Errores que pueden hundir una investigación de forense cibernética

Es fácil ver cómo los servicios de auditoría informática (forense digital) utilizados durante una investigación de ataques cibernéticos son similares a los utilizados en la escena del crimen físico. En ambos casos, la evidencia debe ser asegurada y manejada adecuadamente, y deben tomar las fotografías o imágenes para capturar cómo la escena del crimen fue encontrada originalmente. Los expertos de empresa de seguridad de datos afirman que el analiza de tráfico de red y la aplicación puede revelar tanto como las huellas dactilares y manchas de sangre. Según expertos de servicios de auditoría informática, hay errores comunes que los detectives pueden hacer cuando investigan la escena del crimen. Evitar errores similares cuando hay un fallo de seguridad puede servir como guía para profesionales de forense que trabajan con empresa de seguridad de datos.

Error # 1: preservación de la escena del crimen inadecuada

Evaluar inmediatamente el estado de la escena del crimen, la definición de sus fronteras y limitar quién puede entrar todos son elementos importantes en la preservación de la escena del crimen.

Lo primero es lo primero: Los investigadores de servicios de auditoría informática deben evaluar la gravedad del ataque. ¿Qué información ha sido comprometida? ¿Cuánto tiempo ha sido el ataque pasando? Además, es importante evaluar qué evidencias son datos volátiles y qué información es de datos persistentes o no volátiles. Datos volátiles están destruidos cuando un sistema está apagado. Tenga cuidado de no cambiar metadatos de archivos al abrir, guardar o imprimir los archivos. Del mismo modo, tomar medidas para que los cachés no se cambien y los archivos temporales no se alteren.

Error # 2: Falta la única oportunidad para la imagen perfecta

Los detectives de empresas de seguridad de datos tienen una sola oportunidad de fotografiar una escena del crimen ininterrumpida durante su planteamiento inicial. Imagen forense es igualmente importante para descubrir la causa y remediar los ataques cibernéticos. Todos los datos del sistema deben ser capturados y retenidos en un dispositivo de almacenamiento independiente. Esto preserva el estado del sistema en el momento en que ocurrió el incidente, por lo que si se hacen cambios en el sistema después de que comience la investigación, la imagen exacta de la red se conserva para su análisis.

Error # 3: La falta de comunicación

En la escena del crimen física, la comunicación debe tener lugar entre el detective que investiga el juez de instrucción, el patólogo, los científicos del laboratorio del crimen y otros. Cada paso de la investigación requiere la comunicación entre varios grupos. Los expertos de  servicios de auditoría informática mencionan que la falta de comunicación podría conducir a problemas con la disposición de la investigación en una fecha posterior. Los forenses cibernéticos implican el delicado equilibrio de la comunicación rápida y frecuentemente con tomarse el tiempo necesario para descubrir los hechos. Proporcionar información demasiado rápido que luego resulta ser inexacta podría comprometer la credibilidad de la empresa de seguridad de datos y su capacidad para gestionar eficazmente la brecha.

Error # 4: No tener planes, políticas y normas

Los equipos de servicios de auditoría informática necesitan un conjunto de reglas y políticas antes de una investigación. ¿Cómo se manejarán la evidencia? ¿Qué procesos se deben seguir? ¿Qué leyes y reglamentos se dictan procedimientos de notificación? ¿Cuál es la política para los servicios de auditoría informática para asegurarse de que el proceso fue seguido correctamente?

Para los forenses cibernéticos,  el plan de respuesta a incidentes es un buen paso en la documentación de los procedimientos. Cada departamento dentro de la organización debe ser incluido, con responsabilidades claramente definidas, incluyendo las asignaciones para los elementos de acción específicos con plazos asociados.

Así, las empresas de seguridad de datos deben tener en cuenta estos errores antes de comenzar los forenses cibernéticos.

¿Cómo proteger información de identificación personal (PII)?

Información de identificación personal (PII) vale 10 veces más que la información de tarjetas de crédito en el mercado negro, por lo que es imperativo contar con políticas y medidas de seguridad fuertes  que protegen los datos personales en su lugar. Como resultado, las empresas deben defenderse contra el robo cibernético mediante el desarrollo, la incorporación de fuertes protocolos de seguridad cibernética y las medidas para el almacenamiento y la transferencia de datos. A continuación se presentan formas en que las empresas y agencias gubernamentales pueden proteger su información de identificación personal para evitar una violación de datos.

Asegurar las aplicaciones antiguas y no usadas.

Aplicaciones muertos, o aplicaciones que alguna vez florecieron en la empresa a gran escala, pero ya no son compatibles, presentan una forma fácil para los hackers para explotar e implantar malware. Las organizaciones pueden tomar ayuda de empresas de seguridad informática para proteger su información personal y  actualizar periódicamente las aplicaciones cuando las nuevas versiones se liberan o eliminar por completo desde sus dispositivos cuando ya no están siendo actualizadas  por sus desarrolladores. Los departamentos de TI también pueden establecer y hacer lista de aplicaciones que son seguros para los empleados para descargar y utilizar. Además empresas pueden hacer pruebas de penetración de las aplicaciones para revisar el nivel de seguridad de las aplicaciones.

Equipar sistemas de usuarios con contraseñas fuertes de autenticación 

Según consultoría y empresa de seguridad informática, es muy fácil por un hacker sofisticado para romper en las bases de datos de del gobierno o las empresas si las contraseñas son fáciles de romper. Porque todos tenemos una multitud de contraseñas de diferentes sistemas, las personas tienden a utilizar las mismas contraseñas fáciles de recordar para una variedad de propósitos. Por esa razón es muy importante probar las contraseñas de los sistemas durante pruebas de penetración. Si la información se almacena en y se accede a través de teléfonos inteligentes, laptops etc, las empresas deben ser conscientes de los riesgos asociados al uso de la nube pública. Según recomendaciones de empresas de seguridad informática la gestión y el mantenimiento de las claves de cifrado son muy importantes.

Proporcionar la capacitación a los empleados sobre las mejores prácticas de seguridad informática

Según experto de empresa de seguridad informática, siempre tratar a los empleados exactamente cómo quiere que les traten a sus mejores clientes. Capacitación de los empleados envía el mensaje a los funcionarios que la gestión de los valora es muy importante para la empresa y están dispuestos a ofrecer empleados con todas las herramientas que necesitan para hacer un buen trabajo. Los empleados pueden tomar capacitación de seguridad informática o capacitación técnica de pruebas de penetración. Formación inculca en los empleados el valor de proteger la información del cliente y el empleado y, por supuesto, ayuda a disminuir la probabilidad de errores descuidados sobre información corporativa.