"Señoría, no sé qué ha pasado en mi sistema" - Joseba Enjuto

Señoría, no sé qué ha pasado en mis sistemas…Joseba EnjutoResponsable de Control Corporativo y Cumplimiento Legaljenjuto@nextel.es6/4/12

ÍNDICE!   Introducción!   La primera vez!   Cogiendo experiencia!   Contratando los servicios de profesionales!   Lo que podría haber sido!   Conclusiones

Nextel S.A.!   www.nextel.es!   PYME – 1XX personas!   País Vasco (Bilbao/Vitoria/Donostia) – Madrid – Sevilla!   Ingeniería y Consultoría!   Especialización en seguridad y gestión TIC !   Sistemas de Gestión (ISO 27001, ISO 20000, …). !   Leyes relacionadas con la seguridad (LOPD, ENS, Infraestructuras Críticas, …). !   Evidencias electrónicas y peritaje informático

Disclaimer Todos los ejemplos que se van a presentar son completamente ficticios. Cualquier parecido con la realidad es pura coincidencia.

Disclaimer De todos modos… No habrá muchos parecidos, verdad?

Pérez Asesores, S.L. (2008)!   Asesoría financiera para empresas!   Sede en Barcelona!   12 trabajadores !   Sr. Pérez, Director General Sr. Perez !   2 comerciales !   9 asesores financieros Comerciales Asesores !   Infraestructura TIC: !   Acceso a Internet !   PCs para los asesores !   Portátiles para director y comerciales !   Servidor corporativo !   Servidor de correo !   Backup (disco duro externo)

Los preliminares!   Visitante: La benemérita!   Asunto: SPAM farmacéutico!   Los hechos: !   Venta de productos farmacéuticos ilegales !   Formato: Distribución masiva de publicidad por e-mail !   Dirección IP Origen: Pérez Asesores!   Requerimientos: !   Comparecencia del Sr. Pérez como imputado !   Incautación del equipamiento informático

El acto!   Señoría, yo no he hecho nada.!   Señoría, no sé qué ha pasado en mis sistemas.!   Señoría, no volverá a ocurrir.

El clímax!   Veredicto: !   El Sr. Pérez es Inocente!   Los hechos (reales): !   El Sr. Pérez se lleva el portátil a casa !   El portátil no tiene antivirus ni está actualizado !   Los hijos del Sr. Pérez usan su portátil !   El equipo se infecta al descargar un juego en flash !   El Sr. Pérez conecta el portátil en la red de la oficina !   El virus envía SPAM a través del servidor de correo de Pérez Asesores !   La red se ralentiza

Aprendiendo de la experiencia!   Hace falta más seguridad: !   Antivirus (actualizado) !   Anti-SPAM !   Actualizaciones !   …!   Hace falta más conocimiento de lo que pasa en los sistemas: !   Análisis de sistemas !   Análisis de red !   …

Pérez Asesores S.L. (2010)!   Nuevas sedes: Valencia y Madrid!   Mayor equipo !   Más comerciales !   Más asesores financieros !   Dirección de organización Sr. Perez !   Incluye área de informática Comerciales Asesores Organización !   Mejor Infraestructura TIC: Informá8ca !   Conexiones entre sedes vía Internet, con VPN !   Servidor de organización !   Servidores en cada sede !   Backup cruzado !   Servidor de correo con antivirus/antiSPAM !   Antivirus en cada PC / Portátil

Una nueva oportunidad!   Un asesor poco trabajador!   Una posibilidad de ajuste de plantilla !   “Esta vez SÍ voy a saber qué ha pasado en mis sistemas” !   El área de informática recopila pruebas !   Tras su marcha, acceden al PC del asesor !   Comprueban el historial de navegación !   Guardan pantallazos en un *.doc !   Comprueban “Mis Documentos” !   Copian en un PenDrive 2GB de fotos y vídeos !   El Sr. Pérez entrega al asesor la carta de despido procedente !   Presenta las pruebas recopiladas !   El asesor denuncia el despido por improcedente

Un nuevo acto!   Señoría, este empleado se dedicaba a ver chicas en horas de trabajo. !   Pero… es obvio que eso no se puede hacer, no?!   Señoría, tengo muchas pruebas que lo demuestran. !   Pero… por qué no valen mis pruebas?

Un resultado decepcionante!   Veredicto: !   El despido es Improcedente !   Pero… si esta vez sí que sabía lo que había pasado en mis sistemas!!!

Aprendiendo de la experiencia!   La seguridad técnica no basta: !   Políticas de seguridad !   Normas de actuación !   …!   Las trazas tienen que ser admisibles: !   Traza =/= Evidencia =/= Prueba !   Validez del procedimiento (adquisición / tratamiento) !   Validez de las evidencias !   …

Pérez Asesores S.L. (2011)!   2011: Un año duro !   Menos clientes !   Más presión!   Cambios internos: !   Reglamento de régimen interno !   Política de Seguridad !   Firmados a regañadientes por todo el personal!   Cambios en el marco jurídico !   Nuevo código penal !   Culpa in-vigilando?

Un nuevo problema!   Reducción de plantilla !   Incluye personal de área informática!   Un día después de la firma de finiquitos… !   El servidor de organización no arranca !   Contabilidad interna !   Nóminas !   … !   La base de datos de clientes tiene errores XJZF$#K !   Parece no funcionar bien !   Sabotaje?

Una nueva solución!   Necesidad de ayuda especializada !   Conocimientos técnicos !   Conocimientos jurídicos !   Experiencia en juicios Solicitud de colaboración a!   Solución propuesta: Peritaje de los sistemas afectados !   Servidor de organización !   Servidor de delegación

Procedimiento seguido (I)!   Aviso a un notario !   Certificación del procedimiento!   Conservación del entorno !   Extracción !   Apagado brusco !   Aislamiento lógico !   Extracción de unidades de memoria !   Copia doble de unidades de memoria !   Restablecimiento !   Restauración de los sistemas !   Desde 0 !   Pruebas de los backups !   Restauración de los backups

Procedimiento seguido (II)!   Primera copia !   Sellado y entrega al notario !   Segunda copia !   Creación de tercera copia !   Sellado y conservación de la segunda !   Tercera copia !   Copia para estudio !   Sectores de arranque !   Registro !   Archivos de sistema !   Servicios y Aplicaciones !   Sistema de archivos !   Archivos de log !   …

Procedimiento seguido (III)!   Metodología de estudio !   Uso de software específico !   Preservación de “Cadena de custodia” !   Conservación !   Tratamiento !   Bitácora del estudio !   Quién !   Qué !   Cuándo !   Hasta cuándo!   Informe de Conclusiones !   Línea de tiempo !   Medidas de seguridad !   Hipótesis

Un nuevo juicio!   Conclusiones preliminares: !   Bomba lógica en el servidor de organización !   Puerta trasera mal configurada en servidor de delegación !   Autoría probable: administrador de sistemas despedido!   Presentación de denuncia!   Juicio: nuevas diligencias !   Accesos remotos a puerta trasera !   Colaboración de Telcos !   Investigación de contexto!   Presentación de evidencias recopiladas !   Aceptación como pruebas

Un final satisfactorio!   Resultado: !   Pruebas admitidas !   Hipótesis de autoría aceptada!   Veredicto: !   El acusado es Culpable !   Debe indemnizar por daños y perjuicios

Aprendiendo de la experiencia!   Claves para un buen resultado: !   Procedimiento fiable (y legal) !   Resultados verificables !   Hipótesis creíble !   Defensa entendible!   A tener en cuenta: !   Prevenir >> Curar !   Y si no se hubieran podido obtener resultados suficientes?

Necesidades!   Retos: !   Existencia de logs !   Logs evidenciables !   Gestión confiable !   Confiabilidad: la triple pareja !   Autenticidad e integridad !   Disponibilidad y completitud !   Calidad y Gestión

Plataforma de gestión de evidencias electrónicas!   Retos: Existencia y confiabilidad de logs!   Solución: Plataforma de gestión de evidencias electrónicas !   Análisis previo !   Estudio !   Diseño inicial !   Integración de la plataforma !   Auditoría inicial !   Bastionado de sistemas !   Integración de HIDS !   Integración de gestor de logs !   Integración de soluciones de certificación !   Auditoría final

Sistema de gestión de evidencias electrónicas!   Retos: Gestión confiable!   Planteamiento: Ciclo PDCA!   [P]: Determinación del alcance!   [P]: Definición de la Política !   Recursos !   Responsabilidades!   [P]: Metodología de gestión y conservación de logs!   [P]: Metodología de extracción y tratamiento de evidencias!   [D]: Despliegue de la plataforma de gestión de evidencias !   Medidas de seguridad aplicadas!   [D]: Formación!   [C]: Revisión y auditoría!   [A]: Mejora continua

Conclusiones!   Cada vez hay más evidencias electrónicas!   Estamos (de verdad) preparados para su uso?!   Antes de necesitarlas: !   Políticas y normativas !   Solución tecnológica !   Sistemática de gestión!   Después de necesitarlas: !   Análisis forense (peritaje) !   Conocimiento técnico y jurídico !   Presentación  Admisibilidad como prueba

Dudas y preguntas FIN Joseba Enjuto Responsable de Control Corporativo y Cumplimiento Legal @JosebaEnjuto

"Señoría, no sé qué ha pasado en mi sistema" - Joseba Enjuto

by Nextel S.A. on Jun 05, 2012

Accessibility

Categories

Upload Details

Usage Rights

1 Embed 38

Statistics

"Señoría, no sé qué ha pasado en mi sistema" - Joseba Enjuto Presentation Transcript