Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

RFC 3227 “GUÍA PARA RECOLECTAR Y ARCHIVAR EVIDENCIA”

No description
by

javier ariza

on 26 February 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of RFC 3227 “GUÍA PARA RECOLECTAR Y ARCHIVAR EVIDENCIA”

El “RFC 3227: Guía Para Recolectar y Archivar Evidencia” fue elaborado y escrito en febrero de 2002 por Dominique Brezinski y Tom Killalea, ingenieros del Network Working Group.
CONSIDERACIONES DE PRIVACIDAD
• Respetar las normas y directrices de su empresa y su jurisdicción legal de privacidad.En particular, asegúrese de que ninguna información recogida junto con la evidencia que está buscando está disponible para cualquier persona que normalmente no tendrían acceso a esta información.
• No entrometerse en la privacidad de las personas sin una sólida justificación. En particular, no recoger información de las zonas que normalmente no tengan motivos para el acceso
• Asegúrese de que tiene el respaldo de los procedimientos establecidos de su empresa en tomar los pasos que usted hace para recoger pruebas de un incidente.

UCC
Wednesday, March 12, 2014
Saravena
HISTORIA:
¿Que es el RFC 3227?
PRINCIPIOS RECTORES DURANTE RECOLECCIÓN DE EVIDENCIA

SERIE DE PASOS EN LA GUIA RFC 3227

CONSIDERACIONES LEGALES

De igual forma la guía establece algunas acciones que deben ser evitadas en el proceso
de recolección de la evidencia como son:

Se adhieren a la política de seguridad de su sitio y realizar el manejo adecuado de incidentes y el personal de aplicación de la ley
Captura como una imagen precisa del sistema como sea posible.
Tome notas detalladas. Estos deben incluir las fechas y horas.
Tenga en cuenta la diferencia entre el reloj del sistema y la hora UTC. Para cada marca de tiempo


Esté preparado para testificar (quizás años más tarde), que expondrá todas las acciones que tomó y en qué momento.
Reducir al mínimo los cambios en los datos a medida que se está recogiendo.
Retire avenidas externas para el cambio.
Para cada dispositivo, un enfoque metódico debe adoptarse que sigue las directrices establecidas en el procedimiento de recaudación.
Admisible: Se debe cumplir con ciertas normas legales antes de que pueda ser puesto ante un tribunal.
Auténtico: Debe ser posible vincular positivamente el material probatorio con el incidente.
Completa: Debe contar toda la historia y no sólo un punto de vista particular.
Fiable: Debe haber nada acerca de cómo se recogió la evidencia y posteriormente manipulado que arroja dudas sobre su autenticidad y veracidad.
Creíble: Debe ser fácilmente creíble y comprensible por un tribunal.
No apague el sistema hasta que la recolección de la evidencia se haya completado
Ejecute programas de recolección de evidencia apropiados
No ejecute programas que modifiquen las fechas de acceso a todos los archivos del sistema.
Es un documento que provee una guía de alto nivel para recolectar y archivar datos relacionados con intrusiones
RFC 3227 “GUÍA PARA RECOLECTAR Y ARCHIVAR EVIDENCIA”

La norma ISO/IEC 27037: 2012 viene a renovar a las ya antiguas directrices RFC 3227 estando las recomendaciones de la ISO 27037 más dirigidas a dispositivos actuales y están más acorde con el estado de la técnica actual.


Evidencia ordenador tiene que ser:
Esta norma ISO 27037 está claramente orientada al procedimiento de la actuación pericial en el escenario de la recogida, identificación y secuestro de la evidencia digital, no entra en la fase de Análisis de la evidencia.
LOS PRINCIPIOS BÁSICOS EN LOS QUE SE BASA LA NORMA SON:
Aplicación de Métodos

Proceso Auditable

Proceso Reproducible

Proceso Defendible

La identificación

La recolección y/o adquisición

La conservación/preservación

ISO/IEC 27037:2012 Nueva
norma para la Recopilación
de Evidencias.
LA RECOLECCION SE DEBE PROCEDER DE LA VOLATILIDAD A LA MENOS VOLATIL:

• Registros, caché
• Tabla de enrutamiento, Caché ARP, tabla de procesos, estadísticas del kernel, la memoria.
• Sistemas de archivos temporales
• Disco
• Registro remoto y los datos de seguimiento que es relevante para el sistema en cuestión
• Configuración física, la topología de red
• Medios de Archivo

El Procedimiento de Cobranza
Sus procedimientos de recolección deben ser lo más detallado posible. Como es el caso con los procedimientos generales de gestión de incidentes, deben ser inequívocas y debe reducir al mínimo la cantidad de toma de decisiones sea necesario durante el proceso de recolección.
Transparencia
Los métodos utilizados para reunir pruebas deben ser transparentes y reproducibles. Usted debe estar preparado para reproducir con precisión los métodos que utilizó, y hacer que esos métodos probados por expertos independientes.
Dónde y cómo archivar




Si es posible medios comúnmente utilizado (en lugar de algunos medios de almacenamiento oscura) se debe utilizar para el archivado.

Acceso a las pruebas debe ser muy restringido, y debe estar claramente documentado. Debería ser posible detectar el acceso no autorizado.

El procedimiento de archivo

La evidencia debe ser estrictamente protegida. Además, la cadena de custodia debe estar claramente documentado.

Cadena de Custodia
Usted debe ser capaz de describir claramente cómo se encontró la evidencia, la forma en que se manejó y todo lo que pasó con él.
La siguiente necesidad de ser documentados
• ¿Dónde, cuándo y por quién fue la evidencia descubierta y se recoge.
• ¿Dónde, cuándo y por quién fue la evidencia manejada o examinado.
• ¿Quién tenía la custodia de la evidencia, durante qué período. ¿Cómo se almacena.
• Cuando la evidencia cambió la custodia, cuándo y cómo se produjo la transferencia.
Full transcript