COMO PRESERVAR EVIDENCIA DIGITAL EN UNA INVESTIGACION CORPORATIVA 8 de noviembre de 2018 Buenos Aires Argentina
WHOAMI Ingeniero Electrónico, UBA 1987 Master en Tecnologías de la Información en el programa GADEX 2010/2011 Certificado en Informática Forense EnCE, ACE, CCE, NPFA y FCA, MFCE Miembro del capítulo sudamericano HTCIA Profesor titular de Análisis Forense y Delitos Informáticos en la Maestría de Seguridad Informática UBA y en la UDBSV (El Salvador) Profesor de la Academia de la Magistratura del Perú Profesor titular de la Especialización en Derecho Informático de la UBA Profesor titular del posgrado en Cibercrimen y Evidencia Digital de la UBA Miembro de numerosos comités académicos de eventos de Seguridad Informática Expositor Frecuente en eventos de toda Latinoamérica Perito Informático y Consultor en tópicos de Informática Forense en toda Latinoamérica Consultor del PROGRAMA NACIONAL CONTRA LA CRIMINALIDAD INFORMÁTICA del Ministerio de Justicia de la Nación
AGENDA Investigaciones digitales corporativas Por que investigar? Que es un incidente de seguridad Informática Como proceder? Identificar y preservar evidencia digital Que es la Informática Forense? Como preservo la evidencia digital? : Aspectos legales y técnicos Conclusiones Preguntas?
INVESTIGACIONES DIGITALES CORPORATIVAS 1. Fraude interno/externo 2. Robo de secretos 3. Violaciones al compliance o regulaciones 4. Almacenamiento ilegitimo / Actividades paralela 5. Desvinculaciones conflictivas 6. Incidentes externos sobre la infraestructura
POR QUE INVESTIGAR? 1. Incidente que afecta la operatividad 2. Regulaciones legales y cumplimiento interno 3. Acciones judiciales (activas o pasivas)
INCIDENTE DE SEGURIDAD INFORMATICA Es cualquier evento adverso, relacionado con la seguridad de un sistema informatico o de las comunicaciones informaticas http://www.cert.org Se incluyen amenazas internas y externas
QUE HACER FRENTE A UN INCIDENTE? Mitigar : Restaurar la operatividad Identificar : Como? Cuando? Donde? Preservar Evidencia : Posible Judicialización En que orden? Equipo de Respuesta a Incidentes : Dirección, Sistemas, Auditores, Abogados (I/E)
IDENTIFICACIÓN DE EVIDENCIA DIGITAL Estática Vs. Dinámica
PRESERVAR EVIDENCIA Con planificación previa y procedimientos claros en la recolección de evidencia se pueden disminuir los tiempos sin afectar el restablecimiento operativo y manteniendo el mejor escenario para una eventual judicialización. Preconstitución de la Prueba La Prueba Anticipada
QUE ES LA INFORMÁTICA FORENSE? INFORMATICA + BASE LEGAL COMO SE REGULA LA INFORMÁTICA FORENSE? Procedimientos técnicos informáticos : mejores prácticas, protocolos, Normas técnicas y estándares Procedimientos técnicos legales: legislaciones, códigos de procedimiento DONDE SE APLICA LA INFORMÁTICA FORENSE? Ambito judicial Ambito corporativo
DEFINICION DE INFORMATICA FORENSE Es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electronicamente y almacenados o transmitidos a través de un medio informático http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm
QUE ES LA EVIDENCIA DIGITAL? EVIDENCIA INFORMATICA = EVIDENCIA DIGITAL = EVIDENCIA ELECTRONICA... Datos que han sido procesados electronicamente y almacenados o transmitidos a través de un medio informático... (FBI) MEMORIA DE ALMACENAMIENTO MEMORIA PROCESAMIENTO (RAM) TRAFICO DE RED
ASPECTOS LEGALES DEL RESGUARDO DE PRUEBA DIGITAL Como preservo la evidencia digital? Conservar el estado de un sistema que posea evidencia digital Recolección de Evidencia mediante procedimientos efectivos
ASPECTOS LEGALES DEL RESGUARDO DE PRUEBA DIGITAL Como resguardo la evidencia digital? Recolección de Evidencia mediante acta Notarial Rol del: ESCRIBANO REQUIRENTE PERITO
ASPECTOS TÉCNICOS EN LA RECOLECCIÓN DE EVIDENCIA DIGITAL RECOLECCION EFECTIVA Acceder a la evidencia necesaria en el lugar correcto Oportunidad (segun tipo de evidencia) Registro en el giro normal de operación del negocio
Efectuar Imágenes Forenses (copiar/clonar) Bit a bit Autenticación por medio de una función de Hash Documentar el procedimiento (cadena de custodia) Y si no hay oportunidad de seguir las mejores practicas?...
CONCLUSIONES Trabajar sobre la hipótesis de judicialización Planificar la recolección Resguardar mediante Acta Notarial Elegir el procedimiento técnico que mejor se ajuste a los recursos disponibles, según el tipo de evidencia a recolectar pero sin poner en peligro la futura prueba Iniciar la Cadena de Custodia
PREGUNTAS??? Muchas gracias por su atención Ing. Gustavo Daniel Presman gustavo@presman.com.ar http://www.presman.com.ar Linkedin: http://ar.linkedin.com/in/gpresman Twitter: @gpresman