134

Peritaciones y Arbitrajes

Aproximacin a la Informtica Forense

LA INFORMTICA FORENSE DEFINE EL PROCESO DE OBTENCIN DE INFORMACIN DIGITAL SOBRE UN INCIDENTE PARA POSTERIORMENTE ANALIZARLA Y DETERMINAR LO QUE REALMENTE SUCEDI DURANTE EL MISMO

de seguridad informtica que se presenten para prevenir, mitigar, corregir y controlar los riesgos en la infraesRoberto Faans Conte
CISA ARMADA ESPAOLA

tiende como la violacin o la amenaza inminente de violacin de las polticas de seguridad o los estndares o prcticas de la Organizacin. Los procedimientos que emanen de este Plan debern estandarizar las respuestas intentando minimizar los errores que se puedan producir especialmente aquellos debidos a la premura de tiempo y al stress de la situacin, para ello el Plan definir el Ciclo de Vida continuo de Respuesta ante Incidentes cubriendo cuatro fases: 1. Preparacin 2. Deteccin y Anlisis 3. Contencin, Erradicacin y Recuperacin 4. Actividades Posteriores al Incidente Es aqu donde la Informtica Forense se convierte en la estrella. Informtica Forense se puede definir como la rama de la Ciencia Forense que mediante un Mtodo Cientfico, define el proceso de obtencin de tanta informacin digital como sea posible sobre un Incidente para posteriormente analizarla y ser capaz de determinar lo que realmente sucedi durante el mismo, utilizando herramientas y tecnologa que puedan ser aceptadas por

tructura informtica que soporta los procesos crticos del negocio. Una de las primeras consideraciones a la hora de crear un Plan de Respuesta ante Incidentes es definir que entiende la Organizacin por Incidente. No obs-

tante, a la hora de acercarse a esta sicamente, al Gobierno de las Tecnologas de la Informacin y Comunicaciones (TIC) se le

exigen dos cosas: que produzca valor comercial y que se mitiguen los riesgos. La primera se lleva a cabo por la alineacin estratgica con el negocio. La segunda al establecer las responsabilidades dentro de la Organizacin. Una administracin de la Seguridad TIC y por ende de la Gestin del Riesgo debe abordar la Gestin de Incidentes conforme a estos principios, ya que antes o despus toda Organizacin se ver involucrada en un Incidente. La posicin de la Organizacin frente a la Gestin de Incidentes debe verse reflejada en las polticas, procedimientos y normas desarrollados a tal efecto con el objetivo de determinar el origen y las causas de los incidentes

Un Incidente de Seguridad TIC se entiende como la violacin o la amenaza inminente de violacin de las polticas de seguridad
definicin es bueno recordar que la definicin de Incidente ha evolucionado, en el pasado, un Incidente de Seguridad en las TIC, era definido como cualquier suceso adverso que tena como consecuencia una prdida de la confidencialidad, de la integridad o de la disponibilidad de los datos o sistemas. Hoy en da, un Incidente de Seguridad TIC se en-

n 4 julio / agosto 2006

Peritaciones y Arbitrajes
ADMISIBLES: Deben obtenerse de forma legal, para garantizar su validez ante los tribunales si fuese necesario. AUTENTICAS: Debemos garantizar que en todo el proceso seguido se ha garantizado la Cadena de Custodia. COMPLETAS: Deben contar todo lo sucedido, y no slo una visin parcial del mismo. FIABLES: No debe haber ninguna duda de los procedimientos seguidos en su obtencin y autenticidad. CREBLES: Deben garantizar que con la informacin que aportan, se comprende que es lo que ha sucedido. Si la planificacin es un elemento clave dentro de cualquier proceso de gestin, en cualquier actividad forense se convierte en el acto principal. Veamos algunas razones que confirman un tribunal y probar su veracidad y exactitud con el propsito de presentar dicha informacin como Evidencias. Es necesario tener en consideracin que toda actuacin Forense puede finalizar en los tribunales y que por tanto es necesario poder defender el como y el porque de nuestro mtodo de trabajo, la respuesta la encontramos en la misma esencia del Mtodo Cientfico: 1. Identificar el problema 2. Formular una hiptesis 3. Probar conceptual y empricamente la hiptesis 4. Evaluar la hiptesis. 5. Si la hiptesis es aceptada, evaluar su impacto. La finalidad ltima del anlisis forense es la presentacin de Evidencias, pero qu se entiende por Evidencia? Podemos definir como tal a toda porcin de informacin que permite afirmar o descartar la ocurrencia de un hecho especfico y que debe correlacionar todas las posibles variables para no ser circunstancial. Siguiendo las recomendaciones del RFC 3227, debemos garantizar que las evidencias son: tra en la escena del crimen deja un rastro en la escena o en la vctima y viceversa, es decir, cada contacto deja un rastro. Siendo este principio la raz de cualquier investigacin forense, puede convertirse en el mayor enemigo del anlisis forense, ya que cualquier actuacin incluso la sola presencia en el escenario contaminar e incluso puede llegar a invalidar las evidencias. El enemigo en muchos casos esta afirmacin. Un principio fundamental en la ciencia forense es el Principio de Locard: Cualquiera o cualquier objeto que enser un individuo altamente preparado, que conoce las tcnicas forenses y que utilizar contramedidas que enmascaren sus actividades, por ello acciones que en principio pueden ser de sentido comn, como puede ser el aislar el sistema comprometido, pueden provocar la eliminacin de las Evidencias existentes. Es por ello que cualquier accin debe de ser evaluada previamente ya que en la mayora de las ocasiones la vuelta atrs ser imposible. Rara vez ser el equipo de Respuesta a Incidentes el que descubra la existencia de un incidente. Por ello el Plan deber definir el procedimiento de puesta en marcha del Plan, as como los procedimientos que garanticen la difusin, entrenamiento y concienciacin de dicho procedimiento de puesta en marcha entre todos los usuarios. De igual modo es necesario prever que cualquier incidente puede exceder el permetro no ya de nuestra Organizacin sino incluso las fronteras polticas nacionales y lo que condicionar de forma sustancial nuestras actuaciones: las fronteras legislativas. Es por ello imprescindible conocer los principios legales internacionales relacionados con el crimen informtico (Cybercrime). Por ltimo, pero no por ello menos importante, sealar que la creacin de un equipo forense no es una cuestin trivial, requiere la creacin de un equipo multidisciplinar con una gran especializacin, dilatada experiencia y mucho, mucho entrenamiento.

135

El enemigo est preparado, conoce las tcnicas forenses y utiliza contramedidas que enmascaran sus actividades

El campo de batalla puede parecer confuso y catico, pero el bando propio debe permanecer ordenado. As ser a prueba de derrotas. Sun Tzu - El Arte de la Guerra

n 4 julio / agosto 2006