptables para la recuperación (definir a partir de que
punto se considera restaurado el normal funcionamiento del sistema)
2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
16. 16
Gracias a que la empresa tenía diseñado un plan de
continuidad de negocio, no se pierde el trabajo de los
empleados y éstos podrán continuar con sus tareas
mediante «teletrabajo» o reubicación en otros lugares del
edificio.
El protocolo a seguir en estos casos se basa en una
estrategia de recuperación de las copias de seguridad
(backup) que se generan periódicamente, así como una
evaluación del impacto del incidente.
Se llevará a cabo el reemplazo de los equipos afectados y se
realiza la reapertura de las distintas zonas afectadas en
función de la prioridad establecida dentro del plan de
continuidad.
EJEMPLO: ESTRATEGIA DE RECUPERACIÓN
Se detecta que algunos equipos de los trabajadores han sufrido daños debido a las goteras ocasionadas por la
inundación, por lo que no pueden continuar con sus tareas diarias.
2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
El objetivo de las copias de seguridad es
poder recuperar la información que de otra
forma se hubiese perdido en caso de un
incidente o desastre.
17. 17
VOLVER A LA NORMALIDAD
Una vez ocurrida la incidencia, es necesario realizar las actividades
asociadas a la estrategia de recuperación para reactivar todos los
servicios afectados. Esto implica la revisión de 5 aspectos importantes:
Evaluación de daños: valorar los activos y sistemas
comprometidos por la incidencia y determinar la estrategia para
su recuperación o reemplazo.
Priorización de actividades: definir que servicios han de ser
recuperados primero ya sea debido a su criticidad o importancia
para la empresa.
Desarrollar un cronograma de recuperación: definiendo los
tiempos establecidos y costes de recuperar cada uno de los
servicios afectados.
Ejecución de actividades: llevar a cabo las actividades
planificadas.
Evaluación de resultados: una vez finalizada la vuelta a la
normalidad, evaluar la efectividad de las medidas llevadas a cabo
de cara a futuro.
2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
18. 18
En base a los resultados obtenidos, se pueden definir mejoras para el plan de
recuperación a fin de cubrir las debilidades descubiertas.
PRUEBAS Y SIMULACROS
Aparte de diseñar el plan de recuperación para los procesos de la empresa, se ha
de probar y evaluar de forma periódica para asegurar que cubren nuestras
expectativas. Estas actividades pueden ser de varios tipos:
Prueba: someter a examen el proceso de recuperación definido para los
servicios ofrecidos por el negocio.
Simulacro: se pone en práctica un conjunto específico de procedimientos
de recuperación dentro de un escenario predefinido.
Ejercicio: basado en un evento en un escenario para evaluar la capacidad de
toma de decisiones.
2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
19. 19
EJEMPLO PLAN DE CONTINUIDAD
2. PLAN B. CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
VER VIDEO
21. 21
Además de ejecutar el Plan de Continuidad debes investigar qué ha pasado para evitar que
vuelva a ocurrir y depurar responsabilidades.
Para ayudarte existe una disciplina informática auxiliar que se denomina «Informática
forense».
Según el FBI: «La informática forense es la
ciencia de adquirir, preservar, obtener y
presentar datos que han sido procesados
electrónicamente y guardados en un medio
computacional».
Esta disciplina consiste en un conjunto de técnicas que permiten garantizar la verdad
alrededor de las pruebas (evidencia digital) pudiéndose aportar, llegado el caso, en un
procedimiento judicial.
Con estas técnica podremos recuperar información borrada y analizar la información que
existía en equipos formateados. Además se podrán extraer y examinar todo tipo de
datos, incluyendo los de las redes sociales: historial de navegación, fotos, documentos,
charlas, música, películas, logs, información compartida, etc.
3. REACCIÓN ANTE INCIDENTES
22. 22
¡Qué interesante! No conocía la informática forense.
Pero parece un procedimiento muy técnico, ¿la puedo aplicar?
No te preocupes, en este apartado vamos a
ver cuál debe ser la reacción ante incidentes.
¿Cuáles son los principales objetivos de la Informática Forense?
Descubrir lo que ha ocurrido.
Compensar los daños causados por criminales o intrusos.
Perseguir y procesar judicialmente a los criminales.
Crear y aplicar medidas para prevenir casos similares.
3. REACCIÓN ANTE INCIDENTES
23. 23
¿CÓMO ACTUAR ANTE UN INCIDENTE?
3. REACCIÓN ANTE INCIDENTES
El primer paso en caso de que haya un incidente de seguridad es recuperar el servicio, y para ello
utilizaremos los planes de continuidad de negocio. Esta recuperación de servicio debe realizarse
preservando las pruebas, para saber que ha pasado, aprender de ello y depurar las posibles
responsabilidades legales.
Los tipos de información que pueden ser relevante como evidencias, son por ejemplo:
tráfico de red
dispositivos de red
sistemas operativos
bases de datos
Algunos ejemplos de delitos que estudia el análisis forense son:
delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas
informáticos
delitos relacionados con el contenido (pornografía infantil)
delitos de propiedad intelectual (piratería)
Xenofobia (difusión de material o insultos y amenazas)
aplicaciones
periféricos
ficheros
dispositivos móviles
Puedes obtener más información sobre este tema en el siguiente enlace: [1]
24. 24
Identificar el incidente
Recopilar información
Análisis e investigación
o Determinar los sistemas
comprometidos.
o Identificar el tipo de incidente:
• origen del incidente
• responsable del incidente
(atacante, intruso, usuario…)
o Detectar un incidente de seguridad:
• si tiene implicaciones jurídicas
• realizar entrevistas al personal
implicado
o Recopilar de evidencias digitales:
• clonado de disco duro del ordenador
involucrado en una investigación
o Preservar las evidencias recopiladas.
• cadena de custodia
o Análisis e investigación de los hechos.
• herramientas a utilizar
o Metodologías aplicables.
o Documentar el procedimiento seguido.
o Recopilar los resultados obtenidos.
o Entregar del informe final y presentación de
resultados.
1
Resultados
4
3. REACCIÓN ANTE INCIDENTES
¿CÓMO ACTUAR ANTE UN INCIDENTE?
2
3
25. 25
Para ello, los pasos procedimentales se agrupan en
las siguientes fases:
¿CÓMO ACTUAR ANTE UN INCIDENTE?
Cuando se sospecha que algo ha ocurrido, es decir, que ha habido un incidente, se debe llevar a cabo un
protocolo de actuación que permita descubrir qué pasó y cómo ocurrió.
Identificación del incidente
Recopilación de Información
Análisis e Investigación
Documentación y presentación de resultados
3. REACCIÓN ANTE INCIDENTES
26. 26
IDENTIFICACIÓN Y CLASIFICACIÓN DE INCIDENTES
El primer paso consiste en identificar el tipo de incidente ocurrido, y en el caso de que ocurriese más de
uno, priorizarlos dependiendo de su gravedad.
Una de las clasificaciones más comunes se basa en origen del incidente:
Un usuario no autorizado
accede al sistema o a
información interna.
El sistema ha sido
comprometido por una
infección de virus,
troyanos, spyware, etc.
Se impide el correcto
funcionamiento de
servicios tales como DNS,
correo electrónico,
navegación web, etc.
Extraer información
personal de una persona o
empresa con la finalidad
de obtener un beneficio
económico.
3. REACCIÓN ANTE INCIDENTES
27. 27
PRIORIZAR EL INCIDENTE SEGÚN SU CRITICIDAD
3. REACCIÓN ANTE INCIDENTES
Clase de incidente Tipo de incidente
Ataque
Ataque dirigido
Modificación del sitio web
Código dañino
Infección extendida
Infección única
Denegación de servicio
(DoS)
Exitosa
No exitosa
Acceso no autorizado,
robo o pérdida de datos
Acceso no autorizado
Robo o perdida de equipos
Pérdida de datos
Pruebas y
reconocimientos
Pruebas no autorizadas
Alarmas de sistemas
monitorización
Daños físicos
Daños o cambios físicos no
autorizados a los sistemas
Fuego
Inundación
Abuso de privilegios y
usos inadecuados
Abuso de privilegios o de políticas
de seguridad de la información
Infracciones de derechos de autor
o piratería
Uso indebido de la marca
Nivel de
criticidad Tiempo para registro interno
BAJO
Lo antes posible, pero no más de un mes desde la
detección
MEDIO
Lo antes posible, pero no más de una semana
desde la detección
ALTO En las 48 horas siguientes a la detección
MUY ALTO En las 12 horas siguientes a la detección
CRÍTICO En la hora siguientes a la detección
Fuente: cnn-cert.cni.es
Estas tablas muestran un modelo para tipificar y priorizar los incidentes:
28. 28
Una vez determinado el tipo de incidente acontecido, es fundamental determinar las
implicaciones jurídicas que puede tener para nuestra empresa. De esta manera se pueden
poner en marcha medidas para mitigar los daños y las responsabilidades legales o
judiciales que el incidente pueda tener en la empresa o en los servicios que ofrece.
Implicaciones jurídicas
Debemos ser conscientes de que existen leyes que no permiten ciertas acciones. Si
vulneramos alguna de estas leyes puede que no podamos probar los hechos ocurridos,
llegado el caso, en un procedimiento judicial. judicial.
¿Y si no es mi intención denunciar o demandar? ¿Y si quiero
llevar a cabo una investigación propia y adoptar medidas
internas?
Creo que aún así, en esos casos debes procurar
asesorarte sobre posibles consecuencias legales para
evitar cualquier responsabilidad.
IDENTIFICAR EL INCIDENTE
3. REACCIÓN ANTE INCIDENTES
29. 29
Casos de robo o fugas de información de mi negocio relacionada con mis clientes,
proveedores etc. que pueden incluir datos de carácter personal de acuerdo con lo
establecido en la LOPD.
3. REACCIÓN ANTE INCIDENTES
Recuerda que los incidentes de seguridad pueden ser constitutivos de delito de
acuerdo con lo establecido en la legislación.
Estos son algunos de los incidentes de seguridad que hemos mencionado a lo
largo de este curso y que son más relevantes desde el punto de vista legal (por
sus consecuencias).
Uso de herramientas o aplicaciones sin las oportunas licencias (SW pirata).
Casos de suplantación de identidad a través de técnicas de ingeniería social
como el phishing para obtener información sensible o inducir a engaño y
conseguir algún beneficio económico.
30. 30
Requisitoria pericial: contactar con un notario para certificar el
proceso de clonado de dispositivos de almacenamiento. (Necesario
en el caso de que la evidencia pueda ser aportada en un juicio).
Entrevista aclaratoria: que permita calcular el alcance del análisis
forense así como identificar las partes implicadas en el mismo.
Inspección preliminar: a través de la cual se tratará de identificar
toda información a procesar en el análisis con el objetivo de
identificar qué ocurrió.
Recopilación de evidencias: de manera segura para su posterior
análisis e investigación.
RECOPILACIÓN DE INFORMACIÓN
En esta fase se han de recopilar todas las evidencias posibles del
incidente acontecido (pruebas de los hechos) para poder analizarlas y
determinar lo ocurrido. Para ello será necesario llevar a cabo 4 acciones:
3. REACCIÓN ANTE INCIDENTES
31. 31
Cada vez que se realice un análisis forense digital de un dispositivo electrónico
deberemos mantener en todo momento la cadena de custodia, de manera que las
evidencias puedan ser trazadas hasta su origen y se garantice que no hayan sido
alteradas durante el proceso.
Para ello se dispondrá de un fichero de cadena de custodia donde se incluirán las
evidencias, las firmas (hash*) de las mismas, y todos los actores que han tenido acceso
a las evidencias, cuando han tenido acceso y por cuanto tiempo.
Cadena de custodia
En el caso de un posible juicio, si no existe una
cadena de custodia las pruebas serán invalidadas.
RECOPILACIÓN DE INFORMACIÓN
Puedes obtener más información sobre este tema en el siguiente enlace: [2]
3. REACCIÓN ANTE INCIDENTES
*hash: Algoritmo que hace un resumen digital de la información en archivos o soportes. Este
resumen es único para cada evidencia, así se puede comprobar si las copias son iguales al
original o no.
32. 32
Tipos de datos a recopilar
RECOPILACIÓN DE INFORMACIÓN
A la hora de recopilar la información relevante para la
investigación debemos conocer las características del entorno
(digital o virtual) y del lugar del sistema en que esté
almacenada la misma.
Durante la recopilación de datos de un sistema para su
posterior análisis, es importante distinguir entre los tipos de
datos que nos encontraremos:
Por lo tanto, es importante
considerar los datos que se
quieren recopilar como
evidencias antes de
manipular el sistema, para
evitar poner en riesgo, por
ejemplo, los datos volátiles en
memoria o de aplicaciones en
ejecución.
Volátiles
Se pierden al apagar el sistema,
incluyendo ficheros abiertos, procesos
de memoria, ficheros del sistema,
usuarios autenticados, etc.
No volátiles
Ficheros almacenados en discos,
registros de eventos, aplicaciones, etc.
Transitorios
Ficheros en memoria RAM/Caché,
ficheros temporales, etc.
3. REACCIÓN ANTE INCIDENTES
33. 33
Las evidencias que necesitaremos para el análisis se suelen
encontrar en el disco duro o dispositivo de almacenamiento del
equipo.
Para poder trabajar con el mismo, lo primero que se ha de hacer es
clonar el disco y obtener un hash del mismo para verificar que es
una copia exacta. Es importante distinguir entre clonado y
obtención de una imagen del disco:
Clon: copia exacta bit a bit de un disco duro.
Imagen: contiene archivos, pero no sectores de
arranque, información oculta, etc.
Clonado de discos
RECOPILACIÓN DE INFORMACIÓN
Al hacer una copia exacta del disco duro tendremos acceso a toda la información, la que vemos y la que no. Podremos
obtener información del contenido y de su «historia» (fecha de creación, modificaciones,...) e incluso recuperar
información que fue borrada.
3. REACCIÓN ANTE INCIDENTES
34. 34
Nos podemos encontrar con la situación de que el disco duro
se encuentre cifrado completamente por motivos de
seguridad o política de empresa.
En este caso se podrá clonar el disco, pero para poder
acceder a los datos será necesario disponer de la clave de
descifrado:
Solicitar la contraseña al dueño/usuario del equipo.
Utilizar herramientas de recuperación de contraseñas (alto
coste, limitado éxito).
RECOPILACIÓN DE INFORMACIÓN
¿Y si el disco duro esta cifrado?
Este procedimiento, la recopilación de información, es indispensable para llevar a cabo investigaciones de posibles
infracciones, fraudes o delitos en los que estén involucrados los dispositivos electrónicos (ordenadores, smartphones…)
de tú negocio.
Por sus características técnicas y debido a que es necesario utilizar herramientas especificas, es recomendable acudir a
expertos que garanticen su eficacia y que se mantiene la cadena de custodia.
3. REACCIÓN ANTE INCIDENTES
35. 35
Antes de llevar a cabo la fase de Análisis e
Investigación será necesario preservar las
evidencias recogidas, a fin de disponer de una
copia original a partir de la cual sea posible
reconstruir todo el proceso llevado a cabo para la
obtención de los resultados del análisis forense.
Protocolo de actuación
A continuación, se procederá a analizar las
evidencias recogidas e investigar los indicios que
resulten de las mismas a fin de determinar qué
sucedió y cómo se produjo.
ANÁLISIS E INVESTIGACIÓN
3. REACCIÓN ANTE INCIDENTES
36. 36
Cuando trabajemos con evidencias, debemos de seguir una
serie de pautas para garantizar su integridad y autenticidad:
• Firmar las evidencias mediante hashes para verificar que
no sean manipuladas. La firma permite comprobar la
identidad de una persona a través de su certificado digital,
y también verificar la integridad de la evidencia.
• Se deberán realizar copias de las evidencias para evitar
que estas se dañen o alteren durante el proceso de
extracción o, incluso, por si alguien intenta destruirlas.
Manipulación de las evidencias
Realizar una copia de la evidencia puede ser un proceso difícil y delicado.
Las pruebas pueden ser modificadas incluso durante su recolección.
ANÁLISIS E INVESTIGACIÓN
3. REACCIÓN ANTE INCIDENTES
37. 37
Finalmente, será necesario documentar todas
las actividades realizadas de manera que
tengamos una visión completa del incidente
acontecido y la investigación realizada. Se
deberán incluir:
Descripción del incidente ocurrido y
detalles de los sistemas y equipos
afectados.
Listado de las evidencias obtenidas.
Definición de los pasos realizados durante
la investigación.
Resultados obtenidos del análisis de las
evidencias.
RESULTADOS Y DOCUMENTACIÓN
3. REACCIÓN ANTE INCIDENTES
38. 38
En el caso que el incidente tenga implicaciones legales y se tenga que ir a juicio, será
necesario un informe forense (o pericial). Este informe es un dictamen que tiene como
objetivo ayudar a los letrados y a los jueces a entender los detalles muy técnicos de
la investigación realizada.
El Perito Judicial Informático es el que da la aceptación de la veracidad y contundencia
de las pruebas presentadas en un proceso legal, y el encargado de solucionar aspectos de
conocimientos que el juez o los tribunales no están obligados de conocer.
Para ejercer de Perito Judicial informático es indispensable una certificación refrendada
por alguna institución en la que haya acreditado sus conocimientos y su pericia. [3].
Informe forense (pericial)
RESULTADOS Y DOCUMENTACIÓN
Asunto
Evidencias/muestras recibidas
Resolución o estudios efectuados sobre las evidencias/muestras
Situación final de las evidencias/muestras
Conclusiones finales
También se
pueden
solicitar
informes
fuera del
ámbito
judicial.
Hay distintos modelos para
realizar estos informes, tales
como el UNE 71506:2013 ANEXO
A, que provee: [4]
3. REACCIÓN ANTE INCIDENTES
40. 40
EJEMPLO DE CÓMO IDENTIFICAR UN INCIDENTE
Los perjuicios
más comunes
son:
Daño a la imagen/marca de empresa con el consiguiente impacto negativo en mis clientes
(potenciales y actuales).
Consiguiente disminución de ingresos por interrupción de mi actividad profesional.
Desaparición del negocio por la gravedad y el impacto del incidente de seguridad en la
organización.
4. EJEMPLO REACCIÓN ANTE INCIDENTES
El correo electrónico de un empleado envía correos no autorizados
por el empleado, el procedimiento a seguir es:
Se procede a identificar a todo el personal que ha podido tener acceso a la sala
en la que se encontraba el equipo en las fechas de emisión de los correos.
El soporte de IT revisa la configuración del equipo y procede a identificar el
incidente.
Por otro lado, se determinan las implicaciones jurídicas que este caso puede
tener.
Tras una primer inspección de los correos existentes en la bandeja de entrada
del empleado, el soporte de IT determina que efectivamente ha habido un
acceso no autorizado al equipo.
41. 41
A la hora de comprobar si un empleado ha cometido una
actividad ilegal o perjudicial para la organización, en primer
lugar se llama al empleado para informarle de que se va a
realizar el clonado de su equipo para su posterior análisis.
Debido a que puede haber implicaciones legales, se contrata
la presencia de un notario que certifique la integridad y
veracidad de las copias clonadas.
Si el disco duro está cifrado, se requerirá que el
empleado proporcione su clave de descifrado.
Así mismo, se procederá a guardar bajo custodia una
copia del original, mientras que se trabajará sobre la
otra copia.
A continuación, se procederá a recopilar las evidencias
de los correos enviados, registros del sistema, etc.
EJEMPLO DE RECOPILACIÓN DE INFORMACIÓN
4. EJEMPLO REACCIÓN ANTE INCIDENTES
42. 42
En este caso se sospecha de una intrusión no autorizada o de un uso
malicioso del equipo a través del correo electrónico, se realizará un
análisis en 3 pasos:
Inspección de los registros de acceso: se comprueba que todos los
accesos han sido autorizados y están dentro del horario indicado por el
empleado afectado.
Inspección de correos electrónicos del empleado: se detecta actividad
maliciosa; se observan aquellos que han sido generados
automáticamente y que llevan un fichero adjunto sospechoso.
Análisis del sistema: se detecta que el sistema ha sido infectado por un
malware malicioso que se expande por correo electrónico. Analizando el
comportamiento, se determina que los correos han sido enviados por
dicho malware ya que el patrón coincide.
EJEMPLO DE ANÁLISIS E INVESTIGACIÓN
Al tratarse de un virus nuevo no ha sido identificado por el antivirus corporativo.
4. EJEMPLO REACCIÓN ANTE INCIDENTES
43. 43
Finalmente, el soporte de IT procede a generar un informe
explicando la situación y los problemas detectados en el
análisis del equipo. Después se pondrá en contacto con el
empleado para llevar a cabo una limpieza del equipo a fin
de que pueda seguir desarrollando su actividad diaria sin
problemas.
EJEMPLO DE RESULTADOS Y DOCUMENTACIÓN
4. EJEMPLO REACCIÓN ANTE INCIDENTES
45. 45
5. OTROS ASPECTOS A CONSIDERAR: WEB Y ALMACENAMIENTO
WEB Y ALMACENAMIENTO
Proveedor
Comprobar su fiabilidad,
verificar su registro
oficial, etc.
Comprobar la
disponibilidad que nos
ofrecen del servicio, dado
que la falta de
disponibilidad puede
afectar a nuestro
negocio.
Servicio Ofrecido
Condiciones del servicio
contratado (SLA).
Conocer y concretar la
disponibilidad de servicio
que nos ofrecen, así
como el tiempo de
recuperación en caso de
que falle.
Almacenamiento
Lugar de ubicación de los
servidores, capacidad, sistemas
de recuperación y protección
ante fallos.
En caso de un fallo en el
almacenamiento, ya sea local o
contratado a terceros, esto
afectara a nuestro
funcionamiento y por tanto es
necesario conocer su capacidad
de recuperación.
A la hora de llevar a cabo un Plan B de nuestra empresa, se han de tener en cuenta las siguientes
consideraciones de los servicios contratados a terceros:
46. 46
En cuanto al análisis forense de un sistema que se
encuentre en un servidor web o de almacenamiento, se
han de tener en cuenta las siguientes consideraciones:
Para el clonado de los discos que dependan de
terceros, será necesario contar con la aprobación
del proveedor. En caso contrario, será necesaria
una orden judicial.
En el supuesto de que el caso presente
implicaciones legales, será necesaria la presencia
de un notario y el cumplimiento de la cadena de
custodia.
5. OTROS ASPECTOS A CONSIDERAR: WEB Y ALMACENAMIENTO
WEB Y ALMACENAMIENTO
47. Otros aspectos a considerar son:
Revisa detenidamente los acuerdos de nivel de servicio (SLA) al contratar servicios a
terceros.
Considera las potenciales amenazas que puede sufrir tu empresa, ya sean directas o
indirectas.
Recuerda que los daños no tienen por qué ser sólo materiales, también pueden
derivarse de un cese de actividad, robo de información, etc.
C
O
N
C
L
U
S
I
O
N
E
S
La seguridad total no es alcanzable, pero debes tratar de reducir el impacto al mínimo
posible de una forma que sea asumible para la empresa.
Conviene tener definido un plan de continuidad que permita que la empresa sea capaz
de responder a un incidentes graves.
El plan debe incluir un procedimiento de recuperación para reestablecer las
operaciones de la compañía dentro de un tiempo razonable y un coste asumible.
Plan B: Continuidad de negocio y recuperación ante desastres
48. Siempre que se detecte un comportamiento anómalo en el equipo se ha de informar al
soporte de IT de la compañía de lo sucedido.
Recuerde no manipular el equipo para evitar la pérdida de evidencias.
Siga siempre las instrucciones que te indiquen los responsables del soporte de IT.
C
O
N
C
L
U
S
I
O
N
E
S
Evalúe el impacto que puede tener el incidente tanto para el empleado como para la
empresa.
Determine la necesidad de la presencia de un notario.
Cumpla siempre con la cadena de custodia.
Recuerde generar siempre un informe detallado del procedimiento seguido y los
resultados obtenidos.
Asegúrese de justificar los resultados con evidencias reales.
Reacción ante incidentes
Otros aspectos a considerar son:
Solicitar la aprobación del proveedor para el clonado de discos que dependan de
terceros.
Contratar los servicios de un notario en el supuesto de que el caso conlleve
implicaciones legales.
49. 49
Referencias
[1] policia.es- Brigada de Investigación Tecnológica- Alertas:
http://www.policia.es/org_central/judicial/udef/bit_alertas.html
[2] INCIBE_ Cadena de custodia:
https://www.certsi.es/blog
[3] antpji.com_ ¿Qué es un perito informático?:
http://www.antpji.com/antpji2013/index.php/articulos2/101-que-es-un-perito-
informatico
[5] INCIBE_ Plan de contingencia y continuidad e negocio:
https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-contingencia-
continuidad-negocio
[6] INCIBE_ Blog de seguridad:
https://www.incibe.es/protege-tu-empresa/blog/filtro/continuidad-negocio
[4] aenor.es_ UNE 71506:2013 ANEXO A,
http://www.aenor.es/aenor/normas/normas/fichanorma.asp?tipo=N&codigo=N005141
4#.WAT3QvmLRD9