jueves, 22 de mayo de 2014

Forensic Readiness

Las empresas de hoy en día, que confían en los sistemas de información para el desarrollo de sus actividades, quedan expuestas a sufrir algún incidente - ya sea accidental o intencionado - que afecte a estos sistemas.  Cuando se produce un incidente o desastre, una de las principales preocupaciones por parte de los responsables es que el negocio debe continuar.

Para ello se dispone de diferentes estrategias tales como planes de continuidad de negocio (BCP), procedimientos de recuperación ante desastres (DR), respuesta ante incidentes, etc. orientadas a restaurar los elementos de información afectados de modo que se pueda continuar con la operativa del negocio tras el incidente.

No obstante, como consecuencia de este incidente, la organización puede verse involucrada en una situación de incumplimiento normativo, reclamaciones de aseguradoras, responsabilidades legales, etc. las cuales podrían derivar en actuaciones judiciales frente a empleados, clientes, usuarios, proveedores, etc.

Es en este punto cuando las evidencias digitales adquieren una gran importancia (aun cuando se trate de empresas que no dependan excesivamente de las TI) y se hace necesario el uso de herramientas y técnicas de análisis forense digital para obtener las evidencias de lo que ha sucedido.

Hablaremos de un concepto clave: "Forensic readiness".  Readiness, en inglés, se refiere al estado de estar bien preparado para algo, incluso tiene una connotación de inmediatez, estar bien preparado en el instante preciso.  Puesto que no he encontrado ninguna traducción que me satisfaga, lo traduciré aquí como "Preparación Forense" o "Preparación Forense Digital".

Definición:

En un artículo publicado en 2004 por Robert Rowlingson en "International Journal of Digital Evidence" se proponía la siguiente definición:
"la capacidad de una organización para obtener el máximo de evidencias digitales,
reduciendo al mínimo los costes de una investigación"

Así pues, se trata de ganar en efectividad, de forma que la recuperación de evidencias se haga en el mínimo tiempo posible y con un coste reducido, lo que nos debería llevar, en definitiva, a disponer de las evidencias digitales antes de que ocurra la incidencia, y sin necesidad de interrumpir las operaciones.


Para ello será necesario establecer los mecanismos adecuados de recolección de evidencias digitales durante la operativa diaria de la organización.  Aunque mucha de esa información ya se contempla en los planes de DR, BCP o en políticas de Retención de Datos (por ejemplo, gracias a los Backups), hay otra información relevante como logs, correos electrónicos, registro de llamadas, mensajes en redes sociales, actividad de los dispositivos móviles, registros de trabajos en impresoras, etc. que también pueden ser de gran utilidad. 

No es viable (ni práctico) recopilar y almacenar evidencias de todo lo que sucede en la organización.  La gran cuestión aquí es determinar qué evidencias digitales vamos a necesitar y cuándo.

Sin una correcta preparación forense podemos encontrarnos con que o no disponemos de las evidencias, o el coste de obtención es excesivo, o -aun disponiendo de ellas- no tienen ninguna validez legal ante un tribunal (por ejemplo porque no se ha conservado la cadena de custodia en su recolección, almacenamiento y traslado).  

Beneficios:

En el primer número de 2014 de ISACA Journal, se publicó el artículo "Importance of Forensic Readiness" en el que su autor (Dauda Sule, CISA) enumeraba los siguientes beneficios de un plan de preparación forense:

  • Proporciona inmediatamente las evidencias necesarias
  • Minimiza el coste de la investigación
  • Reduce los costes legales y la posibilidad de sanciones
  • Proyecta una buena imagen de la empresa
  • Detecta brechas de seguridad antes de que sea demasiado tarde
  • Reduce el riesgo de ataques internos

Implementación:

En la figura 1 se muestra el modelo de referencia de la prueba electrónica (EDRM), que describe el proceso de adquisición y tratamiento de evidencias electrónicas.

Fig.1: Electronic Discovery Reference Model (con permiso de EDRM (www.edrm.net))

Para facilitar la implementación de un plan de preparación forense, Rowlingson propone estos 10 pasos en "A Ten Step Process for Forensic Readiness":
  1. Definir los escenarios del negocio que puedan requerir evidencias digitales
  2. Identificar los tipos y las fuentes de potenciales evidencias digitales
  3. Determinar los requisitos de recolección de evidencias
  4. Establecer los procedimientos para una recolección segura y legalmente admisible de las evidencias
  5. Establecer una política de manipulación y almacenamiento seguro de las evidencias (cadena de custodia)
  6. Asegurar que las herramientas de monitorización permiten una detección temprana y ayuden a evitar que los incidentes pasen a mayores consecuencias
  7. Especificar bajo que circunstancias concretas un incidente dará lugar a una investigación formal
  8. Formación de los usuarios, para que cada uno conozca su papel en el proceso
  9. Documentar completamente el incidente, su impacto y las evidencias recopiladas
  10. Contar con el asesoramiento legal necesario para facilitar la respuesta al incidente
Referencias:

Enlaces a las publicaciones o artículos citados:

[1] Sule, Dauda; "Importance of Forensic Readiness", ISACA Journal Online, Volume 1,  February 2014,
http://www.isaca.org/Journal/Past-Issues/2014/Volume-1/Pages/JOnline-Importance-of-Forensic-Readiness.aspx

[2] Rowlingson, Robert; "A Ten Step Process for Forensic Readiness", International Journal of Digital Evidence, vol. 2, iss. 3, Winter 2004,
https://www.utica.edu/academic/institutes/ecii/publications/articles/A0B13342-B4E0-1F6A-156F501C49CF5F51.pdf

[3] Digital Continuity to Support Forensic Readiness, Version 1.2, The National Archives, UK, 2011
http://www.nationalarchives.gov.uk/documents/information-management/forensic-readiness.pdf

[4] Sommer, Peter; Digital Evidence, Digital Investigations and E-Disclosure: A guide to Forensic readiness for organisations, security advisers and lawyers, Fourth Ed., IAAC, November 2013,
http://www.iaac.org.uk/itemfiles/DigitalInvestigations2013.pdf

[5] Electronic Discovery Reference Model, v.3.0, EDRM, 2014,
http://www.edrm.net/resources/edrm-stages-explained

No hay comentarios:

Publicar un comentario