Auditoria y

Seguridad
Informtica
Forense
SEGURIDAD DIGITAL

1
JUAN SALVADOR SANTIBAEZ
HEIDY VIRGINIA DIAZ LADRON DE GUEVARA | 00000000-00

2
Tabla de contenido
INTRODUCCION ....................................................................................................
...................... 3
AUDITORA DE SEGURIDAD INFORMTICA.
................................................................... 4
Fases de una auditoria de seguridad
informatica....................................................... 4
EL AUDITOR INFORMTICO
................................................................................................... 4
Caractersticas del auditor
informtico.............................................................................. 4
PASOS PARA REALIZAR UNA AUDITORIA.
...................................................................... 5
Conclusin ...........................................................................................................
......................... 6
Introduccin ..........................................................................................................
........................ 7
Qu es la Informtica
Forense?............................................................................................. 8
Importancia de la Informtica
Forense............................................................................... 8
Objetivos de la Informtica Forense
................................................................................... 8
Usos de la Informtica Forense [InfFor01]
........................................................................ 8
CIENCIA
FORENSE...........................................................................................................
....... 9
El objetivo es establecer una relacin entre los diferentes componentes: ...........
10
Conclusiones ........................................................................................................
...................... 11
Bibliografa............................................................................................................
....................... 12
INTRODUCCION

La auditora en general, es descrita como la funcin de medir algo en

comparacin con un estndar. Mientras que los auditores de sistemas tienden a
enfocarse en utilizar la auditora para medir la seguridad a lo largo del tiempo, en
realidad la auditora puede aplicarse a cualquier cosa.
Los tres lugares ms efectivos para aplicar la auditora en las tecnologas de
la informacin son:

1. A nivel Polticas
2. A nivel Procedimiento
3. A nivel Sistema

Se puede llamar al nivel como nivel aplicacin, sin embargo no significa software,
si no el punto donde se aplican las polticas y procedimientos.
Las auditoras son de varias formas y tamaos, entre las ms comunes se
encuentra la de alineacin.
Una auditora de alineacin o cumplimiento consiste en medir que tan bien un
sistema o proceso se alinea con las polticas y/o procedimientos que han sido
definidos en la organizacin. Una auditora de seguridad, es una auditora ms
general utilizada para medir una poltica, procedimiento o la misma auditora en
base a una mejor prctica, para determinar si es necesaria una mejora en
particular.

Una definicin simple de auditora es que la Auditora contesta a la pregunta:

Cmo sabes si? Por ejemplo considere las siguientes preguntas por cada
rubro:
Implementacin de Poltica de Seguridad en su organizacin
o Cmo sabe si es efectiva?
o Cmo sabe si los empleados la siguen?
Instalacin de nuevo firewall (o cualquier otro sistema)
o Cmo sabe si realmente protege a la organizacin?

Como puede ver, no importa lo que una organizacin haga para protegerse,
se debe de preguntar, Cmo sabes s..?, y los auditores contestan esta
pregunta por medio de la validacin.
AUDITORA DE SEGURIDAD INFORMTICA.

Una auditora de seguridad informtica o auditora de seguridad de

sistemas de informacin (SI) es el estudio que comprende el anlisis y gestin
de sistemas llevados a cabo por profesionales para identificar, enumerar y
posteriormente describir las diversas vulnerabilidades que pudieran presentarse
en una revisin exhaustiva de las estaciones de trabajo, redes
de comunicaciones o servidores.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los
responsables quienes debern establecer medidas preventivas de refuerzo y/o
correccin siguiendo siempre un proceso secuencial que permita a los
administradores mejorar la seguridad de sus sistemas aprendiendo de los errores
cometidos con anterioridad.
Las auditoras de seguridad de SI permiten conocer en el momento de su
realizacin cul es la situacin exacta de sus activos de informacin en cuanto a
proteccin, control y medidas de seguridad.
Fases de una auditoria de seguridad informa tica
1. Enumeracin de redes, topologas y protocolos.
2. Identificacin de sistemas y dispositivos.
3. Identificacin de los sistemas operativos instalados.
4. Anlisis de servicios y aplicaciones.
5. Deteccin, comprobacin y evaluacin de vulnerabilidades.
6. Medidas especficas de correccin Recomendaciones sobre implantacin
de medidas preventivas.

EL AUDITOR INFORMTICO
El auditor informtico ha de velar por la correcta utilizacin de los amplios
recursos que la empresa pone en juego para disponer de un eficiente y eficaz
sistema de Informacin.
Caractersticas del auditor informtico
1. Se deben poseer una mezcla de conocimientos de auditora financiera y
de informtica en general. En el rea informtica, se debe tener
conocimientos bsicos de: Desarrollo de SI, Sistemas operativos,
Telecomunicaciones, Administracin de Bases de Datos, Redes locales,
Seguridad fsica, Administracin de Datos, Automatizacin de oficinas
(ofimtica), Comercio electrnico, de datos, etc.
2. Especializacin en funcin de la importancia econmica que tienen
distintos componentes financieros dentro del entorno empresarial.
3. Debe conocer tcnicas de administracin de empresas y de cambio, ya
que las recomendaciones y soluciones que aporte deben estar alineadas a
los objetivos de la empresa y a los recursos que se poseen.
4. Debe tener un enfoque de Calidad Total, lo cual har que sus conclusiones
y trabajo sean reconocidos como un elemento valioso dentro de la
empresa y que los resultados sean aceptados en su totalidad.
PASOS PARA REALIZAR UNA AUDITORIA.

1. ANLISIS
No todas las empresas tienen los mismos objetivos cuando encargan una
auditora informtica. Quizs, su red informtica es perfecta y sus equipos
fsicamente no les producen el menor problema. Pero s tienen problemas en
cuanto a la seguridad informtica de los equipos. Por tanto, el primer paso en una
auditora ser determinar los objetivos que se tienen y, en segundo lugar, hacer
un inventario de todos los aspectos concernientes a los sistemas y usos
informticos en la empresa, con lo que ser inevitable una estrecha colaboracin
entre gerente, empleados y tcnicos informticos.
2. PLANIFICACIN
Cuando tenemos claros los objetivos de la auditora informtica y tenemos un
inventario de los componentes informticos que hay, as como los usos ms
habituales dentro de la empresa, planificamos nuestra auditora a travs de
herramientas de anlisis. Cmo vamos a evaluar cada uno de los puntos que
hemos analizado y de acuerdo con qu criterios. Por ejemplo, puede que el
empresario quiera saber si sus equipos informticos son los ms idneos para
ofrecer un servicio efectivo en produccin de vdeos. El resultado de la auditora
puede ser, por ejemplo, que para cumplir sus objetivos el material del que
dispone no es lo suficiente efectivo.
3. DETERMINACIN DE RIESGOS E INCIDENCIAS.
El mantenimiento preventivo y predictivo es clave en toda auditora
informtica. No se trata slo de analizar ahora cuntas incidencias o problemas
se estn produciendo en este momento, sino los posibles riesgos que existen de
que se produzca un problema en el futuro. Las empresas deben prever estos
problemas mediante unas prcticas de mantenimiento efectivas, sobre todo en
cuanto a seguridad informtica.
4. EJECUCIN
Por ltimo, se tomarn medidas ejecutivas para resolver los problemas que ya
estn produciendo y prevenir los riesgos que se podran producir. A partir de ah,
lo normal es elaborar un presupuesto con los puntos que habra que corregir para
que se cumplan los objetivos de la empresa, ya sea mejorar la seguridad
informtica porque han tenido problemas de ataques informticos, o adecuar sus
sistemas a un determinado objetivo de productividad.
Conclusin

La auditora en informtica es la revisin y la evaluacin de los controles,

sistemas, procedimientos de informtica; de los equipos de cmputo, su
utilizacin, eficiencia y seguridad, de la organizacin que participan en el
procesamiento de la informacin, a fin de que por medio del sealamiento de
cursos alternativos se logre una utilizacin ms eficiente y segura de la
informacin que servir para una adecuada toma de decisiones.
La auditora en informtica deber comprender no slo la evaluacin de los
equipos de cmputo, de un sistema o procedimiento especfico, sino que adems
habr de evaluar los sistemas de informacin en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtencin de informacin.
La auditora en informtica es de vital importancia para el buen desempeo de los
sistemas de informacin, ya que proporciona los controles necesarios para que
los sistemas sean confiables y con un buen nivel de seguridad. Adems debe
evaluar todo (informtica, organizacin de centros de informacin, hardware y
software).
Introduccin

La informtica forense est adquiriendo una gran importancia dentro del rea
de la informacin electrnica, esto debido al aumento del valor de la
informacin y/o al uso que se le da a sta, al desarrollo de nuevos espacios
donde es usada (por Ej. El Internet), y al extenso uso de computadores por
parte de las compaas de negocios tradicionales (por Ej. bancos). Es por esto
que cuando se realiza un crimen, muchas veces la informacin queda
almacenada en forma digital. Sin embargo, existe un gran problema, debido a
que los computadores guardan la informacin de informacin forma tal que
no puede ser recolectada o usada como prueba utilizando medios comunes,
se deben utilizar mecanismos diferentes a los tradicionales. Es de aqu que
surge el estudio de la computacin forense como una ciencia relativamente
nueva.
Resaltando su carcter cientfico, tiene sus fundamentos en las leyes de la
fsica, de la electricidad y el magnetismo. Es gracias a fenmenos
electromagnticos que la informacin se puede almacenar, leer e incluso
recuperar cuando se crea eliminada.

La informtica forense, aplicando procedimientos estrictos y rigurosos puede

ayudar a resolver grandes crmenes apoyndose en el mtodo cientfico,
aplicado a la recoleccin, anlisis y validacin de todo tipo de pruebas digitales.
Qu es la Informtica Forense?

Segn el FBI, la informtica (o computacin) forense es la ciencia de

adquirir, preservar, obtener y presentar datos que han sido procesados
electrnicamente y guardados en un medio computacional [ReEx00].

La informtica forense hace entonces su aparicin como una disciplina auxiliar

de la justicia moderna, para enfrentar los desafos y tcnicas de los intrusos
informticos, as como garante de la verdad alrededor de la evidencia digital
que se pudiese aportar en un proce[Acis06].

Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el

cumplimiento de la ley empezaron a desarrollar programas para examinar
evidencia computacional.

Importancia de la Informtica Forense

"High-tech crime is one of the most important priorities of the Department of

Justice"[JaRe96]. Con esta frase podemos ver cmo poco a poco los crmenes
informticos, su prevencin, y procesamiento se vuelven cada vez ms
importantes. Esto es respaldado por estudios sobre el nmero de incidentes
reportados por las empresas debido a crmenes relacionados con la
informtica. (Ver [CERT06])
Sin embargo, la importancia real de la informtica forense proviene de sus
objetivos.

Objetivos de la Informtica Forense

La informtica forense tiene 3 objetivos, a saber:

1. La compensacin de los daos causados por los criminales o intrusos.

2. La persecucin y procesamiento judicial de los criminales.
3. La creacin y aplicacin de medidas para prevenir casos similares.

Estos objetivos son logrados de varias formas, entre ellas, la principal es la

recoleccin de evidencia.

Usos de la Informtica Forense [InfFor01]

Existen varios usos de la informtica forense, muchos de estos usos provienen

de la vida diaria, y no tienen que estar directamente relacionados con la
informtica forense:

1. Prosecucin Criminal: Evidencia incriminatoria puede ser usada para

procesar una variedad de crmenes, incluyendo homicidios, fraude
financiero, trfico y venta de drogas, evasin de impuestos o
pornografa infantil.
2. Litigacin Civil: Casos que tratan con fraude, discriminacin, acoso,
divorcio, pueden ser ayudados por la informtica forense.
 3. Investigacin de Seguros: La evidencia encontrada en
computadores, puede ayudar a las compaas de seguros a disminuir
los costos de los reclamos por accidentes y compensaciones.
4. Temas corporativos: Puede ser recolectada informacin en casos que
tratan sobre acoso sexual, robo, mal uso o apropiacin de informacin
confidencial o propietaria, o an de espionaje industrial.
5. Mantenimiento de la ley: La informtica forense puede ser usada en
la bsqueda inicial de rdenes judiciales, as como en la bsqueda de
informacin una vez se tiene la orden judicial para hacer la bsqueda
exhaustiva.

CIENCIA FORENSE

La ciencia forense nos proporciona los principios y tcnicas que facilitan la

investigacin del delito criminal, en otras palabras: cualquier principio o tcnica
que puede ser aplicada para identificar, recuperar, reconstruir o analizar la
evidencia durante una investigacin criminal forma parte de la ciencia forense.
[ForIRT01]

Los principios cientficos que hay detrs del procesamiento de una evidencia
son reconocidos y usados en procedimientos como:

Recoger y examinar huellas dactilares y ADN.

Recuperar documentos de un dispositivo daado.
Hacer una copia exacta de una evidencia digital.
Generar una huella digital con un algoritmo hash MD5 o SHA1 de un
texto para asegurar que este no se ha modificado.
Firmar digitalmente un documento para poder afirmar que es
autntico y preservar la cadena de evidencias.

Un forense aporta su entrenamiento para ayudar a los investigadores a

reconstruir el crimen y encontrar pistas. Aplicando un mtodo cientfico analiza
las evidencias disponibles, crea hiptesis sobre lo ocurrido para crear la
evidencia y realiza pruebas, controles para confirmar o contradecir esas
hiptesis. Esto puede llevar a una gran cantidad de posibilidades sobre lo que
pudo ocurrir, esto es debido a que un forense no puede conocer el pasado, no
puede saber qu ocurri ya que slo dispone de una informacin limitada. Por
esto, slo puede presentar posibilidades basadas en la informacin limitada
que posee.

Evidencia transitoria: como su nombre indica es temporal por

naturaleza, por ejemplo un olor, la temperatura, o unas letras sobre la
arena o nieve (un objeto blando o cambiante).
Evidencia curso o patrn: producidas por contacto, por ejemplo la
trayectoria de una bala, un patrn de rotura de un cristal, patrones de
posicionamiento de muebles, etc.
Evidencia condicional: causadas por una accin o un evento en la
escena del crimen, por ejemplo la localizacin de una evidencia en
relacin con el cuerpo, una ventana abierta o cerrada, una radio
encendida o apagada, direccin del humo, etc.
 Evidencia transferida: generalmente producidas por contacto entre
personas, entre objetos o entre personas y objetos. Aqu descubrimos el
concepto de relacin.

En la prctica las evidencias transferidas se dividen en dos tipos, conocidas

como:

Transferencia por rastro: aqu entra la sangre, semen, pelo, etc.

Transferencia por huella: huellas de zapato, dactilares, etc.

Aunque en la realidad, estas ltimas suelen mezclarse, por ejemplo una huella
de zapato sobre un charco de sangre.

El principio de intercambio de Locard se puede resumir as:

1. El sospechoso se llevar lejos algn rastro de la escena y de la vctima.

2. La vctima retendr restos del sospechoso y puede dejar rastros de si
mismo en el sospechoso.
3. El sospechoso dejar algn rastro en la escena.

El objetivo es establecer una relacin entre los diferentes componentes:

la escena del crimen

la vctima
la evidencia fsica
el sospechoso

Para la correcta resolucin del caso, todos estos componentes deben estar
relacionados. Esto se conoce como el concepto de relacin, que es lo que
nos faltaba para completar el principio de intercambio de Locard.

Las evidencias pueden, a su vez, ser transferidas de dos formas distintas:

1. Transferencia directa: cuando es transferida desde su origen a otra

persona u objeto de forma directa.
2. Transferencia indirecta: cuando es transferida directamente a una
localizacin y, de nuevo, es transferida a otro lugar.

Importante resaltar que cualquier cosa y todo puede ser una evidencia.

Brevemente, la ciencia forense facilita las herramientas, tcnicas y mtodos

sistemticos (pero cientficos) que pueden ser usados para analizar una
evidencia digital y usar dicha evidencia para reconstruir qu ocurri durante la
realizacin del crimen con el ltimo propsito de relacionar al autor, a la vctima
y la escena del crimen.
Conclusiones

En la actualidad el valor de la informacin est en aumento, con ello debemos de

preocuparnos ms por protegerla. La informtica forense nace a raz de esta
preocupacin, buscando tanto la prevencin como la reaccin y correccin a
problemas que puedan afectar los sistemas de informacin.
Para la buena aplicacin preventiva de la informtica forense es necesaria la
realizacin de auditoras continuas en los sistemas, y la correccin de los errores
encontrados en los mismos. Tambin se necesita establecer polticas de
seguridad para usuarios y para el uso de los sistemas de informacin, con el fin
de minimizar la posibilidad de infiltraciones por alguna negligencia por parte de
los usuarios o alguna falla en los procedimientos.
Bibliografa

[ReEx00] Michael G. Noblett. (2000) Recovering and Examining Computer

Forensic Evidence. Disponible en:
http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm

[ScWo00] Scientific Working Group on Digital Evidence (SWGDE) (2000)

Digital Evidence: Standards and Principles. Disponible en:
http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm

[InfFor01] scar Lpez, Haver Amaya, Ricardo Len. (2001) Informtica

forense: generalidades, aspectos tcnicos y herramientas

[ForIRT01] Antonio Javier Garca Martnez. (2001) LA FORMACIN DE UN IRT

(Incident Response Team) FORENSE

[ComEvi01] Computer Evidence Defined

http://www.forensics-intl.com/def3.html

[BueAdm06] Cano Martines Jeimy Jos. (2006) Buenas prcticas en la

administracin de la evidencia digital Disponible:
http://gecti.uniandes.edu.co/docs/buenas%20practica%20evidencia%20dig
ital%20jcano.pdf [May 2006]

[DaVa01] Brian Deering. Data Validation Using The Md5

Hash http://www.forensics-intl.com/art12.html

[JaRe96] Janet Reno, U.S. Attorney General, Oct 28, 1996

[CERT06] CERT/CC Statistics 1988-2006 Disponible en:

http://www.cert.org/stats/cert_stats.html

[HBIT03] HB171:2003 Handbook Guidelines for the management of IT

evidence Disponible en:

http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN016
411.pdf

[Casey04] CASEY, Eoghan. Digital Evidence and Computer Crime: Forensic

Science, Computers, and the Internet. 2004

[EviDig05] Cano Martines Jeimy Jos, Mosquera Gonzlez Jos Alejandro,

Certain Jaramillo Andrs Felipe. Evidencia Digital: contexto, situacin e
implicaciones nacionales. Abril de 2005.
http://derecho.uniandes.edu.co/derecho1/export/derecho/descargas/texto/
NasTecnologias6.pdf