De acuerdo con el método de evaluación de Riesgos MARION, cuando lo utilizamos en una empresa “los talleres llevan frecuentemente a una evaluación personal del riesgo por parte del personal de la organización, por lo que es difícil creer que puede resultar del todo objetiva”. Indique ¿Cuál sería un punto a favor del uso del método MARION? Con las evaluaciones del personal podemos fiarnos más de los resultados que se obtendrán. Contamos con ventajas económicas. Permite sensibilizar al conjunto de actores sobre los problemas de seguridad Se obtiene una evaluación por parte del personal, por lo que tenemos objetividad en la auditoría. Es innecesario que el personal esté informado y sensibilizado en los temas de seguridad. .
La dependencia a los sistemas de información, la complejidad de estos sistemas tecnológicos, la globalización, entre otros, hace que las organizaciones incorporen procedimientos de control y se guíen por estándares y normas. En referencia a la Seguridad Informática ¿cuál de las siguientes características le define? Se asegura que los recursos del sistema de Información de una organización se utilicen como se decidió y que el acceso y modificación a esta se acredite y limite. Es imprescindible para obtener información codificada y que sea utilizada para fines privados y de la organización. El correcto funcionamiento los sistemas informáticos no depende del grado de protección que tengan sino en los tiempos de acceso a la información. Provee seguridad a las organizaciones con altos niveles de calidad y un servicio altamente seguro, limitando los accesos únicamente a usuarios seguros. La seguridad es la misma siempre independientemente del tipo de organización en la que se implemente, los estándares no son flexibles.
Cuando se realiza un contrato de auditoria, por ejemplo, el cliente declara:
- Que es una institución de salud
- Que su representante legal es Alfredo Alférez
- Que requiere de nuestros servicios de auditoría informática
- El objetivo del proceso de auditoría
Al enfrentarse a una nueva organización y definir qué método de auditoría utilizar ¿qué es esencial que comprenda el auditor? Debe comprender los recursos que invertirá la organización que solicita el servicio de auditoría informática y las herramientas que utilizará. Debe comprender que las auditorías son costosas y que las empresas no están dispuestas a invertir en procesos extensos Debe comprender que la auditoría es un proceso esencial en el foco de la organización solicitante del servicio. Debe comprender primeramente la actividad de la empresa que será auditada. Debe comprender que los procesos de auditoría generan resistencia en la organización .
En la empresa BB Ltda., usted es quien está encargado de velar por la seguridad Informática. Cierto día, un evento afecta la integridad de la información de la empresa. Ante este evento, ¿en qué fase de la auditoría usted utiliza un Sistema de Detección de Intrusos (IDS)? Medidas específicas de corrección. Detección, comprobación y evaluación de vulnerabilidades. Enumeración de los sistemas operativos, servicios, aplicaciones, topología y protocolos de red. Recomendaciones sobre implantación de medidas preventivas. Análisis de vulnerabilidades.
¿Qué papel tienen las herramientas de control? Permiten controlar las vulnerabilidades que se pudieran encontrar en un sistema. Definen procedimientos de control para cumplir con las normativas y un objetivo de control. Permiten mantener la calidad de los sistemas bajo normas ISO. Evalúa el plan de seguridad para cumplir con las normativas. Es una estrategia planificada de trabajos y propósitos que lleven a un sistema de información.
Luego de ejecutar la auditoría en la empresa Global TIC, se le ha dado la carga de generar el Informe de Auditoría. Éste debe constar de: Informes de la auditoría, objetivos de la auditoría, debilidades y limitaciones encontradas, recomendaciones. Antecedentes, objetivo del proceso de auditoría, posibles limitaciones y un resumen para la Dirección en términos no técnicos. Antecedentes, información contable, objetivos, análisis de datos recopilados, recomendaciones. Antecedentes de la empresa, foco de la auditoría y sus objetivos, análisis de datos recopilados y resumen en términos técnicos. Antecedentes de la empresa, objetivos de la auditoria, encomiendas para las limitaciones encontradas.
¿Cuáles son los estándares en materia de auditoría de sistemas de información? Sistema de Control Interno OHSAS 27001 ISO 9001 ISO/IEC 27002. COBIT .
Usted es parte del equipo de auditores que fue contratado por la empresa Cometas y Volantines S.A., para detectar la vulnerabilidad del sistema informático en el que tienen las ventas y los nuevos modelos de volantines. Para realizar esta auditoría, usted debe tener claridad de las siguientes etapas: Planeación de la auditoría - Realización de la auditoría - Análisis de datos recabados y de las condiciones observadas - Elaboración de un informe escrito y emisión de una opinión. Planeación de la auditoría - Análisis de datos recabados - Elaboración de un informe escrito - Emisión de una opinión. Realización de la auditoría - Planeación de datos a recabar - Análisis de datos y situaciones observadas - Elaboración de informe de auditoría. Entrevistas al área auditada - Planeación de la auditoría - Realización de la auditoría - Análisis de datos - Informe escrito. Realización – Análisis de los datos recabados - Elaboración de informe escrito – Retroalimentación del proceso observado. .
MgData con el propósito de obtener evidencia en una auditoría, requiere información como:
- Protocolos de Seguridad Física
- Protocolos de Seguridad del personal
- ¿Existe personal encargado de velar por el equipamiento de datos las 24hrs?
- ¿Existe calendario para mantenimientos preventivos?
Para obtener los datos de este ejemplo ¿Cuáles son algunos métodos para recabar evidencia? Revisión de informes previos; test de sistema; revisión de contratos Apoyar afirmaciones de la dirección; Revisión de Normas Técnicas; Revisión de normas jurídicas Combinación de datos; Validación de recursos de información; Revisión de controles de recursos Preguntas en entrevistas persona a persona; Procedimientos analíticos; Observación Revisión de riesgos tecnológicos; Estructurar el departamento de tecnología; Entrevistas de oficina.
Cuando efectuamos una auditoría con herramientas analíticas: por ejemplo identificando inconsistencias o variaciones significativas en un sistema, las efectuamos mediante pruebas de controles generales, como configuraciones en sistemas operativos, protocolos de acceso al sistema, y comparación de códigos como de versiones. En el caso de que los controles sean débiles o inexistentes ¿qué tipo de pruebas adicionales deberíamos efectuar? Pruebas de respaldos, replica, y recuperación de datos Pruebas de tipo metodológicas y procedurales. Pruebas de replicación de procedimientos, y cumplimientos de objetivos Pruebas analíticas y de protocolos implementados. Pruebas sustanciales y de cumplimiento.
Cuando ejecutamos una herramienta de auditoría en una organización y recibimos un reporte del siguiente tipo: “tarea de revisión programadas en 60 ocasiones para escaneo de puertos abiertos, la tarea no se realizó en 8 de las 60 ocasiones; Resumen de la actividad: la red fue robusta un 86,66% del tiempo y vulnerable el 13,34% del tiempo”. Según lo aprendido de las metodologías ¿por qué los resúmenes deben ser entregadas las herramientas de auditoría en el formato ejemplificado? Generará una impresión profesional a la dirección de la organización Los datos numéricos son necesarios para la certificación ISO 27002 Debemos mantener el criterio de medir cuantitativamente lo que sea medible. Estas medidas son exigidas por ley en los países de innovación tecnológica por lo que debemos incorporarlo en nuestro lenguaje. Las observaciones de estas medidas permitirán un análisis bastante más riguroso la próxima vez.
En la actualidad, un método generalmente utilizado por los auditores para realizar tareas que se relacionan con revisiones, donde la tecnología juega un rol fundamental sobre la automatización para identificar excepciones o anomalías, análisis de tendencias, y transacciones detalladas con valores límites. Al basarnos en estos hechos, ¿por qué podemos afirmar que en la industria actual se puede esperar una evolución hacia una auditoría automática, continua y en tiempo real? Porque generalmente, el mejor costo-eficiencia se obtiene con herramientas específicas, no multipropósito. Porque hay gran variedad de herramientas de auditoría que el auditor puede manejar para posibilitar/facilitar sus tarea, y aumentar su productividad. Porque toda herramienta tiene sus ventajas y limitaciones, formas de usos normales y excepcionales. No se puede ignorar la tendencia que parece irreversible hacia la “integración de la auditoría” dado las constantes amenazas de seguridad Porque hacen viable, más tolerable y económica la auditoría de campos a auditar y también de ciertos objetos.
Cuando desarrollamos un plan de concienciación, ¿los usuarios deben transitar por qué estados? Conscientemente-Incompetente, Inconscientemente-Incompetente, Inconscientemente-Competente, Conscientemente-Competente Inconscientemente-Competente, Conscientemente-Competente, Inconscientemente-Incompetente, Conscientemente-Incompetente Inconscientemente-Competente, Inconscientemente-Incompetente, Conscientemente-Incompetente, Conscientemente-Competente Inconscientemente-Incompetente, Conscientemente-Incompetente, Conscientemente-Competente, Inconscientemente-Competente Conscientemente-Incompetente, Conscientemente-Competente, Inconscientemente-Incompetente, Inconscientemente-Competente.
Como Auditores Informáticos, contamos con 2 herramientas de auditoría que podríamos usar en una empresa: los métodos de análisis de riesgos informáticos y el software de auditoría. En relación con este último ¿qué podemos señalar respecto a su utilidad? Permiten validar los resultados de algunos procesos o poner en evidencia las informaciones erróneas. Permite validar resultados pero no evidenciar errores. Permite obtener información confidencial y ponerlas en evidencia. Analiza los riesgos de cada proceso y la seguridad existente. Evalúa los inconvenientes encontrados en cada proceso y define soluciones. .
La necesidad de cumplir con los requisitos de seguridad en una organización requiere que los administradores estén alertas ante intentos o ejecución de accesos no autorizados. Por ejemplo: La supervisión de la información de la red es relevante y la de los sistema operáticos, los cuales son una de las fuentes con las que se puede llevar el registro de intentos de inicio de sesión dado lo anterior es primordial poder identificar ¿Qué fichero en los sistemas GNU/Linux se encarga de registrar los mensajes de seguridad del sistema? Auth.log. Syslog. Config.ini Kern. Debug.
Ha sido contratado para efectuar una auditoría. ¿Qué tarea debe realizar usted en la etapa final? Realiza el informe final del proceso auditado y lo entrega a quien encargó el servicio para emitir opiniones. Realiza el informe de auditoría y se reúne los actores del área auditada comunicando las fallas detectadas. Realiza entrevista con el área auditada y luego se reúne con la jefatura para proponer mejoras. Se reúne con la jefatura del área auditada y con el gerente o director e informa las medidas implementadas post auditoria Se reúne con la jefatura del área auditada, luego con el gerente o director general a fin de reunirse con el personal antes de emitir una opinión.
Usted es parte del equipo de auditores y debe solicitar información privilegiada de la empresa. Usted y su equipo deben conocer las leyes civiles. ¿Por qué? Ante algún problema, deben comprender qué información debe conservar bajo reserva para hacerla pública y cuál sí pueden notificar a las autoridades civiles. El contrato firmado prohíbe la divulgación de datos privilegiados, pero sí es bueno saber de leyes civiles. Ante algún problema, deben recurrir a las autoridades para notificar cualquier error por parte de los empleados de la empresa. De esa forma puede convencer al jefe de área y director que deben notificar cualquier alteración. Las leyes civiles son necesarias ya que deben tratar con personal de la organización y pueden interferir en la auditoría.
Una vez se realiza un proceso de Auditoría ¿Cuáles son los pasos que deberá seguir la organización en el futuro?: Si todo se encuentra correcto no es necesario volver a realizar auditorías dentro de la organización. Las auditorías no presentan fin, una vez que esta comienza no hay un hito de finalización. Se recomienda que las organizaciones realicen auditorías de forma periódica. En las auditorías es poco probable que todo esté totalmente perfecto por lo que no hay motivo de reevaluar el proceso. Es recomendable volver a realizarlas periódicamente, pero ya no de forma tan exhaustivas.
El análisis de datos puede ayudarnos como auditores para aprovechar las tecnologías y acercarnos a un enfoque más que se encuentre basado en datos y así planificar o ejecutar un proceso de auditoría. Por ejemplo al ejecutar un proceso de auditoría en una organización podríamos discernir que “la organización no cuenta con los suficientes recursos para el funcionamiento óptimo de un área de auditoría”. En este análisis de datos identifique ¿Cuál es una de las características de esta etapa? El auditor debe recaudar la información referente a todas las políticas y normas que debe acatar la organización. Se debe emitir una opinión objetiva e informada sobre seguridad en la organización y los procesos de auditoría. El jefe de área debe comunicar a los trabajadores que la auditoría en curso es un beneficio para la organización. Se contrastan los resultados contra estándares habitualmente aceptados. El auditor debe observar y verificar la manera en la que se realizan las tareas cotidianas, por lo que necesita de la colaboración de todo el personal.
Una organización ha adquirido una herramienta de auditoría de sistemas la cual les ofrece las siguientes características:
- Sirve de apoyo al administrador, enviando recordatorios e ir cumpliendo tus plazos.
- Tiempos, aprobadores, revisores y plazos son parametrizables.
- Es amigable, intuitiva y fácil de usar. No requiere horas en capacitación.
- Registra comentarios y versiones para una mejor supervisión.
- Acceso vía web.
Según el ejemplo indicado ¿qué características adicionales es necesario que la organización tenga presente respecto a las herramientas de auditoría de para sistemas? Estos sistemas requieren contar con algún tipo de reseña o referencia evidente para la satisfacción de la organización. Deben contar con bases de datos previamente generada con normas y sistemas de regulación del país en que se ejecuta la auditoría La dificultad del acceso es proporcional a su criticidad, ya que las herramientas del sistema se ejecutan bajo modo privilegiado. Son recursos del departamento de auditoría de Sistemas de Información que se alinean con la estructura topológica Los sistemas poseen una importancia relativa pero son de gran estabilidad en la detección de riesgos particulares y corrección.
La necesidad de cumplir con los requisitos de seguridad en una organización requiere que los administradores implementen procesos seguros para proteger contra los intentos o accesos no autorizados. Por ejemplo: La supervisión de la información de la red es relevante y estos registros de eventos así como de seguridad del sistema operático son una de las fuentes con las que se puede registrar los intentos de inicio de sesión. Dado lo anterior es necesario identificar, ¿en qué estado se encuentra por defecto el registro de sucesos (auditorías) en sistemas operativos Windows? Deshabilitado. Automático. Habilitado. Predeterminado. Ausente. .
¿Por qué es importante que los altos cargos hagan saber al personal que las auditorías son beneficiosas para la organización? Evalúa la eficiencia de cada trabajador y recomienda acciones para aumentar su productividad en cada proceso. Muestra las debilidades que tiene la organización y sus trabajadores para mantener alerta a los altos cargos de la organización. Mantiene a la organización desempeñándose bajo estándares internacionales y solo con personal especializado. Recabarán los datos para verificar que “todo esté en orden” dentro de la organización proveyendo los protocolos necesarios. Evalúa la eficiencia y da constancia del desempeño de los trabajadores, manteniendo a los trabajadores alerta ante cualquier amenaza.
Suponiendo que estamos realizando una auditoría sobre políticas de seguridad física de una instalación y, en el contexto de esta, se analiza el control de los accesos tanto de personas como de existencias al Centro de Datos. Los juegos de prueba son una técnica de gran eficacia al utilizarlos en las organizaciones, sin embargo, ¿porque se utilizan poco en los procesos de auditoría? Es una técnica que no resulta fiable. Los programas no son comprobados en su totalidad. Es una técnica que requiere mucho tiempo en su implantación. Los costos de su aplicación son muy altos. Su aplicación implica cambios de trabajo prohibitivos para los informáticos y auditores.
La empresa SCASCI Ltda. implantó un SGSI en toda la organización. La dirección cuenta con un equipo enfocado especialmente en este sistema que coordina las actividades relacionadas con la seguridad de la empresa y busca soluciones a la temática de seguridad. Usted debe definir un proceso de evaluación de riesgos de la seguridad de la información. ¿En qué etapa valora las consecuencias y probabilidades de materialización de los riesgos identificados? Planificación: Determinación de criterios. Planificación: Análisis de riesgos. Planificación: Resolución de riesgos. Planificación: Identificación de riesgos. Planificación: Evaluación de riesgos.
Se ha presentado un nuevo proyecto en el que usted guiará al área de auditoría interna que ya está implantada en la organización. Se reúne con el equipo de expertos y solicita los informes históricos de riesgos. En el último año, realizaron una migración de sistemas y se han detectado vulnerabilidades en el sistema que no se habían corregido en las anteriores auditorías pero que a su vez no han afectado la operación. Al analizar los informes históricos, se da cuenta que la organización no ha tomado medidas al respecto. Dentro de este contexto infiera ¿Qué argumento entrega esta organización al ser consultada por este tema? Ha decido eliminar el riesgo Ha decido aceptar el riesgo Ha decido reducir el riesgo Ha decido evitar el riesgo Ha decido transferir el riesgo.
Su equipo realizará una auditoría de seguridad de los sistemas de la empresa Autocom SA. Se centrarán en el entorno físico ya que se ha detectado personal no autorizado en una zona restringida (almacenamiento de datos). Autocom SA cuenta con una política de seguridad y los datos están en una sala que tiene puerta de seguridad a la que solo ingresan con tarjeta de identificación. Ya que hay nuevo personal contratado se le pide estudiar el entorno físico donde se guardan los datos. ¿Qué metodología debe utilizar? Auditoría de rendimiento. Inspección visual y entrevistas con trabajadores. Análisis de hardware. Test de intrusión. Auditoría de mejora continua.
“La Auditoría es el análisis exhaustivo de los sistemas informáticos con la finalidad de detectar, identificar y describir las distintas vulnerabilidades que puedan presentarse”. Cuando se le solicita desarrollar tareas de auditoria es de suma importancia dejar en claro a la dirección de la empresa cuál es el objetivo principal de una auditoría de seguridad, indique ¿Cuál sería la definición a entregar? Verificar la adecuación de los procedimientos, estándares y medidas de seguridad establecidos en la empresa. Realizar un análisis exhaustivo para sugerir medidas de mejora en la empresa. Verificar anomalías en los sistemas y procedimientos que tiene implantada la empresa, sugiriendo nuevas medidas de seguridad. Auditar el rendimiento del trabajo informático, identificando puntos fuertes y débiles y sugerir nuevas medidas para desarrollar dentro de la empresa. Cuantificar las anomalías en los procedimientos de la empresa y el grado de seguridad de las redes locales.
Al realizar un SGSI en una organización, debe basarse en los requisitos de la siguiente norma: Norma ISO 27001 Norma ISO 9001:2015 IRCA 27002 UNE-ISO 31000 Norma ISO 55000. .
Nos encontramos verificando la documentación y registro de trazas de un incidente presentado en la organización ANALISIS (encuestadora) y generar una lista de posibles causas. Si necesitamos describir la ocurrencia de este y el efecto generado en los equipos afectados, cuál procedimiento debe seguirse para documentarlo garantizando precisión y claridad: Considerar la lista descrita de cada tipo de incidente y las políticas de la organización Evaluar los comentarios e impresiones del personal involucrado Considerar los hechos registrados (eventos en los logs de los equipos) Evaluar la lista de evidencias obtenidas durante el análisis y la investigación Revisar las comunicaciones realizadas por la organización con terceros y con los medios.
El equipo de respuesta a incidentes de la empresa TELCOM está desarrollando el checklist, indicando un conjunto de tareas enfocadas en verificar y validar la respuesta de mejora dada a la organización frente a incidentes de seguridad informática. Considerando el siguiente escenario
Ataque de malware Este es un término identificar el software malicioso que pueden instalarse en el sistema de una empresa. Este incluye troyanos, gusanos, ransomware, adware, spyware y varios tipos de virus. Algunos instalados inadvertidamente cuando un usuario hace clic en un anuncio, visita un sitio web infectado o instala software gratuito u otro software. Los signos de malware se presentan cuando hay una actividad inusual del sistema, como la pérdida repentina de espacio en disco; disminución en la velocidad de procesamiento; caídas repetidas o congelamientos; un aumento no deseado en la actividad de internet. Por supuesto, la instalación de herramientas como un antivirus pueden detectar y eliminar el malware, proporcionando protección en tiempo real y, detectar y eliminar malware mediante la ejecución de análisis del sistema.
Indique cuál es el primer aspecto para verificar en la fase Gestión del incidente de seguridad: Catalogar y almacenar de forma segura la información necesaria para preservar las evidencias. Copias de seguridad con la información del estado previo y del estado posterior al incidente Mantener registro de todas las comunicaciones y contactos establecidos durante la respuesta al incidente Aplicar soluciones de emergencia para tratar de contener el incidente Realizar procesos de verificación del aislamiento de equipos afectados, realizando copias adicionales de seguridad de sus discos duros Revisar la información disponible desde la documentación generada por el equipo de respuestas para caracterizar el tipo de incidente (intento o ejecución).
Si los servicios proactivos del equipo de respuesta están diseñados para contribuir a la protección a la protección de la plataforma tecnológica, implementando mejoras en los procesos de seguridad e incorporando actividades enfocadas en auditar, evaluar, instalar, configurar y mantener herramientas de seguridad. ¿Cuál es el ejemplo de aplicación de servicios proactivos propios de un equipo de respuesta a incidentes? Desarrollo de herramientas para la prevención de incidentes Monitoreo, Detección y Prevención de intrusiones Consultoría y concientización del personal responsable Educación y entrenamiento del personal responsable Evaluar, configurar y mantener herramientas de seguridad.
En esta fase post incidentes es necesario analizar y revisar a posteriori cada incidente de seguridad, buscando una mirada de aprendizaje para la organización como consecuencia de este, por esta razón, se elabora un informe final. Identifique cuál es uno de los aspectos fundamentales que lo consolida: Evaluar el nivel de daños y los costos asociados al incidente de seguridad para la organización para la recuperación de los distintos servicios Investigar las causas y las consecuencias del incidente usando la documentación generada por el equipo de respuestas y los registros de actividad (logs) Determinar las horas del personal dedicado al cálculo de daños y a la recuperación tanto de los equipos afectados como los datos perdidos Definir nuevas directrices y revisar las actualmente previstas por la organización para reforzar la seguridad del sistema de información Realizar seguimiento a las posibles acciones legales emprendidas contra los responsables identificados usando la documentación generada.
Un incidente puede producir efectos negativos moderados, sin que la criticidad de los recursos afectado se eleve, clasificándose como incidente “grave”. Considerando el ejemplo, analice cada caso e indique cuál es la relación correcta: Los Efectos negativos producidos / potenciales y la Criticidad del incidente son necesarios para definir la Criticidad de los recursos afectados La Criticidad de los recursos afectados y los Efectos negativos producidos / potenciales son necesarios para definir la Criticidad del incidente La Criticidad del incidente y los Efectos negativos producidos / potenciales son necesarios para definir la Criticidad de los recursos afectados Los Efectos negativos producidos / potenciales y la Criticidad de los recursos afectados son necesarios para definir la Criticidad del incidente La Criticidad de los recursos afectados y la Criticidad del incidente son necesarios para definir Los Efectos negativos producidos / potenciales.
Las evidencias volátiles son aquellas que se pierden cuando se apaga el equipo. En este caso, más que una herramienta, lo mejor será implementar el uso de comandos en un script para obtener toda la información en una única ejecución. Bajo este escenario, analice en cuáles situaciones corresponde seguir esta medida: Obtener estado de la memoria, procesos en ejecución y códigos de comprobación de integridad Obtener estado de la memoria de periféricos, memoria física y fichero temporales del sistema Obtener estado de las conexiones de red, memoria física, aplicaciones y configuraciones Obtener estado de la memoria, procesos en ejecución y estado aplicaciones y configuraciones Obtener estado de conexiones de red, memoria física y códigos de comprobación de integridad.
La organización VITALE ha sufrido un ataque informático que ha generado el mal funcionamiento de algunos de sus procesadores, causa atribuida hasta ahora al acceso no autorizado de un tercero. VITALE ha comenzado a recopilar información utilizando herramientas especializadas, permitiéndole crear una imagen de los discos duros sin necesidad de volcar la información a otro disco o unidad de almacenamiento. Analice la situación e indique en qué fase del análisis forense informático se encuentra la organización: Fase 5: Construcción del informe definitivo de análisis Etapa 3: Análisis e investigación de las evidencias Etapa 2: Adquisición de datos y recopilación de evidencias Etapa 1: Desarrollo del estudio preliminar Fase 4: Confirmación de las pruebas realizadas.
Imagine que forma parte de un equipo pericial, buscando analizar imágenes asociadas al abuso de menores de edad. Usted extrajo la totalidad de imágenes del dispositivo móvil siguiendo los protocolos respectivos, las exportó a un DVD y dejó la tarea de revisar cientos de archivos al investigador para determinar la relación con la investigación en curos. Señale qué debe hacer para mejorar esta práctica: Solicite el asesoramiento de una empresa o experto con experiencia sobre otros pasos para recolección, almacenamiento o análisis de las evidencias Construir un documento describiendo las acciones realizadas y el motivo de la selección de ciertas herramientas y procedimientos de análisis Encontrar fuentes de información para identificar las señales del incidente y buscar la relación que pueda tener con un individuo, dispositivo, lugar o evento Asegurar el dispositivo bajo peritación para que ninguna persona no autorizada tenga acceso a este, manteniendo la cadena de custodia Detallar la cantidad de archivos encontrado considerando la ubicación, el tipo de material y si éstos corresponden o no a menores de edad.
Se requiere la revisión de una imagen para extraer de ella datos de geolocalización, fecha de creación, la marca y el modelo del equipo con la que fue tomada, información que luego será comparada con una referencial. Señale qué tipo de herramientas se podrían utilizar: Basadas en Matrices de cuantización Basadas en el uso de Metadatos Basadas en Ruido de foto respuesta Basadas en Zonas clonadas Basadas en Error Level Analysis.
La empresa TELCOM ha documentado en su reporte de análisis forense la ocurrencia de una intrusión en uno de los equipos, provocando el borrado de varios archivos importantes. Se pide su apoyo para analizar el informe y evaluar qué información deberá revisar para reconstruir la secuencia temporal e identificar al atacante: Tamaño y tipo de los ficheros. logs, registro, claves y cuentas de usuarios. Permisos de acceso. Detección de los ficheros eliminados. Trazado de ruta completo. Marcas de tiempo. Direcciones de correo electrónicos recibidos, tomando la información de cabera. Permisos de acceso. Detección de los ficheros eliminados. Trazado de ruta completo. Marcas de tiempo. Tamaño y tipo de los ficheros. Usuarios y grupos a los que pertenecen los ficheros. Permisos de acceso. Detección de los ficheros eliminados. Direcciones de correo electrónicos recibidos. Tamaño y tipo de los ficheros. Usuarios y grupos a los que pertenecen los ficheros. logs, registro, claves y cuentas de usuarios. Trazado de ruta completo. Marcas de tiempo. Tamaño y tipo de los ficheros. Usuarios y grupos a los que pertenecen los ficheros. Permisos de acceso. Detección de los ficheros eliminados. Trazado de ruta completo. Marcas de tiempo.
La empresa TELCOM ha recibido el ataque informático de un malware recientemente. Actualmente el equipo de análisis forense está localizando con mucha cautela los ficheros marcados como borrados en el disco pero que no habían desaparecido aún, mirando incluso en los espacios de separación entre particiones y sectores, sin olvidar el espacio no utilizado dentro de cada uno. Analice la situación e indique en qué fase del análisis forense informático se encuentra la organización: Fase 4: Confirmación de las pruebas realizadas Etapa 1: Desarrollo del estudio preliminar Etapa 2: Adquisición de datos y recopilación de evidencias Fase 5: Construcción del informe definitivo de análisis Etapa 3: Análisis e investigación de las evidencias.
Si deseamos realizar un registro de la memoria caché de un dispositivo, el estado de las conexiones de red y los ficheros temporales del sistema. ¿Qué tipo de herramientas podríamos utilizar? Que permitan el uso de comandos en un script y obtener toda la información en una única ejecución Que permitan la clonación del dispositivo manteniendo así la cadena de custodia durante todo el proceso Que permitan proteger las evidencias digitales de factores ambientales adversos como campos magnéticos Que permitan incorporar una firma temporal (digital timestamp) en cada tipo de evidencia considerada Que permitan la generación de imágenes bit a bit, incorporando códigos de comprobación de integridad.
En el informe de análisis forense se ha descrito rigurosamente la forma en cómo el atacante entró al sistema y desde allí, la organización desea consolidar las pruebas suficientes que le indiquen quién o quiénes lo hicieron. Tu objetivo será evaluar el informe y definir una estrategia para ayudar a la empresa en su cometido: Consultar nuevamente algunas evidencias volátiles que recopiló en las primeras fases Revisar direcciones de correo electrónicos recibidos, tomando la información de cabera Revisar los registros de logs generados por el sistema al momento de la falla Verificar si el paquete de datos original se modificó en algún punto de la transmisión Revisar la distorsión de los elementos de un fichero de imagen al ser comprimido.
El análisis forense se define como una disciplina dentro de la seguridad informática cuyo objetivo fundamental es el de analizar incidentes de seguridad luego de su ocurrencia, Indique qué cuestionamientos abordar para reconstruir los hechos: ¿Quién fue el atacante?, ¿Cómo se produjo el incidente de seguridad?, ¿Cuáles han sido las vulnerabilidades explotadas? Y ¿Cuáles fueron las acciones del atacante cuando logró vulnerar al sistema? ¿Quién fue el responsable?, ¿Cuáles fueron las consecuencias de incidente de seguridad?, ¿Cuáles han sido las vulnerabilidades explotadas? Y ¿Cuáles fueron las acciones del atacante cuando logró vulnerar al sistema? ¿Quién fue el atacante?, ¿Cómo se produjo el incidente de seguridad?, ¿Cuáles han sido las vulnerabilidades explotadas? Y ¿Cuáles fueron las acciones del atacante cuando logró vulnerar al sistema? ¿Quién fue el responsable?, ¿Cómo se produjo el incidente de seguridad?, ¿Existe una normativa establecida para atender incidentes? Y ¿Cuáles fueron las acciones del atacante cuando logró vulnerar al sistema? ¿Quién fue el atacante?, ¿Cómo se produjo el incidente de seguridad?, ¿Qué información se puede extraer de un móvil? Y ¿Cuáles fueron las acciones del atacante cuando logró vulnerar al sistema?.
Un correo electrónico es manejado por un mínimo de 4 equipos. Indique cuáles son: El emisor, el servidor de correo del remitente, el servidor de correo del receptor y el mensaje recibido El emisor, el servidor de correo del remitente, el servidor de correo del receptor y la cabecera principal La cabecera, el servidor de correo del remitente, el servidor de correo del receptor y el mensaje recibido El emisor, el servidor de correo del remitente, el servidor de correo del receptor y el equipo receptor La cabecera, el servidor de correo del remitente, el servidor de correo del receptor y el equipo receptor.
Tenemos en nuestras manos un informe técnico enfocado en encontrar la localización virtual y física de un equipo con una configuración de red incorrecta, grabar y revisar las configuraciones del sistema operativo y la configuración de las aplicaciones actuales para un sistema. Analice el escenario de aplicación de este tipo de informe: Cumplimiento normativo y operativo del servicio Monitorización de logs y recuperación de datos Solución de problemas de la operatoria del servicio Recuperación de información y normalización de servicios Prevención de delitos informáticos severos.
La empresa TELCOM está realizando un estudio inicial para abordar el ataque informático de un malware recibido recientemente, realizando para ello entrevistas y revisando la documentación asociada a la ocurrencia del incidente e identificando nuevas fuentes de información de las que pueda disponer para la investigación. Analice este contexto e indique en qué fase del análisis forense informático se encuentra la organización: Etapa 1: Desarrollo del estudio preliminar Etapa 2: Adquisición de datos y recopilación de evidencias Etapa 3: Análisis e investigación de las evidencias Fase 4: Confirmación de las pruebas realizadas Fase 5: Construcción del informe definitivo de análisis .
Señale las herramientas adecuadas para un análisis forense: EnCase, Autopsy y The Forensic Toolkit Linux, Autopsy y EnCase EnCase, Autopsy y Rstudio EnCase, ExifTool y MsDos Jeffrey Exif Viewer, Autopsy y Python .
Si requerimos verificar en un correo electrónico la autenticidad, dirección, fecha, hora de emisión, recepción y la autoría si fuera posible, indique el aspecto principal a considerar para obtener esta información: Archivos adjuntos La Cabecera El cuerpo del mensaje El asunto EL CC o CCo.
Es importante para las buenas prácticas en los procesos de peritajes digitales seguir procedimientos establecidos, entre ellos normas y estándares, permitiendo ejecutar un proceso de recolección de evidencias digitales en entornos judiciales y corporativos correctamente, preservando la integridad de cada una. En este sentido, señale una buena práctica a seguir al momento de crear una imagen del disco duro de un dispositivo: Crear una copia del disco duro y realizar el análisis por conexión directa al ordenador personal Revisar un disco duro mientras este se encuentra en modo de bloqueo de escritura Clonar el disco duro, sin utilizar directamente el original y emplear una bloqueadora de escritura Revisar el disco duro manteniendo las cadenas de custodias digitales según los protocolos de ley Revisar el disco duro clonado siguiendo estándares y normas de la familia UNE 71505:2013.
Se requiere saber cómo no perder las evidencias, cómo presentarlas sin dejar dudas, bajo el hecho de que, en cada fase de gestión, donde se define, recoge, custodia y se genera un aporte, garantizando la efectividad probatoria de las evidencias. Analice la situación y señale la mejor alternativa para lograr lo planteado: Llevar un registro de cada paso dado durante el análisis forense digital Implementar el uso de modelos matemáticos para realizar el análisis Seguir los lineamientos de un plan de respuestas a incidentes de seguridad informacional Seguir lo establecido en normas y estándares como la familia UNE 71505:2013 Disponer de un conjunto de herramientas especializadas para el análisis de evidencias.
Se desea realizar un análisis de imágenes basado solo en la distorsión de los elementos propios de un fichero de imagen al momento de ser comprimido. Señale qué tipo de herramientas se podrían utilizar: Basadas en Matrices de cuantización Basadas en Ruido de foto respuesta Basadas en Zonas clonadas Basadas en Error Level Analysis (ELA) Basadas en el uso de metadatos.
Señale lo necesario para responder correctamente a cualquier incidente de seguridad de la información: Minimizar la cantidad y gravedad de los incidentes, crear un equipo de respuesta a incidentes, diseñar un plan de contención de los daños y minimizar los riesgos Minimizar la cantidad y gravedad de los incidentes, crear un CSIRT principal, definir un plan de respuesta a incidentes y minimizar los riesgos Crear un equipo de respuestas, minimizar la cantidad y gravedad de los riesgos, diseñar un plan de respuesta, contener los daños y minimizar los riesgos Crear un CSIRT, minimizar la cantidad y gravedad de los incidentes, diseñar un plan de respuesta, contener los daños y minimizar los riesgos Minimizar la cantidad de los incidentes de seguridad, crear un CSIRT principal, definir un plan de respuesta a incidentes y contener los daños.
Deseamos presentar la información obtenida del análisis forense, detallando todos los procesos, los programas utilizados, los métodos y procedimientos, debiendo crear entonces un documento que pueda servir de guía para replicar todo en caso de ser necesario. ¿Qué tipo de informe deberíamos construir? Informe calificativo Informe administrativo Informe ejecutivo Informe técnico Informe de evaluación .
¿Qué necesitamos para realizar un análisis forense? Un equipo de expertos con preparación en leyes, software y hardware apropiado y, un manual detallado con las formas de actuación Un equipo de expertos con los conocimientos suficientes y un entrenamiento adecuado, recursos y el material técnico apropiado junto a un manual Un equipo de expertos con conocimientos en informática, recursos, el material técnico apropiado y un plan de gestión de incidentes de seguridad Un equipo de expertos con los conocimientos suficientes y un entrenamiento adecuado, software y hardware apropiado, un plan de gestión de riesgos Un equipo de expertos con conocimiento en leyes e informática, recursos, el material técnico apropiado y un plan de gestión de incidentes de riesgos.
La empresa VITALE requiere analizar y correlacionar entradas de registros de distintos sistemas, con el fin de ayudarse para gestionar incidentes de seguridad, identificar violaciones de políticas y realizar procesos de auditorías. Analice qué herramientas debe utilizar: Herramientas para la generación de imágenes bit a bit Herramientas para la generación de una digital timestamp Herramientas para la monitorización de logs Herramientas para la encriptación de archivos Herramientas para recuperar datos eliminados .
|
