8 de noviembre de 2018 | Buenos Aires | Argentina

COMO PRESERVAR EVIDENCIA DIGITAL EN UNA INVESTIGACION CORPORATIVA

WHOAMI Ingeniero Electrónico , UBA 1987

Master en Tecnologías de la Información en el programa GADEX 2010/2011

Certificado en Informática Forense EnCE , ACE , CCE , NPFA y FCA, MFCE

Miembro del capítulo sudamericano HTCIA

Profesor titular de Análisis Forense y Delitos Informáticos en la Maestría de Seguridad Informática

UBA y en la UDBSV (El Salvador)

Profesor de la Academia de la Magistratura del Perú

Profesor titular de la Especialización en Derecho Informático de la UBA

Profesor titular del posgrado en Cibercrimen y Evidencia Digital de la UBA

Miembro de numerosos comités académicos de eventos de Seguridad Informática

Expositor Frecuente en eventos de toda Latinoamérica

Perito Informático y Consultor en tópicos de Informática Forense en toda Latinoamérica

Consultor del PROGRAMA NACIONAL CONTRA LA CRIMINALIDAD INFORMÁTICA del

Ministerio de Justicia de la Nación

AGENDA

Investigaciones digitales corporativas – Por que investigar ?

Que es un incidente de seguridad Informática – Como proceder ?

Identificar y preservar evidencia digital

Que es la Informática Forense ?

Como preservo la evidencia digital ? : Aspectos legales y técnicos

Conclusiones

Preguntas ?

INVESTIGACIONES DIGITALES CORPORATIVAS

1. Fraude interno/externo

2. Robo de secretos

3. Violaciones al compliance o regulaciones

4. Almacenamiento ilegitimo / Actividades paralela

5. Desvinculaciones conflictivas

6. Incidentes externos sobre la infraestructura

POR QUE INVESTIGAR ?

1. Incidente que afecta la operatividad

2. Regulaciones legales y cumplimiento interno

3. Acciones judiciales (activas o pasivas)

INCIDENTE DE SEGURIDAD INFORMATICA

“Es cualquier evento adverso , relacionado con la seguridad de un

sistema informatico o de las comunicaciones informaticas ”

http://www.cert.org

Se incluyen amenazas internas y externas

• Mitigar : Restaurar la operatividad • Identificar : Como ? Cuando ? Donde ? • Preservar Evidencia : Posible Judicialización

En que orden ? Equipo de Respuesta a Incidentes : Dirección , Sistemas , Auditores , Abogados (I/E)

QUE HACER FRENTE A UN INCIDENTE ?

IDENTIFICACIÓN DE EVIDENCIA DIGITAL Estática Vs. Dinámica

Con planificación previa y procedimientos claros en la recolección de evidencia se pueden disminuir los tiempos sin afectar el restablecimiento operativo y manteniendo el mejor escenario para una eventual judicialización.

Preconstitución de la Prueba

La Prueba Anticipada

PRESERVAR EVIDENCIA

INFORMATICA + BASE LEGAL

• Procedimientos técnicos informáticos : mejores prácticas,

protocolos , Normas técnicas y estándares

• Procedimientos técnicos legales: legislaciones, códigos de

procedimiento

• Ambito judicial

• Ambito corporativo

QUE ES LA INFORMÁTICA FORENSE ?

COMO SE REGULA LA INFORMÁTICA FORENSE ?

DONDE SE APLICA LA INFORMÁTICA FORENSE ?

“ Es la ciencia de adquirir ,

preservar , obtener y presentar datos que han sido procesados electronicamente y almacenados o transmitidos a través de un medio informático”

http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm

DEFINICION DE INFORMATICA FORENSE

QUE ES LA EVIDENCIA DIGITAL ?

EVIDENCIA INFORMATICA = EVIDENCIA DIGITAL = EVIDENCIA ELECTRONICA

... “ Datos que han sido procesados

electronicamente y almacenados o

transmitidos a través de un medio

informático”... (FBI)

MEMORIA DE ALMACENAMIENTO MEMORIA PROCESAMIENTO (RAM) TRAFICO DE RED

ASPECTOS LEGALES DEL RESGUARDO DE PRUEBA DIGITAL Como preservo la evidencia digital ?

Conservar el estado de un sistema que posea evidencia digital

Recolección de Evidencia mediante procedimientos efectivos

ASPECTOS LEGALES DEL RESGUARDO DE PRUEBA DIGITAL Como resguardo la evidencia digital ?

Recolección de Evidencia mediante acta Notarial

Rol del:

ESCRIBANO

REQUIRENTE

PERITO

ASPECTOS TÉCNICOS EN LA RECOLECCIÓN DE EVIDENCIA DIGITAL

RECOLECCION EFECTIVA

Acceder a la evidencia necesaria en el lugar correcto

Oportunidad (segun tipo de evidencia)

Registro en el giro normal de operación del negocio

Efectuar Imágenes Forenses (copiar/clonar)

Bit a bit

Autenticación por medio de una función de Hash

Documentar el procedimiento (cadena de custodia) Y si no hay oportunidad de seguir las mejores practicas?...

CONCLUSIONES

• Trabajar sobre la hipótesis de judicialización

• Planificar la recolección

• Resguardar mediante Acta Notarial

• Elegir el procedimiento técnico que mejor se ajuste

a los recursos disponibles, según el tipo de evidencia

a recolectar pero sin poner en peligro la futura prueba

• Iniciar la Cadena de Custodia

PREGUNTAS ???

Muchas gracias por su atención

Ing. Gustavo Daniel Presman gustavo@presman.com.ar

http://www.presman.com.ar Linkedin: http://ar.linkedin.com/in/gpresman

Twitter: @gpresman