BUENAS PRÁCTICAS TÉCNICO FORENSES

04/21/23 Héctor Hernández - CPCIPC Perito Informático M.P.

051

1

BUENAS PRÁCTICAS TÉCNICO FORENSES

EL PERITO DE PARTE

DEFINICIÓN DEL MARCO DE LA EXPOSICIÓN

• LA INVESTIGACIÓN

• LOS DESAFÍOS

• LOS MÉTODOS

• LAS HERRAMIENTAS Y TÉCNICAS

• LA PRUEBA


051

2


OBJETIVOS DE LA CAPACITACIÓN

• CONSOLIDAR UNA BASE CONCEPTUAL

• SUSTENTAR LAS INVESTIGACIONES CIENTÍFICAMENTE

• ASEGURAR LAS EVIDENCIAS DE CONDUCTAS PUNIBLES

• AYUDAR A UBICAR A LOS RESPONSABLES DE CONDUCTAS DELICTUALES

• ALINEAR SUS METODOLOGÍAS CON ESTÁNDARES INTERNACIONALES


051

3


EL CIBERCRIMEN


051

4


LA CRÍMINALIDAD ON LINE

• Variación de la escena del delito (escenas virtuales).• Clandestinidad.• Efectividad.• Tiempos Cortos en la ejecución.• Ganancias tentadoras• Falta de testigos.• Pocos rastros.• La Seguridad del delincuente.• Lo complejo de los hallazgos digitales.• Ingenuidad de las personas.• Falta de seguridad de los equipos en la domicilio, trabajo, cafés Internet, etc.• Territorialidad.• Diferentes legislaciones.


051

5


HERRAMIENTAS DEL CIBERCRÍMEN:

• La ingeniería técnica: Comprende la utilización de medios técnicos programas, hardware, aplicaciones y variados medios informáticos.

• La ingeniería Social: Comprende la utilización de medios no técnicos como la percepción humana, la recepción de mensajes e informaciones, la metodología basada en palabras, textos, noticias, voz, lenguaje y contenidos.


051

6


PERFILES:

• El perfil como herramienta dentro de la investigación y la construcción de un caso criminal.

• Se lo debe tomar como un punto de partida que puede ayudar al investigador al reunir evidencias de uno o varios hechos.

• Los perfiles son técnicas destinadas a desarrollar descripciones de las características de un criminal sean estas físicas, intelectuales y emocionales, basándose en la información recogida en la escena del hecho y sus variables de entorno.

• Se basan en Observaciones de la escena del crimen, existencia de patrones y correlaciones entre diferentes actos criminales o testimonios ofrecidos por las víctimas o testigos.

• El perfil cibercriminal es un juicio psicológico realizado sin conocer la identidad del criminal.

• Los perfiles pueden proporcionar a los investigadores valiosos datos sobre la persona que comete un delito específico, o una serie de delitos.

• Un perfil realizado por el mas profesional del área, no proporcionará mas que una idea general del tipo de persona que puede haber cometido un delito y nunca señalará a una persona concreta como la sospechosa.


051

7


MÉTODO SKRAM

Diseñado por Donn Parker

Es necesario comprender los componentes individuales del modelo de SKRAM. Parker revela que el modelo de SKRAM es una suma de supuesta habilidad de un sospechoso, conocimientos, recursos, la autoridad y la motivación.

SKRAM son las siglas de:

Skills (Habilidades)

Knowledge (Conocimiento)

Resources (Recursos)

Authority (autoridad)

Motive (Motivo)


051

8


MÉTODO SKRAMDonn Parker


051

9


APRENDIENDO SOBRE SKRAM:

• Habilidades: El primer componente del modelo SKRAM, las habilidades se refiere a aptitud de un sospechoso con las computadoras y la tecnología.

• Conocimiento: El conocimiento a primera vista se parece mucho a las habilidades. A diferencia de las habilidades, el conocimiento es una medida más general de las habilidades específicas adquiridas por un sospechoso y que le son fundamentales para perpetrar el ataque informático en cuestión.

• Recursos: Un sospechoso calificado y conocedor es incapaz de cometer un delito si no posee los recursos necesarios.

• Autoridad: La autoridad es una medida de acceso del sospechoso y le ayuda a ejercer control sobre la información necesaria para cometer un delito.

• Motivo: Todos los conocimientos técnicos en el mundo podrían no ser suficientes para determinar que un sospechoso ha cometido un delito informático.


051

10


Recolección de datos y metodología SKRAM:

• Hasta la fecha no se conoce ningún modelo de trabajo para la cuantificación de la amenaza potencial de una persona basándose en su conjunto de habilidades y la motivación para cometer el crimen. Sin embargo, el modelo de Parker establece una base de atributos y cualidades que potencialmente pueden ser examinados a través de técnicas de perfiles y que posteriormente se podrían comparar con los sospechosos.


051

11


EJEMPLO SKRAM:

Un empleado de depósito accedió a la base de históricos de logística y removió la misma.


051

12


EJEMPLO SKRAM:

Un empleado de depósito accedió a la base de históricos de logística y removió la misma.

• Skills (Habilidades): Manejo de computadoras, manejo del sistema operativo Linux, manejo de redes UTP.

• Knowledge (Conocimiento): Conocimiento de la red de la empresa, conocimiento de nombres de usuario y password, conocimiento de los archivos de parámetros que iba a atacar.

• Resources (Recursos): Servidor y computador personal, red corporativa, sistema operativo.

• Authority (autoridad): La autoridad fue "root" , lo que le permitió acceder a la información y borrar el histórico de logística.

• Motive (Motivo) El motivo sin duda fue el de ocultar evidencias.


051

13


ELEMENTOS DE LA ESCENA DEL DELITO:

Modus operandi (método de funcionamiento).

Elementos: Que asegure el crimen.

Proteja la identidad.

El efecto escape.

El ritual (señales de fantasía o necesidad psicológica).

Elemento: Esfuerzo por simular una situación diferente.

La firma (combinaciones únicas de conducta).

Elementos: Algo que debe hacer para cumplirse

Es repetible en sus distintos hechos

Le puede poner en riesgo por tardar en realizarla.

Es como "su marca" y denota cierta compulsión.

Es una forma de expresarse.

Suele reflejar su personalidad.


051

14


DESAFIOS PARA EL PERITO DE PARTE :

• Intoxicación On Line: Lanzar rumor y multiplicarlo exponencialmente, (Ej: desprestigiar).

• Ocio y placer personal: El placer de la intrusión, la alteración y a veces la destrucción.

• Ataques criptovirales: Moderna forma de ciberextorsión.

• Black Hat: Uso de las destrezas digitales con fines maliciosos.

• Black market: Mercado negro de Internet.

• Bomba Fork: Se multiplica hasta llegar a completar la memoria o un disco.

• Bosques cibernéticos: En el argot del cibercrimen denotan áreas de difícil acceso.

• Ciberbulling: Nuevas tecnologías como herramientas de acoso e intimidación.

• Ciberespía: Encargado de obtener información que no está expuesta al público.

• Count Down Fraud: Fraudes de tiempo límite.

• Cibertalking: Foma de acoso en la Web (Blogs y otros).

• Denial of Service,Nonelectrónic attack: Ing. Social, Shoulder surfing, Dumper diving.

• Eavesdropping: Interferir comunicaciones (correos por ejemplo).

• Pharming: explotan vulnerabilidades de DNS.

• Web bugs: Bacon GIF`s Invisible GIF`S 1-by-1 GIF´S 1X1


051

15


CARDING

Visión del Consultor técnico


051

16


EL ENEMIGO MAS TEMIDO


051

17


EL ENEMIGO MAS TEMIDO (distintas caras)


051

18




051

19




051

20




051

21


EL ANONIMIZADOR

Cypherpunks: Obsesionados por el fenómeno de la privacidad y el anonimato.


051

22



051

23


ANONIMIZADOR ON LINE


051

24


OTRO DESAFÍO Cuentas temporales Desechables.

.


051

25


OTRO RETO Bosques tecnológicos: SPAM y Amenazas distribuidas como rasomware.

.


051

26


CAMINO DIRECTO ! …


051

27


AL RECIBIR EL LLAMADO POR UN INCIDENTE:

• Tiende su empresa IDS (sistema de detección de intrusos) y Firewall ? • Cual es su proveedor?• Quien notifico inicialmente el incidente?• Tiene algún sospechoso?• Maneja su empresa políticas de seguridad?• Puede usted de manera rápida proveernos de una copia electrónica de su arquitectura de la red y los medios de

seguridad?• Que tan viejos son sus equipos?• Que tipo de información es crucial para su empresa? Piensa que esta fue comprometida?• Maneja copias de seguridad de su sistema?• Que sistemas operativos esta usando?• Que sistema de particiones utiliza en sus sistemas?• Que plataformas de hardware esta utilizando (Intel, risc, spare, etc.)• El quipo comprometido tiene unidades de Cd-rom o otros drive? Cuales son?• Cual es el tamaño de los disco duros del sistema comprometido o donde se aloja la potencial evidencia ?• Tendré al administrador del sistema disponible al momento que lleguemos al sitio con el compromiso de que nos

facilite el accesos a todo el sistemas sin restricciones ?• Otras …


051

28


UNA VEZ EN EL LUGAR:

• Es normal que el personal tenga acceso al sistemas las 24 horas del día o manejen un horario específico?

• Cual de las personas utilizó en último término el sistema?

• En que horario trabaja normalmente esta persona?

• Cual es el modelo de horarios de trabajo que utiliza el personal?

• Hay algún empleado que hayan despedido en el ultimo mes?

• Hay empleados nuevos que hayan contratado durante el ultimo mes?

• Han actualizado recientemente el sistemas?

• Hay alguna aplicación recientemente instalada en el sistema.

• Tiene personal de vacaciones, o tenga una ausencia inexplicable, o este de visita por negocios otras ciudades.

• Podemos obtener el listado de los empleados que en los últimos 30 días han accedido al sistema?

• Otras …


051

29


BUENAS PRÁCTICAS EN NUESTROS PROCEDIMIENTOS:

• Desarrollar y documentar un plan de pruebas formal para validar la correcta generación de los registros de la aplicación.

• Diseñar mecanismos de seguridad basados en certificados digitales para las aplicaciones de tal forma que se pueda validar que es la aplicación la que genera los registros electrónicos.

• En la medida de lo posible establecer un servidor de tiempo contra los cuales se pueda verificar la fecha y hora de creación de los archivos.

• Contar con pruebas y auditorías frecuentes alrededor de la confiabilidad de los registros y su completitud, frente al diseño previo de los registros electrónicos.

• Diseñar y mantener un control de integridad de los registros electrónicos, que permita identificar cambios que se hayan presentado en ellos.


051

30


BUENAS PRÁCTICAS EN NUESTROS PROCEDIMIENTOS:

• Desarrollar y documentar un plan de pruebas formal para validar la correcta generación de los registros de la aplicación.

• Diseñar mecanismos de seguridad basados en certificados digitales para las aplicaciones de tal forma que se pueda validar que es la aplicación la que genera los registros electrónicos.

• En la medida de lo posible establecer un servidor de tiempo contra los cuales se pueda verificar la fecha y hora de creación de los archivos.

• Contar con pruebas y auditorías frecuentes alrededor de la confiabilidad de los registros y su completitud, frente al diseño previo de los registros electrónicos.

• Diseñar y mantener un control de integridad de los registros electrónicos, que permita identificar cambios que se hayan presentado en ellos.


051

31


RECOLECCIÓN DE LA EVIDENCIA:

• Establecer buenas prácticas y estándares para recolección de evidencia digital.• Preparar las evidencias para ser utilizadas en la actualidad y en tiempo futuro.• Mantener y verificar la cadena de custodia• Respetar y validar las regulaciones y normativas alrededor de la recolección de la evidencia digital.• Desarrollar criterios para establecer la relevancia o no de la evidencia recolectada.• Documentar todas las actividades que el profesional a cargo de la recolección ha efectuado durante el proceso

de tal manera que se pueda auditar el proceso en sí mismo y se cuente con la evidencia de este proceso.• Asegurar el área dónde ocurrió el siniestro, con el fin de custodiar el área o escena del delito y así fortalecer la

cadena de custodia y recolección de la evidencia.• Registrar en medio fotográfico o video la escena del posible ilícito, detallando los elementos informáticos allí

involucrados.• Levantar un mapa o diagrama de conexiones de los elementos informáticos involucrados, los cuales deberán ser

parte del reporte del levantamiento de información en la escena del posible ilícito.


051

32


SEGÚN LOS ESTÁNDARES DE AUSTRALIA:

• Verificar y validar con pruebas que los resultados obtenidos luego de efectuar el análisis de los datos, son repetibles y verificables por un tercero especializado.

• Auditar periódicamente los procedimientos de recolección y análisis de registros electrónicos, de tal manera que se procure cada vez mayor formalidad y detalles en los análisis efectuados.

• Fortalecer las políticas, procesos y procedimientos de seguridad de la información asociados con el manejo de evidencia digital.

• Procurar certificaciones profesionales y corporativas en temas relacionados con computación forense, no como signos distintivos de la experiencia de la organización en el área, sino como una manera de validar la constante revisión y actualización del tema y sus mejores prácticas.

Como profesional a cargo de una investigación se debe proveer un concepto de los hechos identificados en sus análisis. Se debe ser concreto y claro en sus afirmaciones.

Los reportes que como profesional encargado de una investigación adelante deben ser concreto, libres de jerga propia de su disciplina, pedagógicos y sobre manera, consistentes con los hechos y resultados obtenidos.


051

33


ESTANDARIZACIÓN DE LA RECOLECCIÓN:

Cualquier investigador que sea responsable de recolectar, tener acceso, almacenar o transferir videncia digital es responsable de cumplir con estos principios.

Además definen que los principios desarrollados para la recuperación estandarizada de evidencia computarizada se deben gobernar por los siguientes atributos:

• Consistencia con todos los sistemas legales.

• Permitir el uso de un leguaje común.

• Durabilidad.

• Capacidad de cruzar límites internacionales.

• Capacidad de ofrecer confianza en la integridad de la evidencia.

• Aplicabilidad a toda la evidencia forense.


051

34


PERFECCIONAR PROCEDIMIENTOS Y ESTRATEGIAS PARA:

• IDENTIFICACIÓN

• RECOLECCIÓN

• ANÁLISIS

• ASEGURAMIENTO

• PRESENTACIÓN EN MEDIOS DIGITALES


051

35


CONCEPTOS ...


051

36


EXPERTO – INVESTIGADOR – CONSULTOR – PERITO OFICIAL

OBJETIVOS COMUNES


051

37


MOMENTO CLAVE: DEFINICIÓN DE LOS PUNTOS DE PERICIA

Visión del Consultor Técnico


051

38


MOMENTO CLAVE: DEFINICIÓN DE LOS PUNTOS DE PERICIA

Visión procesal – Ética pericial


051

39


TAREAS EN LAS QUE PONDRÁ ÉNFACIS EL FORENSE INFORMÁTICO

• POTENCIAR MEDIOS PROBATORIOS

• RECOLECCION DE EVIDENCIA ELECTRÓNICA

• ESCENARIO TECNOLÓGICO

• PRESERVAR LA EVIDENCIA

• ANALIZAR CON MÉTODO CIENTÍFICO

• SUSTENTAR HIPÓTESIS

• PROCEDIMIENTOS TÉCNICOS FORENSES EN MEDIOS ELECTRÓNICOS

• EL INFORME FORENSE

• LAS IMPLICANCIAS DE LOS INFORMES


051

40


LA PRUEBA

PERTINENCIA DE LA PRUEBA (SEGÚN EL TÉCNICO FORENSE)

"El tema de la prueba está constituido por aquellos hechos que es necesario probar, por ser lo supuestos de las normas jurídicas cuya aplicación se discute en un determinado proceso"

Parra Quijano


051

41


LA PRUEBA

"El fin de la prueba es, entonces, llevar a la inteligencia del juzgador la convicción suficiente para que pueda decidir con certeza sobre el asunto del proceso".

PLANTEA UN RETO CONCEPTUAL Y PRÁCTICO


051

42


SE BUSCA OBTENER

• Una prueba.

• Una prueba de la verdad de un echo.

• No buscamos comprobar la validez de una hipótesis abstracta.

• Tampoco comprobar una fórmula matemática.

• El objetivo es entonces: Hallar la certeza de la ocurrencia de un echo.


051

43


LAS FUENTES

Toda cosa o echo sensible anterior al proceso que, finalmente puede servirnos para demostrar la verdad de un enunciado.

Un correo, una firma, un casette de video, grabaciones digitales en disco, etc.

Instrumentos naturalmente aptos para informar por el sentido de la vista.


051

44


ACLARACIÓN

• Todo lenguaje es un producto convencional e histórico. Las palabras no tienen per se un significado, nosotros se lo damos.

• Vocablos: Prueba, Documento y Fuente: Dependerán del abordaje jurídico y contexto social.

• El documento por ejemplo, no solo es un medio de prueba, sino que a veces puede ser “objeto de prueba” cuando se trata de probar su existencia o preexistencia.


051

45


POSIBLES DERIVACIONES

• METAPERITAJE: "Es la declaración o pronunciamiento que realiza un profesional experto sobre las características o el contenido de un informe pericial relacionado con su ciencia o reglas de su arte u oficio, con el fin de informar si está correcto o presenta errores u omisiones cuando dicho informe ha sido evacuado por otro profesional experto que domina la misma ciencia o reglas de su arte u oficio".

• CONTRAPERITAJE: “Oferta una alternativa creíble para equilibrar la balanza. Se basa en una contraprueba rigurosa y objetivada”. La requieren quienes desean proteger sus intereses. Apuestan por la crítica seria de la versión única o la que se viste como oficial. Desnaturaliza lo incierto, lo explica, ilustra y documenta. En otros casos, el contraperitaje establece dudas razonables para desvirtuar la tesis y argumentos de la contraparte, que ya no tendrá la última palabra.


051

46


INTRODUCCIÓN A LA METAPERITACIÓN JUDICIAL

• La metaperitación también puede definirse aristotélicamente por género y diferencia, como un tipo de prueba sobre prueba (pericial).

• Procesalmente, para que pueda "metaperitarse" algo, o podamos metaperitar eficazmente, los juristas han de proponer ampliaciones y replanteamientos de prueba, y en ocasiones han de estar dispuestos a agotar las posibilidades y vías de recurso para poder ejercer el "derecho a la prueba", y más aún, el derecho a la "prueba sobre la prueba insuficiente, o controvertida" para ir más allá del último peritaje.


051

47


VALORACIÓN PROCESAL DE LOS MEDIOS INFORMÁTICOS

• Eficacia: Es un atributo del medio de prueba (sustantivo).

• Valoración: Es una acción realizada por el juez (verbo).

• Valorar es apreciar el material probatorio. Es una actividad intelectual donde el juez da su personal alcance a cada prueba, atendiendo a la eficacia natural y legal que cada prueba tiene per se dentro del proceso.

• El juez valora la prueba en dos momentos procesales: Al tiempo de su ingreso al proceso, para proveer su admisión y al final de la instancia, para fallar.

• Lo debe hacer libremente, con el uso de la razón y la experiencia. “Sana crítica”.


051

48


"LA EVIDENCIA ELECTRÓNICA“

Rodrigues: Materialidad, procesalidad y subjetividad ?

Antes: Corporalidad física y permanencia histórica.

Ahora: Escasa corporalidad y alta volatilidad.

Apuntar a la funcionalidad del documento.

- Sustanciales.

- Insustanciales.

Autenticidad, integridad, originalidad, no repudio.

Puede haber ofrecimientos pertinentes, eficaces pero contradictorios ?.


051

49


PARTICULARIDADES EN SU TRATAMIENTO

• ES IMPORTANTE TANTO SU FORMA COMO SU CONTENIDO • SE DEBE REVISAR SU CONTENIDO

• SE DEBEN ANALIZAR LOS MEDIOS A TRAVÉS DE LOS CUALES: SE CREARON ENVIARON ENRUTARON TRANSFIRIERON RECIBIERON ALMACENARON


051

50


LA EVIDENCIA SI SE PRETENDE JUDICIALIZAR DEBE SER:

• Admisible

• Autentica

• Completa

• Confiable

• Comprensible


051

51


GUÍAS DE MEJORES PRÁCTICAS

RFC 3227 - "Guía Para Recolectar y Archivar Evidencia”

Escrito en febrero de 2002 por Dominique Brezinski y Tom Killalea.

Una guía de alto nivel para recolectar y archivar datos relacionados con intrusiones.

Muestra las mejores prácticas para:

• Determinar la volatilidad de los datos

• Decidir que recolectar

• Desarrollar la recolección

• Determinar como almacenar y documentar los datos

También explica algunos conceptos relacionados a la parte legal.


051

52


TENDENCIA: AUTOMATIZAR LA RECOLECCIÓN Y ALMACENAMIENTO

Procedimiento Forense: Un procedimiento forense puede verse como un conjunto de primitivas

forenses (métodos probados) que inspeccionan cada uno de los

componentes afectados.

ANÁLISIS FORENSE INFORMÁTICO

“Es la técnica de capturar, procesar e investigar información procedente de sistemas informáticos

utilizando una metodología con el fin de que pueda ser utilizada en la justicia”.

Rodney McKennish


051

53


CONCEPTOS ...

Tradicionalmente se habla de "el día después”.

Nosotros debemos hablar de:

• Post-mortem


051

54


CONCEPTOS ...



• Post-mortem• Ante-mortem


051

55


CONCEPTOS ...



• Post-mortem• Ante-mortem• Peri-mortem


051

56


CONCEPTOS ...

Tradicionalmente se hablaba de la computadora "como medio" o "como fin".

Ahora lo reemplazamos por ...

• Donde una computadora apoya en un hecho punible.• Donde la computadora es el objetivo de un hecho punible. • Donde la computadora almacena información incidental a un hecho punible. (Se trata del caso en que se puede hallar evidencia en un dispositivo).• Donde la computadora se utiliza como soporte de la investigación forense ?.


051

57


CONCEPTOS ...

Un concepto actualizado de "Computer Forensic".

Proceso mediante el cual se identifican, preservan, analizan y presentan las evidencias digitales de manera que sean aceptables legalmente en una vista judicial o administrativa.

J. A. Bertolín ( Universidad de Austo)


051

58



051

59


BUENAS PRÁCTICAS EN LA GESTIÓN IT

Evolución histórica


051

60



MUCHAS VÍAS HACIA LA MEJORA Y ESTANDARIZACIÓN


051

61



Incidentes


051

62



Incidentes


051

63


SIETE EVENTOS PARA TRATAMIENTO INCIDENTES

Computer Forensic

• Identificación del Incidente: Se detecta un comportamiento anormal o no esperado. Se comprueba si es real o falsa alarma. Se determina el alcance y se valora el daño.

• Notificación del Incidente: Se cuestiona a quienes reportar según manual, documenta y dispara alarmas (preferentemente automáticas).

• Protección de la evidencia: Se toman en cuenta los registros de auditoría del modelo y los etiquetados temporales tomados durante la investigación. Detalle de conversaciones y recogida de evidencias según estándar de Computer Forensic.

• Contención: Se define si se apaga o no el sistema, el modo de apagado sin borrar evidencias si saltar alarmas por el apagado que afecten los registros de evidencias.

• Erradicación: Se elmina la amenaza.

• Recuperación: Luego de eliminar la amenaza, se recuperan y preservan todas las evidencias.

• Seguimiento: Se realiza una autopsia y seguimiento del Incidente.

• Judicialización: De considerarlo pertinente.


051

64


TRATAMIENTO DE INCIDENTES – SEGUIMIENTO

Computer Forensic

Algunas de las tareas de seguimiento pueden ser:

• Trazado de pistas sobre un supuesto atacante, a través de las redes de computación del cliente.

• Seguimiento de pistas de correos electrónicos (aparentemente anónimos), donde se difama, intimida o amenaza a personas físicas o jurídicas.

• Recuperación de signos y de detalles de fraudes informáticos.

• Recogida de pruebas en ciberataques, utilizando sistemas de detección y respuesta ante intrusiones de red, capaces de rastrear la procedencia de los ataques maliciosos ocultos, tras un ataque.


051

65




051

66



Roles que nos ayudan


051

67



Información relevante


051

68


BUENAS PRÁCTICAS EN LA GESTIÓN TI

Módulos fuentes


051

69



PARA SABER QUE LE OFRECE UNA GESTIÓN DE INCIDENTES AL PERITO - El RFC 2196

La "Internet" es una colección de miles de redes unidas por un Conjunto común de protocolos técnicos que hacen posible que los usuarios de cualquiera de las redes para comunicarse con, o utilizar los servicios ubicado en cualquiera de las otras redes.

El término "administrador" se utiliza para referirse a todas aquellas personas que se responsable para el día a día de funcionamiento de los sistemas, redes y recursos. Esto puede ser un número de individuos o una organización.

El término "administrador de seguridad" se utiliza para referirse a todas aquellas personas que son los responsables de la seguridad de la información y de la tecnología de la información En algunos sitios esta función puede combinarse con Administrador (arriba), en otros, esta será una posición independiente.

El término "decisión maker" se refiere a aquellas personas que en un lugar establecido tienen la potestad de aprobar la política. Estos son a menudo (pero no siempre) las personas que poseen "los recursos".


051

70




051

71


PERFIL DEL TÉCNICO

Es un mal hábito, conformarse con los conocimientos empíricos !.


051

72


PERFIL DEL FORENSE

Mejora continúa ! …


051

73


EL TÉCNICO FORENSE EN SENTIDO AMPLIO

• Debe ser un apasionado de la tecnología y respetuoso de ella.

• Ser una persona paciente.

• Gusto por la investigación.


051

74


APTITUDES DEL TÉCNICO FORENSE - CONTRIBUYEN A LA ACEPTABILIDAD DEL INFORME

• Aptitud física del forense.• Aptitud Psíquica del forense.• Capacidad técnica del forense.• Amplia práctica del forense en el arte o ciencia. • Amplio tiempo de ejercicio de esa experiencia. • Adelantos de la ciencia o arte. • Frecuencia de la renovación de los conocimientos. • Habilidad en le empleo de su arte o ciencia. • Honestidad en el empleo de su arte o ciencia. • Claridad en le planteamiento de problema.• Estricta aplicación de la lógica en el razonamiento. • Precisión en las conclusiones.


051

75


DEONTOLOGÍA

La deontología es el estudio de la conducta y la moral profesional. Para que el FORENSE desempeñe

su cargo, deberá reunir una serie de cualidades además de las que le solicita la ley:

• Pericia• Honestidad• Prudencia• Imparcialidad• Veracidad• Eficacia procesal


051

76


INVESTIGACIÓN EN EL ÁMBITO PRIVADO:

Estas actividades se las puede llevar siempre que se enmarquen dentro de los márgenes jurídicos evitando así pasar de investigador a infractor.

• Autorización del directorio o la gerencia de la empresa contratante.

• Contar con el respaldo del contratante.

• Garantizar confidencialidad y evitar fugas de información.

• Relevar información existente del caso.

• Planificar la investigación. (Seleccionar el método a aplicar).

• Apego a las buenas prácticas en la recolección de la evidencia.

• Aplicar modelo, por ejemplo SCRAM.

• Actuar conforme los RFC para el relevamiento y la preservación de la evidencia.

• Garantizar la preservación de la evidencia.


051

77


Conclusiones …

• Será siempre fiel a estos tres principios: "Ciencia, libertad y verdad".


051

78


Conclusiones …


• "El análisis forense es el epicentro de quienes buscan la verdad y que esta perdure en el informe escrito"


051

79


Conclusiones …


• "El análisis forense es el epicentro de quienes buscan la verdad y que esta perdure en el informe escrito"

• El alquimista y el descodificador buscan lo mismo en diferentes mundos: Convertir el alma (indicios) en oro (la verdad).


051

80


Sus preguntas …


051

81


Muchas Gracias por su atención …

BUENAS PRÁCTICAS TÉCNICO FORENSES

Documents

Transcript of BUENAS PRÁCTICAS TÉCNICO FORENSES