• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
"Señoría, no sé qué ha pasado en mi sistema" - Joseba Enjuto
 

"Señoría, no sé qué ha pasado en mi sistema" - Joseba Enjuto

on

  • 838 views

Ponencia de Joseba Enjuto, Responsable de Control Corporativo y Cumplimiento Legal de Nextel S.A., durante la XIV Jornada de Seguridad TI el martes 5 de junio de 2012 en la Alhóndiga de Bilbao

Ponencia de Joseba Enjuto, Responsable de Control Corporativo y Cumplimiento Legal de Nextel S.A., durante la XIV Jornada de Seguridad TI el martes 5 de junio de 2012 en la Alhóndiga de Bilbao

Statistics

Views

Total Views
838
Views on SlideShare
796
Embed Views
42

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 42

http://www.nextel.es 42

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    "Señoría, no sé qué ha pasado en mi sistema" - Joseba Enjuto "Señoría, no sé qué ha pasado en mi sistema" - Joseba Enjuto Presentation Transcript

    • Señoría, no sé qué ha pasado en mis sistemas…Joseba EnjutoResponsable de Control Corporativo y Cumplimiento Legaljenjuto@nextel.es6/4/12
    • ÍNDICE!   Introducción!   La primera vez!   Cogiendo experiencia!   Contratando los servicios de profesionales!   Lo que podría haber sido!   Conclusiones
    • ÍNDICE!   Introducción!   La primera vez!   Cogiendo experiencia!   Contratando los servicios de profesionales!   Lo que podría haber sido!   Conclusiones
    • Nextel S.A.!   www.nextel.es!   PYME – 1XX personas!   País Vasco (Bilbao/Vitoria/Donostia) – Madrid – Sevilla!   Ingeniería y Consultoría!   Especialización en seguridad y gestión TIC !   Sistemas de Gestión (ISO 27001, ISO 20000, …). !   Leyes relacionadas con la seguridad (LOPD, ENS, Infraestructuras Críticas, …). !   Evidencias electrónicas y peritaje informático
    • Disclaimer Todos los ejemplos que se van a presentar son completamente ficticios. Cualquier parecido con la realidad es pura coincidencia.
    • Disclaimer De todos modos… No habrá muchos parecidos, verdad?
    • Pérez Asesores, S.L. (2008)!   Asesoría financiera para empresas!   Sede en Barcelona!   12 trabajadores !   Sr. Pérez, Director General Sr.  Perez   !   2 comerciales !   9 asesores financieros Comerciales   Asesores  !   Infraestructura TIC: !   Acceso a Internet !   PCs para los asesores !   Portátiles para director y comerciales !   Servidor corporativo !   Servidor de correo !   Backup (disco duro externo)
    • ÍNDICE!   Introducción!   La primera vez!   Cogiendo experiencia!   Contratando los servicios de profesionales!   Lo que podría haber sido!   Conclusiones
    • Los preliminares!   Visitante: La benemérita!   Asunto: SPAM farmacéutico!   Los hechos: !   Venta de productos farmacéuticos ilegales !   Formato: Distribución masiva de publicidad por e-mail !   Dirección IP Origen: Pérez Asesores!   Requerimientos: !   Comparecencia del Sr. Pérez como imputado !   Incautación del equipamiento informático
    • El acto!   Señoría, yo no he hecho nada.!   Señoría, no sé qué ha pasado en mis sistemas.!   Señoría, no volverá a ocurrir.
    • El clímax!   Veredicto: !   El Sr. Pérez es Inocente!   Los hechos (reales): !   El Sr. Pérez se lleva el portátil a casa !   El portátil no tiene antivirus ni está actualizado !   Los hijos del Sr. Pérez usan su portátil !   El equipo se infecta al descargar un juego en flash !   El Sr. Pérez conecta el portátil en la red de la oficina !   El virus envía SPAM a través del servidor de correo de Pérez Asesores !   La red se ralentiza
    • Aprendiendo de la experiencia!   Hace falta más seguridad: !   Antivirus (actualizado) !   Anti-SPAM !   Actualizaciones !   …!   Hace falta más conocimiento de lo que pasa en los sistemas: !   Análisis de sistemas !   Análisis de red !   …
    • ÍNDICE!   Introducción!   La primera vez!   Cogiendo experiencia!   Contratando los servicios de profesionales!   Lo que podría haber sido!   Conclusiones
    • Pérez Asesores S.L. (2010)!   Nuevas sedes: Valencia y Madrid!   Mayor equipo !   Más comerciales !   Más asesores financieros !   Dirección de organización Sr.  Perez   !   Incluye área de informática Comerciales   Asesores   Organización  !   Mejor Infraestructura TIC: Informá8ca   !   Conexiones entre sedes vía Internet, con VPN !   Servidor de organización !   Servidores en cada sede !   Backup cruzado !   Servidor de correo con antivirus/antiSPAM !   Antivirus en cada PC / Portátil
    • Una nueva oportunidad!   Un asesor poco trabajador!   Una posibilidad de ajuste de plantilla !   “Esta vez SÍ voy a saber qué ha pasado en mis sistemas” !   El área de informática recopila pruebas !   Tras su marcha, acceden al PC del asesor !   Comprueban el historial de navegación !   Guardan pantallazos en un *.doc !   Comprueban “Mis Documentos” !   Copian en un PenDrive 2GB de fotos y vídeos !   El Sr. Pérez entrega al asesor la carta de despido procedente !   Presenta las pruebas recopiladas !   El asesor denuncia el despido por improcedente
    • Un nuevo acto!   Señoría, este empleado se dedicaba a ver chicas en horas de trabajo. !   Pero… es obvio que eso no se puede hacer, no?!   Señoría, tengo muchas pruebas que lo demuestran. !   Pero… por qué no valen mis pruebas?
    • Un resultado decepcionante!   Veredicto: !   El despido es Improcedente !   Pero… si esta vez sí que sabía lo que había pasado en mis sistemas!!!
    • Aprendiendo de la experiencia!   La seguridad técnica no basta: !   Políticas de seguridad !   Normas de actuación !   …!   Las trazas tienen que ser admisibles: !   Traza =/= Evidencia =/= Prueba !   Validez del procedimiento (adquisición / tratamiento) !   Validez de las evidencias !   …
    • ÍNDICE!   Introducción!   La primera vez!   Cogiendo experiencia!   Contratando los servicios de profesionales!   Lo que podría haber sido!   Conclusiones
    • Pérez Asesores S.L. (2011)!   2011: Un año duro !   Menos clientes !   Más presión!   Cambios internos: !   Reglamento de régimen interno !   Política de Seguridad !   Firmados a regañadientes por todo el personal!   Cambios en el marco jurídico !   Nuevo código penal !   Culpa in-vigilando?
    • Un nuevo problema!   Reducción de plantilla !   Incluye personal de área informática!   Un día después de la firma de finiquitos… !   El servidor de organización no arranca !   Contabilidad interna !   Nóminas !   … !   La base de datos de clientes tiene errores XJZF$#K   !   Parece no funcionar bien !   Sabotaje?
    • Una nueva solución!   Necesidad de ayuda especializada !   Conocimientos técnicos !   Conocimientos jurídicos !   Experiencia en juicios Solicitud de colaboración a!   Solución propuesta: Peritaje de los sistemas afectados !   Servidor de organización !   Servidor de delegación
    • Procedimiento seguido (I)!   Aviso a un notario !   Certificación del procedimiento!   Conservación del entorno !   Extracción !   Apagado brusco !   Aislamiento lógico !   Extracción de unidades de memoria !   Copia doble de unidades de memoria !   Restablecimiento !   Restauración de los sistemas !   Desde 0 !   Pruebas de los backups !   Restauración de los backups
    • Procedimiento seguido (II)!   Primera copia !   Sellado y entrega al notario !   Segunda copia !   Creación de tercera copia !   Sellado y conservación de la segunda !   Tercera copia !   Copia para estudio !   Sectores de arranque !   Registro !   Archivos de sistema !   Servicios y Aplicaciones !   Sistema de archivos !   Archivos de log !   …
    • Procedimiento seguido (III)!   Metodología de estudio !   Uso de software específico !   Preservación de “Cadena de custodia” !   Conservación !   Tratamiento !   Bitácora del estudio !   Quién !   Qué !   Cuándo !   Hasta cuándo!   Informe de Conclusiones !   Línea de tiempo !   Medidas de seguridad !   Hipótesis
    • Un nuevo juicio!   Conclusiones preliminares: !   Bomba lógica en el servidor de organización !   Puerta trasera mal configurada en servidor de delegación !   Autoría probable: administrador de sistemas despedido!   Presentación de denuncia!   Juicio: nuevas diligencias !   Accesos remotos a puerta trasera !   Colaboración de Telcos !   Investigación de contexto!   Presentación de evidencias recopiladas !   Aceptación como pruebas
    • Un final satisfactorio!   Resultado: !   Pruebas admitidas !   Hipótesis de autoría aceptada!   Veredicto: !   El acusado es Culpable !   Debe indemnizar por daños y perjuicios
    • Aprendiendo de la experiencia!   Claves para un buen resultado: !   Procedimiento fiable (y legal) !   Resultados verificables !   Hipótesis creíble !   Defensa entendible!   A tener en cuenta: !   Prevenir >> Curar !   Y si no se hubieran podido obtener resultados suficientes?
    • ÍNDICE!   Introducción!   La primera vez!   Cogiendo experiencia!   Contratando los servicios de profesionales!   Lo que podría haber sido!   Conclusiones
    • Necesidades!   Retos: !   Existencia de logs !   Logs evidenciables !   Gestión confiable !   Confiabilidad: la triple pareja !   Autenticidad e integridad !   Disponibilidad y completitud !   Calidad y Gestión
    • Plataforma de gestión de evidencias electrónicas!   Retos: Existencia y confiabilidad de logs!   Solución: Plataforma de gestión de evidencias electrónicas !   Análisis previo !   Estudio !   Diseño inicial !   Integración de la plataforma !   Auditoría inicial !   Bastionado de sistemas !   Integración de HIDS !   Integración de gestor de logs !   Integración de soluciones de certificación !   Auditoría final
    • Sistema de gestión de evidencias electrónicas!   Retos: Gestión confiable!   Planteamiento: Ciclo PDCA!   [P]: Determinación del alcance!   [P]: Definición de la Política !   Recursos !   Responsabilidades!   [P]: Metodología de gestión y conservación de logs!   [P]: Metodología de extracción y tratamiento de evidencias!   [D]: Despliegue de la plataforma de gestión de evidencias !   Medidas de seguridad aplicadas!   [D]: Formación!   [C]: Revisión y auditoría!   [A]: Mejora continua
    • ÍNDICE!   Introducción!   La primera vez!   Cogiendo experiencia!   Contratando los servicios de profesionales!   Lo que podría haber sido!   Conclusiones
    • Conclusiones!   Cada vez hay más evidencias electrónicas!   Estamos (de verdad) preparados para su uso?!   Antes de necesitarlas: !   Políticas y normativas !   Solución tecnológica !   Sistemática de gestión!   Después de necesitarlas: !   Análisis forense (peritaje) !   Conocimiento técnico y jurídico !   Presentación  Admisibilidad como prueba
    • Dudas y preguntas FIN Joseba Enjuto Responsable de Control Corporativo y Cumplimiento Legal @JosebaEnjuto