Es fácil ver cómo los servicios de auditoría informática (forense digital) utilizados durante una investigación de ataques cibernéticos son similares a los utilizados en la escena del crimen físico. En ambos casos, la evidencia debe ser asegurada y manejada adecuadamente, y deben tomar las fotografías o imágenes para capturar cómo la escena del crimen fue encontrada originalmente. Los expertos de empresa de seguridad de datos afirman que el analiza de tráfico de red y la aplicación puede revelar tanto como las huellas dactilares y manchas de sangre. Según expertos de servicios de auditoría informática, hay errores comunes que los detectives pueden hacer cuando investigan la escena del crimen. Evitar errores similares cuando hay un fallo de seguridad puede servir como guía para profesionales de forense que trabajan con empresa de seguridad de datos.
Error # 1: preservación de la escena del crimen inadecuada
Evaluar inmediatamente el estado de la escena del crimen, la definición de sus fronteras y limitar quién puede entrar todos son elementos importantes en la preservación de la escena del crimen.
Lo primero es lo primero: Los investigadores de servicios de auditoría informática deben evaluar la gravedad del ataque. ¿Qué información ha sido comprometida? ¿Cuánto tiempo ha sido el ataque pasando? Además, es importante evaluar qué evidencias son datos volátiles y qué información es de datos persistentes o no volátiles. Datos volátiles están destruidos cuando un sistema está apagado. Tenga cuidado de no cambiar metadatos de archivos al abrir, guardar o imprimir los archivos. Del mismo modo, tomar medidas para que los cachés no se cambien y los archivos temporales no se alteren.
Error # 2: Falta la única oportunidad para la imagen perfecta
Los detectives de empresas de seguridad de datos tienen una sola oportunidad de fotografiar una escena del crimen ininterrumpida durante su planteamiento inicial. Imagen forense es igualmente importante para descubrir la causa y remediar los ataques cibernéticos. Todos los datos del sistema deben ser capturados y retenidos en un dispositivo de almacenamiento independiente. Esto preserva el estado del sistema en el momento en que ocurrió el incidente, por lo que si se hacen cambios en el sistema después de que comience la investigación, la imagen exacta de la red se conserva para su análisis.
Error # 3: La falta de comunicación
En la escena del crimen física, la comunicación debe tener lugar entre el detective que investiga el juez de instrucción, el patólogo, los científicos del laboratorio del crimen y otros. Cada paso de la investigación requiere la comunicación entre varios grupos. Los expertos de servicios de auditoría informática mencionan que la falta de comunicación podría conducir a problemas con la disposición de la investigación en una fecha posterior. Los forenses cibernéticos implican el delicado equilibrio de la comunicación rápida y frecuentemente con tomarse el tiempo necesario para descubrir los hechos. Proporcionar información demasiado rápido que luego resulta ser inexacta podría comprometer la credibilidad de la empresa de seguridad de datos y su capacidad para gestionar eficazmente la brecha.
Error # 4: No tener planes, políticas y normas
Los equipos de servicios de auditoría informática necesitan un conjunto de reglas y políticas antes de una investigación. ¿Cómo se manejarán la evidencia? ¿Qué procesos se deben seguir? ¿Qué leyes y reglamentos se dictan procedimientos de notificación? ¿Cuál es la política para los servicios de auditoría informática para asegurarse de que el proceso fue seguido correctamente?
Paralos forensescibernéticos, el plande respuesta a incidenteses un buen pasoen la documentación delos procedimientos. Cada departamentodentro de la organizacióndebe ser incluido, con responsabilidadesclaramente definidas, incluyendolas asignacionesparalos elementos de acciónespecíficos conplazosasociados.
Así, las empresas de seguridad de datos deben tener en cuenta estos errores antes de comenzar los forenses cibernéticos.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad