Seguridad + certificación: Informática Forense y reponse incidente
Informática forense
implica la realización de una investigación para determinar lo que ha sucedido, para averiguar quién es el responsable y para reunir pruebas legalmente admisibles para su uso en un caso de delito informático.En estrecha relación con, pero claramente diferente de las investigaciones, es la respuesta a incidentes. El propósito de la investigación es determinar lo que pasó, para determinar quién es el responsable, y para reunir pruebas. Respuesta a incidentes determina lo que pasó, contiene y evalúa los daños, y restaura las operaciones normales.
Investigaciones y respuesta a incidentes con frecuencia deben realizarse simultáneamente de una manera bien coordinada y controlada para asegurar que las acciones iniciales de cualquiera actividad no destruyan pruebas o causan un mayor daño a los activos de la organización. Por esta razón, Ordenador de Incidentes (o de emergencia) Equipos de Respuesta (CIRT o CERT, respectivamente) deben estar debidamente capacitados y calificados para asegurar la escena del crimen o incidente, preservando evidencias. Idealmente, la CIRT incluye a las personas que llevan a cabo la investigación.
La realización de investigaciones
Una investigación de la delincuencia informática debe comenzar inmediatamente después de informe de un presunto delito informático o incidente. Inicialmente, cualquier incidente debe ser manejado como una investigación de delitos informáticos hasta que una investigación preliminar determine lo contrario. Los pasos generales a seguir en el proceso de investigación son las siguientes:
- Detectar y contendrá: La detección temprana es fundamental para una investigación exitosa. Desafortunadamente, las técnicas de detección pasiva o reactivos (tales como la revisión de los registros de auditoría y descubrimiento accidental) suelen ser la norma en delitos informáticos y con frecuencia dejan un rastro pruebas frío. La contención es esencial para minimizar las pérdidas o daños.
- Gestión notificar: La gestión debe ser notificado de cualquier investigación tan pronto como sea posible. El conocimiento de la investigación debe limitarse a la menor cantidad de gente posible y debe ser sobre la base de la necesidad de conocer. Fuera de la banda de los métodos de comunicación (informes en persona) deben utilizarse para garantizar que las comunicaciones confidenciales sobre la investigación no son interceptados.
- Comience investigación preliminar: Esto es necesario para determinar si se ha producido realmente un crimen. La mayoría de los incidentes son errores honestos, no de conducta criminal. Este paso incluye
• Revisión de la queja o reporte
• Inspección de daños
• Entrevistar testigos
• Examinar los registros
• Identificar nuevas necesidades de investigación
- Iniciar determinación de divulgación: El primero y más importante que determinar es si la divulgación del crimen o incidente es requerida por la ley. A continuación, determinar si se desea la divulgación. Esta debe ser coordinada con un oficial de la organización de relaciones públicas o de los asuntos públicos.
- Llevar a cabo la investigación:
• Identificar posibles sospechosos. Esto incluye internos y externos a la organización. Un discriminador estándar para ayudar a determinar o eliminar posibles sospechosos es la prueba de MOM: ¿El sospechoso tiene el motivo, la oportunidad y los medios para cometer el crimen?
• Identificar los posibles testigos.Determinar quién debe ser entrevistado y que llevará a cabo las entrevistas. Tenga cuidado de no alertar a los sospechosos potenciales para el enfoque investigación- en hechos que obtienen, no opiniones, en declaraciones de testigos.
• Prepárese para la búsqueda y captura. Esto incluye la identificación de los tipos de sistemas y pruebas que desea buscar o incautados, designar y capacitar a los miembros del equipo de búsqueda y captura (CIRT), la obtención y el servicio de búsqueda adecuados órdenes (si es necesario), y determinar el riesgo potencial para el sistema durante una búsqueda y el esfuerzo convulsivo.
- Los hallazgos del informe: Los resultados de la investigación, incluidas las pruebas, deben ser reportados a la gestión y entregados a las fuerzas del orden o fiscales apropiadas.
Evidencia
Evidencia es información presentada en un tribunal de justicia para confirmar o disipar un hecho que está en disputa. Un caso no puede ser llevado a juicio sin pruebas suficientes para apoyar el caso. Por lo tanto, la recopilación de evidencia adecuada es una de las tareas más importantes y más difíciles del investigador.
Tipos de pruebas
Fuentes de pruebas legales que se pueden presentar en un tribunal de justicia generalmente caen en una de las cuatro categorías principales:
- La evidencia directa: Este es el testimonio oral o una declaración por escrito sobre la base de la información obtenida a través de los cinco sentidos del testigo (un testigo ocular) que confirma o refuta un hecho o tema específico.
- Real (o física) pruebas: Estos son objetos tangibles del crimen real, tales como los siguientes:
• Herramientas y armas
• Robados o propiedad dañada
• cintas de vigilancia visual o de audio
- La evidencia física de un delito informático es raramente disponibles.
- Evidencia documentada: La mayor evidencia presentada en un caso de delito informático pruebas documentales, tales como los siguientes;
• Originales y copias de registros de negocios
• generada por computadora y registros informáticos almacenados
• Manuales
• Políticas
• Normas
• Procedimientos
# Los archivos de registro 8226-
- Registros de la empresa, incluidos los registros informáticos, se consideran tradicionalmente testimonios de oídas por la mayoría de los tribunales debido a que estos registros no pueden ser probadas precisa y fiable. Uno de los obstáculos más importantes para un fiscal para superar en un caso de delito informático está buscando la admisión de los registros informáticos como evidencia.
- Evidencia demostrativa. Se utiliza para ayudar a la comprensión de la corte de un caso. Las opiniones se consideran evidencia demostrativa y pueden ser
• Experto: Sobre la base de la experiencia personal y hechos
• No experto:Basado en hechos solamente
- Otros ejemplos de evidencia demostrativa incluyen modelos, simulaciones, gráficos e ilustraciones.
Otros tipos de pruebas que puedan caer en al menos una de las principales categorías anteriores incluyen
- Mejor evidencia:, Pruebas inalterada original. En la corte, esto es preferible a la evidencia secundaria.
- Los datos extraídos de un ordenador satisface la mejor regla pruebas y, normalmente, se pueden introducir en los procedimientos judiciales como tal.
- Evidencia secundario: Un duplicado o copia de la evidencia, tales como
• copia de seguridad de cinta
• Captura de pantalla
• fotografía
- Pruebas de corroboración: Soportes o corrobora otra evidencia presentada en un caso.
- Pruebas concluyentes: Indiscutible e irrefutable: la pistola humeante.
- Evidencia circunstancial: Hechos relevantes que no se pueden conectar directamente o de manera concluyente a otros eventos, pero sobre el que una inferencia razonable se puede hacer.
Admisibilidad de las pruebas
Debido a la evidencia generada por computadora a menudo puede ser fácilmente manipulado, alterado o manipulado, y porque no es fácil de entender y por lo general, este tipo de pruebas se considera generalmente como sospechoso en un tribunal de justicia.
Para ser admisible, la evidencia debe ser:
- Relevante: Se debe tender a probar o refutar los hechos que son pertinentes y esenciales para el caso.
- Confiable: Debe demostrarse razonablemente que lo que se presenta como prueba es lo que se recogió originalmente y que las pruebas en sí es fiable. Esto se logra, en parte, a través de pruebas adecuado manejo y la cadena de custodia.
- Legalmente permisible: Debe obtenerse a través de medios legales. La evidencia de que no es jurídicamente admisible puede incluir pruebas obtenidas a través de estos medios:
• Registros e incautaciones ilegales: Las fuerzas del orden deben obtener una orden- judicial previa sin embargo, personal de las fuerzas no-derecho, como un administrador de supervisor o sistema, puede ser capaz de llevar a cabo una búsqueda autorizada bajo ciertas circunstancias.
• Escuchas telefónicas ilegales o escuchas telefónicas: Cualquier persona realizar escuchas telefónicas o escuchas telefónicas debe obtener una orden judicial previa.
• El atrapamiento o incentivo: Atrapamiento anima a alguien a cometer un crimen que la persona puede haber tenido la intención de cometer. Por el contrario, seducción señuelos alguien hacia algunas pruebas (un tarro de miel, si se quiere), después de ese individuo ya ha cometido un delito. Seducción no es necesariamente ilegal, pero sí plantea argumentos éticos y puede no ser admisibles en los tribunales.
• Coerción:Testimonios o confesiones obtenidas mediante coacción no son legalmente permitido.
• Indebido o no autorizado de monitoreo: La supervisión activa debe estar debidamente autorizado y realizado en un usuarios manner- estándar deben ser notificados de que pueden ser objeto de seguimiento.