Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Delitos Informáticos - Sesión II

No description
by

Juan Collazos

on 17 September 2016

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Delitos Informáticos - Sesión II

Sesión II
Procedimiento para el Manejo de Incidentes
El proceso de gestión de incidentes se divide en seis etapas:
Gestión de Incidentes
La Gestión de incidentes no sólo responde a un incidente cuando sucede, incluye actividades proactivas que ayudan a prevenirlos, proporcionando orientación frente a los riesgos y las amenazas potenciales.

Incluye el desarrollo de un plan de acción, un conjunto de procesos que son consistentes y repetibles, de alta calidad, medibles, y entendibles para todos.
Estándares Internacionales
Modelo de proceso forense de triage. (FTPM )

RFC 3227.

Computer Security Incident Response Team (CSIRT)


MARCO LEGAL
LEY 527 DE 1999

HERRAMIENTAS
DE

ANÁLISIS FORENSE

Presentaciones y Laboratorio
1. Preparación
2. Identificación
3. Contención
4. Erradicación
5. Recuperación
6. Seguimiento
SEMINARIO DELITOS INFORMÁTICOS
Especialización en Seguridad de la Información
Docente: Juan Andrés Collazos L. - jacollazos@gmail.com
Metodología Triage Process Model
Es un proceso que se lleva a cabo dentro de las primeras horas de una investigación, proporciona información utilizada para la entrevista de sospechosos y la fase de búsquedas de los mismos.

Debido a la necesidad de obtener información en un período de tiempo relativamente corto , el modelo por lo general implica un análisis en sitio del sistema informático en cuestión.

Los focos del modelo son los siguientes:

1 . Encontrar evidencia utilizable inmediatamente.
2 . Identificar a las víctimas en situación de riesgo grave.
3 . Orientar la investigación en curso.
4 . Identificar los posibles cargos.
5 . Evaluar con precisión el peligro del delincuente a la sociedad.
RFC 3227
RFC 3227 (II)
Computer Security Incident Response Team (CSIRT)
OBJETIVOS DEL CSIRT
• Organizar la gestión de los problemas de seguridad mediante la adopción de un enfoque proactivo para las vulnerabilidades de seguridad de nuestros clientes y responder con eficacia a los posibles incidentes de seguridad de la información.

• Para reducir al mínimo y controlar los daños

• Para proveer o ayudar con la respuesta y la recuperación efectiva.

• Para ayudar a prevenir futuros eventos
¿Por qué una organización necesita un Equipo de Respuesta a Incidentes?
Ayuda a las empresas a recuperarse de violaciones de seguridad informática y amenazas.

El Personal de recursos humanos

El área Legal

El administrador de firewall

Un proveedor de servicios externos
¿Quién realiza la Gestión de Incidentes?
Fuente: Computer Forensics in Today's World • Chapter 1 - The Official CHFI Exam 312-49 Study Guide
Fuente: Computer Forensics in Today's World • Chapter 1 - The Official CHFI Exam 312-49 Study Guide
Fuente: Computer Forensics in Today's World • Chapter 1 - The Official CHFI Exam 312-49 Study Guide
CINCO PROCESOS DE GESTIÓN DE INCIDENTES DE ALTO NIVEL
- Planificar y poner en práctica una gestión de incidentes inicial o una capacidad CSIRT.

- Mantener esta capacidad.

- Mejorar la capacidad existente a través de la evaluación de las lecciones aprendidas y de las actividades en desarrollo.

- Realizar una revisión post mortem de las acciones de manejo de incidentes cuando sea necesario.

- Pasar las mejoras en los procesos de infraestructura después de la "autopsia".
1. Preparar / Mantener / Mejorar (PREPARE),
-
Aplicar los cambios en la infraestructura informática para detener o mitigar un incidente en curso o para detener o mitigar la posible explotación de una vulnerabilidad en la infraestructura de hardware o software.

- Poner en práctica las mejoras resultantes de la protección de infraestructuras críticas "postmortem" o aplicar otros mecanismos de mejora de procesos.

- Evaluar la infraestructura de computación mediante la realización de tareas como el análisis proactivo y supervisión de la red, y mediante la realización de evaluaciones de seguridad y el riesgo.

- Pasar al proceso de detección de cualquier información sobre los incidentes en curso, descubierto vulnerabilidades, u otros eventos relacionados con la seguridad de que fueron descubiertos durante la evaluación
2. Proteger la infraestructura. (PROTECT)
- Estar pendiente de los eventos de notificación e informarlos.

- Recibir los informes de los eventos.

- Proactivamente monitorear indicadores de la supervisión de la red, ejemplo IDS o funciones de vigilancia tecnológica.

- Analizar los indicadores que se están supervisando. (Para determinar cualquier actividad que pueda sugerir comportamientos maliciosos o identificar riesgos y amenazas a la infraestructura de la empresa)

- Remitir la información de un caso sospechoso o visible al proceso de Triage.

- Si es posible reasigne eventos fuera del proceso de gestión de incidentes.

- Cerrar los eventos que no se envían al proceso de Triage.
3. Detectar Eventos (Detect)
- Clasificar y interrelacionar eventos.

- Dar prioridad a los eventos.

- Asignar eventos para el manejo o respuesta.

- Transmitir datos e información pertinentes para el proceso RESPUESTA.

- Volver a asignar eventos a zonas fuera del proceso de gestión de incidentes.

- Cerrar los eventos que no se envían al proceso de responder o reasignarlos a otras áreas.
4. Triage de Eventos (Triage)
-Analizar el evento.

- Planificar una estrategia de respuesta.

- Coordinar y prestar asistencia técnica, gestión y respuesta legal, que puede incluir acciones para contener, resolver o mitigar los incidentes y las medidas para reparar y recuperar los sistemas afectados

- Comunicarse con las partes externas
5. Respuesta (Respond)
Fuente: Defining Incident Management Processes for CSIRTs: A Work in Progress, Chris Alberts Dorofee, Ruefle, Zajicek.
Fuente: Defining Incident Management Processes for CSIRTs: A Work in Progress, Chris Alberts Dorofee, Ruefle, Zajicek.
Fuente: Defining Incident Management Processes for CSIRTs: A Work in Progress, Chris Alberts Dorofee, Ruefle, Zajicek.
Fuente: Defining Incident Management Processes for CSIRTs: A Work in Progress, Chris Alberts Dorofee, Ruefle, Zajicek.
Fuente: Defining Incident Management Processes for CSIRTs: A Work in Progress, Chris Alberts Dorofee, Ruefle, Zajicek.
Fuente: Defining Incident Management Processes for CSIRTs: A Work in Progress, Chris Alberts Dorofee, Ruefle, Zajicek.
PARA QUE?
La finalidad de la ley  527 1999 es la de dotar de validez legal a la información electrónica, la cual es poco aplicada en ámbitos privados y públicos, quienes a su vez invierten cada día mas recursos en tecnologías de información y comunicación para apoyar su gestión.

Esta es una normatividad proactiva para asegurar y proteger jurídicamente la información digital.

En las compañías no se aplica en forma eficaz simplemente porque no la conocen uno, ve como un riesgo potencial el hecho de que su información no sea reconocida como valida con merito probatorio en instancia administrativas o judiciales.

CONTENIDO
Los asuntos regulados por la ley 527 son:

Aplicaciones de los requisitos jurídicos de los mensajes de datos.
Comunicación de los mensajes de datos
Comercio electrónico en materia de transporte de mercancías.
Firmas digitales
Entidades de certificación
Suscriptores de firmas  digitales
Funciones de la superintendencia de industria y comercio

ESTADO ACTUAL
En el estado no tiene mayor aplicación la ley 527 entre otras por las siguientes razones.

Porque no se ha adoptado un reglamento que establezca la regla  de validez de los mensajes y las firmas electrónicas, que se utilizan al interior de la administración pública.

Porque diferentes niveles del estado según adelantando discusiones de  nunca acabar sobre el modo de certificación digital más conveniente para el sector público

Porque el decreto 1747 de 2010 que reglamentó la ley 527  estableció restricciones legales para el uso de certificados electrónicos en ambiente cerrado.

Porque nuestros jueces y servidores públicos después de 5 años de vigencia la ley. aún siguen citándolos por la cultura del papel y de la firma manuscrita.

A pesar que Colombia fue uno de lo primero países del mundo en adoptar una ley de comercio electrónico, se quedo en el argumento y no se materializó en certeza y seguridad

PARTE I.
PARTE GENERAL
Capítulo 1 Disposiciones Generales
Artículo 1 Ámbito de Aplicación
Artículo 2 Definiciones
Artículo 3 Interpretación
Artículo 4 Modificación mediante acuerdo
Artículo 5 Reconocimiento jurídico de mensajes de datos

CAPITULO II.
APLICACIÓN DE LOS REQUISITOS JURÍDICOS DE LOS MENSAJES DE DATOS
Artículo 6 Escrito
Artículo 7 Firma
Artículo 8 Original
Artículo 9 Integridad de los mensajes de datos
Artículo 10 Admisibilidad y fuerza probatoria
Artículo 11 Criterios para valorar los mensajes
Artículo 12 Conservación de mensajes y documentos
Artículo 13 Conservaciones a través de terceros
CONTENIDO III
CAPITULO III.
COMUNICACIÓN DE LOS MENSAJES DE DATOS

Artículo 14 Formación y validez de los contratos
Artículo 15 Reconocimientos por las partes
Artículo 16 Atribuciones de mensajes de datos
Artículo 17 Presunción del origen
Artículo 18 Concordancia de enviados y recibidos
Artículo 19 Mensajes duplicados
Artículo 20 Acuse de recibo
Artículo 21 Presunción de recibido
Artículo 22 Efectos jurídicos
Artículo 23 Tiempo de envío
Artículo 24 Tiempo de recepción
Artículo 25 Lugar de envío y de recepción

LEY 527 DE 1999
INTRODUCCIÓN
Por medio del cual se define y reglamenta el acceso y usos de los mensajes de datos del comercio electrónico y de las firmas digitales y se establece  las entidades de la certificación y se dictan otras disposiciones.

CONTENIDO VI
CAPITULO VI.

DISPOSICIONES VARIAS
Artículo 43 Certificaciones recíprocas
Artículo 44 Incorporación por remisión
PARTE IV.

REGLAMENTACIÓN Y VIGENCIA
Artículo 45 Reglamentación y vigencia
Artículo 46 Prevalencia de las leyes de protección al consumidor
Artículo 47 Vigencia y derogatoria

CONTENIDO V
CAPITULO III.
CERTIFICADOS
Artículo 35 Contenido de los certificados
Artículo 36 Aceptación de un certificado
Artículo 37 Revocación de certificados
Artículo 38 Término de conservación de registros

CAPITULO IV.
SUSCRIPTORES DE FIRMAS DIGITALES
Artículo 39 Deberes de los suscriptores
Artículo 40 Responsabilidades de los suscriptores

CAPITULO V.
SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO
Artículo 41 Funciones de la superintendencia
Artículo 42 Sanciones

CONTENIDO IV
CONTENIDO II
PARTE II.

COMERCIO ELECTRÓNICO EN MATERIA DE TRANSPORTE DE MERCANCÍAS
Artículo 26 Contrato de transporte
Artículo 27 Documentos de transporte

PARTE III. FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACIÓN

CAPITULO I.

FIRMAS DIGITALES
Artículo 28 Atributos jurídicos de una firma digital

CAPITULO II.
ENTIDADES DE CERTIFICACIÓN
Artículo 29 Características y requerimientos de las entidades de certificación
Artículo 30 Actividades de las entidades de certificación
Artículo 31 Remuneración por la prestación de servicios
Artículo 32 Deberes de estas entidades
Artículo 33 Terminación unilateral
Artículo 34 Cesación de actividades

Fuente: Nelson Mendoza Arce, Trabajo para el módulo Derecho Informático, Posgrado Gerencia en Informática, 2010

Fuente: Nelson Mendoza Arce, Trabajo para el módulo Derecho Informático, Posgrado Gerencia en Informática, 2010

Fuente: Nelson Mendoza Arce, Trabajo para el módulo Derecho Informático, Posgrado Gerencia en Informática, 2010

Fuente: Nelson Mendoza Arce, Trabajo para el módulo Derecho Informático, Posgrado Gerencia en Informática, 2010

Fuente: Nelson Mendoza Arce, Trabajo para el módulo Derecho Informático, Posgrado Gerencia en Informática, 2010

Fuente: Nelson Mendoza Arce, Trabajo para el módulo Derecho Informático, Posgrado Gerencia en Informática, 2010

Fuente: Nelson Mendoza Arce, Trabajo para el módulo Derecho Informático, Posgrado Gerencia en Informática, 2010

Fuente: Nelson Mendoza Arce, Trabajo para el módulo Derecho Informático, Posgrado Gerencia en Informática, 2010

Etapa 1: Preparación
Preparar y facilitar la coordinación entre el personal.

Crear una política.

Desarrollar medidas preventivas para hacer frente a las amenazas.

Obtener los recursos necesarios para hacer frente a los incidentes de manera efectiva.

Desarrollar la infraestructura para responder a los incidentes y apoyar las actividades relacionadas con la respuestas a los mismos.

Seleccionar los miembros del equipo y proporcionar capacitación.
Fase 2: Identificación
La identificación consiste en validar, identificar y reportar el incidente.

Determinación de los síntomas siguiendo un: "Cómo identificar un incidente".

La identificación de la naturaleza del incidente.

Identificar los eventos.

La protección de pruebas.

Informes de los eventos.
Fuente: Computer Forensics in Today's World • Chapter 1 - The Official CHFI Exam 312-49 Study Guide
Fuente: Computer Forensics in Today's World • Chapter 1 - The Official CHFI Exam 312-49 Study Guide
Fuente: Computer Forensics in Today's World • Chapter 1 - The Official CHFI Exam 312-49 Study Guide
Etapa 3: Contención
Contención para limitar el alcance y la intensidad de un incidente.

Evitar abrir sesión como root en el sistema comprometido.

Evite los métodos convencionales de rastrear, ya que puede alertar a los atacantes.

Realizar la copia de seguridad en el sistema para mantener el estado actual del sistema para facilitar la investigación "post-mortem" y forense.

Cambiar las contraseñas del sistema para evitar la posibilidad de que se instalen spywares.
Etapa 4: Erradicación
Investigar más a fondo para descubrir la causa del incidente mediante el análisis de los registros del sistema en varios dispositivos tales como cortafuegos, router, y los registros de host.

Mejorar las defensas en el host de destino, tales como:
• Reinstalar de un nuevo el sistema operativo
• Habilitación de firewalls.
• Asignar una nueva dirección IP.

Instalar todos los parches más recientes

Deshabilitar los servicios innecesarios

Instale el software anti-virus

Aplicar la política de seguridad de la empresa para el sistema
Fuente: Computer Forensics in Today's World • Chapter 1 - The Official CHFI Exam 312-49 Study Guide
Fuente: Computer Forensics in Today's World • Chapter 1 - The Official CHFI Exam 312-49 Study Guide
Etapa 5: Recuperación
Determinar el rumbo y curso de las acciones.

Supervisar y validar los sistemas.

Determinar la integridad de la propia copia de seguridad al hacer un intento de leer sus datos.

Verificar el éxito de la operación y la condición normal del sistema.

Supervisar el sistema de Network Logger, archivos de registro del sistema y posibles puertas traseras (Back Doors).
Etapa 6: Seguimiento
Análisis Post-mortem del incidente:

Lleve a cabo una investigación detallada de los hechos para identificar la magnitud del incidente y los posibles mecanismos de prevención de impacto

Revisar las políticas y procedimientos con las lecciones aprendidas del pasado.

Determinar el tiempo del personal requerido y realice el siguiente análisis de costos:

• Medida en que los incidentes interrumpe la organización.
• Pérdida de datos y su valor.
• Hardware dañado y su costo.
Fuente: Computer Forensics in Today's World • Chapter 1 - The Official CHFI Exam 312-49 Study Guide
ETAPAS EN UN INCIDENTE
Directrices Básicas

Visualizar y analizar interiorizando el escenario (en su conjunto) en el cual se ha producido el hecho y se desea captar las evidencias.

Considerar y determinar los tiempos para la generación de la línea temporal.

A la hora de recopilar las evidencias, minimizar los cambios que alteren el escenario y eliminar los agentes externos que pueden hacerlo.

Si hay dudas entre recoger y analizar las evidencias, dar prioridad a la recolección.

Por cada tipo dispositivo o sistema operativo puede existir diferentes métodos de recogida de datos.

El orden de recogida de datos debe quedar establecido en función de la volatilidad de los mismos.

La copia de la información debería realizarse a nivel binario para no alterar ninguno de los datos.
Fuente: http://peritoit.com/2012/06/03/rfc-3227directrices-para-la-recopilacion-de-evidencias/
Fuente: Computer Forensics Field Triage Process Model
CSIRT ofrece atención 7x24 a Incidentes de Seguridad Informática a cualquier usuario, empresa, agencia u organización gubernamental

CSIRT provee un punto único fiable y confiable de contacto para reportar incidentes de seguridad informática en todo el mundo.

CSIRT proporciona los medios para la comunicación de incidentes y para la difusión de información importante relacionada con el incidente.

Computer Security Incident Response Team
Es un equipo de carácter oficial que realiza un trabajo de respuesta a incidentes como su principal función de trabajo.
Como un equipo ad-hoc, es responsable del manejo continuo de incidentes de seguridad informática.
Fuente: Computer Forensics in Today's World • Chapter 1 - The Official CHFI Exam 312-49 Study Guide
LEY 842 DE 2003(octubre 9)
Diario Oficial No. 45.340, de 14 de octubre de 2003



Por la cual se modifica la reglamentación del ejercicio de la ingeniería, de sus profesiones afines y de sus profesiones auxiliares, se adopta el
Código de Ética Profesional
y se dictan otras disposiciones
Codigo de Ética Profesional
1) Cumplir con los requerimientos, citaciones y demás diligencias que formule u ordene el Consejo Profesional Nacional de Ingeniería.

2) Custodiar y cuidar los bienes, valores, documentación e información encomendada o a la cual tenga acceso.
Código de Ética Profesional (II)
3) Denunciar los delitos, contravenciones y faltas contra este Código de Ética.


PROHIBICIONES GENERALES A LOS PROFESIONALES (Art. 32)

1) Nombrar, elegir, dar posesión o tener a su servicio en forma permanente o transitoria, a personas que ejerzan ilegalmente la profesión.

2) Solicitar o aceptar comisiones en dinero o en especie , salvo autorización legal o contractual
Código de Ética Profesional (II)
3) Violencia, malos tratos, injurias o calumnias contra superiores, subalternos, compañeros de trabajo, socios, clientes o funcionarios del Consejo.

4) El reiterado e injustificado incumplimiento de las obligaciones civiles, comerciales o laborales.

5) Causar, intencional o culposamente, daño o perdida de bienes, elementos, equipos, herramientas o documentos .

6) Solicitar o recibir directamente o por interpuesta persona, gratificaciones, dádivas o recompensas en razón del ejercicio de su profesión
Codigo de Ética Profesional (IV)
OTROS PUNTOS IMPORTANTES:

1) Imponer su firma gratuita a estudios, etc. (Art 34)

2) Permitir su publicidad con personas que ejerzan ilegalmente. (Art 34)

3)Abstenerse de emitir juicios contra sus colegas. (Art 37)

4) Fijar remuneración justa para sus colegas. (Art 37)

5) Proponer una reducción de costos una vez conocida las propuesta de sus colegas. (Art 38)
Codigo de Ética Profesional (V)
OTROS PUNTOS IMPORTANTES:

6) Designar en funciones a personal no calificado. (Art 38)

7) Mantener el secreto y reserva, respecto de toda circunstancia relacionada con el cliente y con los trabajos que para el se realizan. (Art 39)

8) Los profesionales que hayan actuado como asesores de la parte contratante en un concurso o licitación deberán abstenerse de intervenir directa o indirectamente en las tareas profesionales requeridas para el desarrollo del trabajo.
Codigo de Ética Profesional (VI)
MARCO LEGAL - LEY 842
CODIGO DE ÉTICA DEL INGENIERO
Ejercicio Clase
Fuente: https://technet.microsoft.com/es-es/library/cc700825.aspx
Ejercicio Clase
(Computer Security Incident Response Team, Equipo de respuesta a incidentes de seguridad informática).
Fuente: https://technet.microsoft.com/es-es/library/cc700825.aspx
Full transcript