Es fácil ver cómo los servicios de auditoría informática (forense digital) utilizados
durante una investigación de ataques cibernéticos son similares a los
utilizados en la escena del crimen físico. En ambos casos, la evidencia debe
ser asegurada y manejada adecuadamente, y deben tomar las fotografías o imágenes
para capturar cómo la escena del crimen fue encontrada originalmente. Los
expertos de empresa de seguridad de
datos afirman que el analiza de tráfico de red y la aplicación puede
revelar tanto como las huellas dactilares y manchas de sangre. Según expertos de
servicios de auditoría informática,
hay errores comunes que los detectives pueden hacer cuando investigan la escena
del crimen. Evitar errores similares cuando hay un fallo de seguridad puede
servir como guía para profesionales de forense que trabajan con empresa de seguridad de datos.
Error # 1: preservación
de la escena del crimen inadecuada
Evaluar inmediatamente el
estado de la escena del crimen, la definición de sus fronteras y limitar quién puede entrar
todos son elementos importantes en la
preservación de la escena del crimen.
Lo primero es lo primero: Los investigadores de servicios de auditoría
informática deben evaluar la gravedad del ataque. ¿Qué información ha sido comprometida? ¿Cuánto tiempo ha sido el ataque
pasando? Además, es importante evaluar qué evidencias son datos volátiles y qué información es de datos persistentes
o no volátiles. Datos volátiles están destruidos cuando un sistema
está apagado. Tenga cuidado de no
cambiar metadatos de archivos al abrir, guardar o imprimir los archivos.
Del mismo modo, tomar medidas para que
los cachés no se cambien y los archivos temporales no se alteren.
Error # 2: Falta la única oportunidad para la imagen perfecta
Los detectives de empresas de seguridad de datos tienen una sola oportunidad de fotografiar una escena del crimen ininterrumpida
durante su planteamiento inicial.
Imagen forense es igualmente importante para descubrir la causa y remediar los
ataques cibernéticos. Todos los
datos del sistema deben ser capturados
y retenidos en un dispositivo
de almacenamiento independiente. Esto
preserva el estado del sistema en
el momento en que ocurrió el
incidente, por lo que si se hacen
cambios en el sistema después de que
comience la investigación, la
imagen exacta de la red se
conserva para su análisis.
Error # 3: La falta de comunicación
En la escena del crimen física, la comunicación debe tener lugar
entre el detective que investiga el juez de instrucción, el patólogo, los científicos del laboratorio
del crimen y otros. Cada paso de la investigación requiere la comunicación entre varios grupos. Los expertos de servicios de auditoría informática mencionan que la falta
de comunicación podría conducir a problemas con la disposición de la investigación en una fecha posterior.
Los forenses cibernéticos implican el delicado equilibrio de la comunicación rápida y frecuentemente con tomarse el tiempo necesario para descubrir los hechos. Proporcionar información demasiado rápido
que luego resulta ser inexacta podría comprometer la credibilidad de la empresa de seguridad de datos y su capacidad para gestionar eficazmente
la brecha.
Error # 4: No tener planes, políticas y normas
Los equipos de servicios de auditoría informática necesitan un conjunto de reglas y políticas antes
de una investigación. ¿Cómo se manejarán la
evidencia? ¿Qué procesos se deben
seguir? ¿Qué leyes y reglamentos se dictan procedimientos
de notificación? ¿Cuál es la política para los servicios de auditoría informática para asegurarse de que el proceso fue seguido correctamente?
Para los forenses cibernéticos, el plan de respuesta a
incidentes es un buen paso en la
documentación de los procedimientos. Cada departamento dentro de la organización
debe ser incluido, con responsabilidades
claramente definidas, incluyendo las asignaciones para los
elementos de acción específicos con plazos asociados.
Así, las empresas
de seguridad de datos deben tener en cuenta estos errores antes
de comenzar los forenses cibernéticos.
No comments:
Post a Comment