Descripción general Este documento discutirá la necesidad de que la informática forense se practique de manera efectiva yforma legal, esbozar cuestiones técnicas básicas y señalar referencias para lecturas adicionales. Élpromueve la idea de que la práctica competente de la informática forense y el conocimiento deleyes aplicables es esencial para las organizaciones en red de hoy. Este tema es importante para los gerentes que necesitan entender cómo la informática forense encaja como un elemento estratégico en la seguridad informática organizacional general. Red Los administradores y otro personal de seguridad informática deben comprender los problemas asociados con informática forense. Aquellos que trabajan en gobierno corporativo, departamentos legales o TI. debería encontrar útil una descripción general de la informática forense en un contexto organizacional.
¿Qué es la Informática Forense?
Si gestiona o administra sistemas y redes de información, debe comprender informática forense. La ciencia forense es el proceso de utilizar el conocimiento científico para recopilar, análisis y presentación de pruebas ante los tribunales. (La palabra forense significa “llevar a La corte." ) La ciencia forense se ocupa principalmente de la recuperación y el análisis de pruebas latentes. La evidencia latente puede tomar muchas formas, desde huellas dactilares dejadas en una ventana hasta ADN evidencia recuperada de manchas de sangre a los archivos en un disco duro. Debido a que la informática forense es una disciplina nueva, hay poca estandarización y coherencia entre los tribunales y la industria. Como resultado, aún no se reconoce como un "Disciplina científica. Definimos informática forense como la disciplina que combina elementos de derecho e informática para recopilar y analizar datos de sistemas informáticos, redes, comunicaciones inalámbricas y dispositivos de almacenamiento de una manera que sea admisible como prueba en un tribunal de justicia. ¿Por qué es importante la informática forense? Agregar la capacidad de practicar análisis forense informático sólido lo ayudará a garantizar el integridad y capacidad de supervivencia de su infraestructura de red. Puedes ayudar a tu organización si se considera la informática forense como un nuevo elemento básico en lo que se conoce como “defensa en profundidad”1 1 “La defensa en profundidad está diseñada sobre el principio de que múltiples capas de diferentes tipos de protección contra diferentes proveedores brindan una protección sustancialmente mejor” <http://netsecurity.about.com/cs/generalsecurity/a/aa112103.htm>. Acercamiento a la seguridad informática y de redes. Por ejemplo, Comprender los aspectos legales y técnicos de la informática forense lo ayudará a capturar información vital si su red está comprometida y lo ayudará a procesar el caso si el intruso es atrapado.
¿Qué pasa si ignoras la informática forense o la practicas mal?
Te arriesgas a destruir evidencia vital o tener evidencia forense declarada inadmisible en un tribunal de justicia. También tú o su organización puede entrar en conflicto con las nuevas leyes que exigen el cumplimiento normativo y asignar responsabilidad si ciertos tipos de datos no están adecuadamente protegidos. Legislación reciente hace posible responsabilizar a las organizaciones en los tribunales civiles o penales si no cumplen proteger los datos del cliente.2 2 Leyes como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), Sarbanes- Oxley, California Act 1798, y otros responsabilizan a las empresas por violaciones en la seguridad o integridad de la computadora redes
La informática forense también es importante porque puede ahorrarle dinero a su organización.
Muchos Los gerentes están asignando una mayor parte de sus presupuestos de tecnología de la información para seguridad informática y de redes. International Data Corporation (IDC) informó que la mercado de software de detección de intrusos y evaluación de vulnerabilidades llegará a 1,45 mil millones de dólares en 2006. Cada vez más, las organizaciones están implementando redes dispositivos de seguridad tales como sistemas de detección de intrusos (IDS), firewalls, proxies y el como, que todos informan sobre el estado de seguridad de las redes. Desde un punto de vista técnico, el objetivo principal de la informática forense es identificar, recopilar, preservar y analizar datos de una manera que preserve la integridad de la evidencia recopilada por lo que puede ser utilizado de manera efectiva en un caso legal. ¿Cuáles son algunos aspectos típicos de una investigación forense informática? Primero, aquellos que investigar las computadoras tienen que entender el tipo de evidencia potencial que están buscando para estructurar su búsqueda.3 3 Para obtener una descripción general de los tipos de delitos que involucran una computadora y cómo ayuda la aplicación de la ley investigación, consulte “Cómo investiga el FBI los delitos informáticos” en En la informática forense se recopilan dos tipos básicos de datos. Los datos persistentes son los datos que se almacena en un disco duro local (u otro medio) y se conserva cuando el la computadora está apagada. Los datos volátiles son cualquier dato que se almacena en la memoria o existe en tránsito, que se perderá cuando la computadora se quede sin energía o se apague. Datos volátiles reside en registros, caché y memoria de acceso aleatorio (RAM). Dado que los datos volátiles son efímero, es fundamental que un investigador conozca formas fiables de capturarlo. Los administradores del sistema y el personal de seguridad también deben tener un conocimiento básico de cómo las tareas administrativas rutinarias de la computadora y la red pueden afectar tanto al forense proceso (la admisibilidad potencial de las pruebas en el tribunal) y la capacidad subsiguiente para recuperar datos que pueden ser críticos para la identificación y análisis de un incidente de seguridad. Aspectos legales de la informática forense Cualquiera que supervise la seguridad de la red debe ser consciente de las implicaciones legales de la investigación forense. actividad. Los profesionales de la seguridad deben considerar sus decisiones políticas y técnicas. acciones en el contexto de las leyes existentes. Por ejemplo, debe tener autorización antes usted supervisa y recopila información relacionada con una intrusión informática. También hay legales ramificaciones del uso de herramientas de monitoreo de seguridad. La informática forense es una disciplina relativamente nueva para los tribunales y muchas de las existentes leyes utilizadas para enjuiciar delitos informáticos, precedentes legales y prácticas relacionadas con la informática forense está en un estado de cambio. Se emiten nuevas sentencias judiciales que afectan cómo Se aplica informática forense. La mejor fuente de información en esta área es Estados Unidos. Sitio web de Delitos Cibernéticos del Departamento de Justicia de los Estados.4 4 El sitio enumera casos judiciales recientes relacionados con informática forense y delitos informáticos, y tiene guías sobre cómo introducir pruebas informáticas en los tribunales y qué normas se aplican. El punto importante para investigadores forenses es que las pruebas deben recopilarse de una manera que sea legalmente admisible en un caso judicial. Cada vez más, se aprueban leyes que requieren que las organizaciones protejan la privacidad de información personal. Cada vez es más necesario demostrar que su organización está cumpliendo con Mejores prácticas de seguridad informática. Si hay un incidente que afecta datos críticos, por ejemplo, la organización que ha agregado una capacidad de informática forense a su arsenal podrá demostrar que siguió una sólida política de seguridad y potencialmente evitar juicios o auditorías regulatorias. Existen tres áreas del derecho relacionadas con la seguridad informática que es importante conocer acerca de. El primero se encuentra en la Constitución de los Estados Unidos. La Cuarta Enmienda5 5 Se puede encontrar un análisis detallado de los problemas relacionados con la Cuarta Enmienda en este sitio web: <http://caselaw.lp.findlaw.com/data/constitution/amendment04/>. permite la protección contra registros e incautaciones irrazonables, y la Quinta Enmienda permite la protección contra la autoincriminación. Aunque las enmiendas fueron escritas antes de que hubiera problemas causados por el mal uso de las computadoras, los principios en ellas aplicar a cómo se practica la informática forense. En segundo lugar, cualquier persona interesada en la informática forense debe saber cómo tres normas estatutarias de EE. leyes6 6 El texto de estas leyes se puede encontrar en el sitio web del Departamento de Justicia de EE. UU. <http://www.usdoj.gov/criminal/cybercrime/cclaws.html>. afectarlos: • Ley de escuchas telefónicas (18 U.S.C. 2510-22) • Estatuto de Dispositivos de Trampa y Rastreo y Registros de Llamadas (18 U.S.C. 3121-27) • Ley de comunicaciones electrónicas y por cable almacenadas (18 U.S.C. 2701-120) Las violaciones de cualquiera de estos estatutos durante la práctica de la informática forense podrían constituir un delito grave federal punible con una multa y/o prisión. Es siempre aconsejable consultar a su asesor legal si tiene dudas sobre las implicaciones de cualquier acción informática forense en nombre de su organización. En tercer lugar, las reglas federales de evidencia de los EE. UU. sobre testimonios de oídas, autenticación, confiabilidad y la mejor evidencia debe ser entendida. En los EE.UU. hay dos áreas principales de legal gobernanza que afecta las acciones de seguridad cibernética relacionadas con la recopilación de datos de la red: (1) autoridad para monitorear y recopilar los datos y (2) la admisibilidad de la recopilación métodos. De las tres áreas anteriores, la Constitución de los EE. UU. y las leyes estatutarias de los EE. UU. gobiernan principalmente el proceso de recolección, mientras que las Reglas Federales de Evidencia tratan principalmente con admisibilidad. Si los administradores del sistema poseen las habilidades técnicas y la capacidad para preservar información relacionada con un presunto incidente de seguridad de una manera sólida desde el punto de vista forense y son conscientes de los problemas legales relacionados con la ciencia forense, serán un gran activo para sus organización. Si una intrusión conduce a un caso judicial, la organización con computadora la capacidad forense tendrá una clara ventaja. Para una discusión más detallada de estos y otros temas relacionados, consulte el documento en el que se basa este artículo, Nolan's Guía forense de respuesta a incidentes para el personal técnico y otros recursos enumerados abajo. Recursos en línea Centro para la Democracia y la Tecnología. Impacto del proyecto de ley McCain-Kerrey en Derechos Constitucionales de Privacidad. http://www.cdt.org/crypto/legis_105/mccain_kerrey/const_impact.html CERIAS: Recursos Forenses Digitales. http://www.cerias.purdue.edu/research/forensics/resources.php?output=printable Sección de Delitos Informáticos y Propiedad Intelectual División Penal, Estados Unidos Departamento de Justicia. Registro e Incautación de Computadoras y Obtención de Evidencia en Investigaciones Criminales.