Implementación de preparación forense para la continuidad digital

Título:

Implementación de preparación forense para la continuidad digital

Autor:

Tugnarelli, Mónica D.

Otros autores / Colaboradores:

 Díaz, Francisco Javier; [ Director/a] 

Temas:

SEGURIDAD EN REDES; FORENSIA INFORMÁTICA; DERECHO; ORGANIZACIONES; SEGURIDAD Y PROTECCIÓN; 

URL:

http://sedici.unlp.edu.ar/handle/10915/97968,https://doi.org/10.35537/10915/97968,

Nota de tesis:

Tesis (Maestría en Redes de Datos) - Universidad Nacional de La Plata. Facultad de Informática, 2019.

Extensión:

1 archivo (2,48 MB) : il. col.

Resumen:

Una arquitectura de seguridad informática bien definida debe brindar un plan y un conjunto de políticas que describan tanto los servicios de seguridad ofrecidos a los usuarios como los componentes del sistema requeridos para implementar dichos servicios. Cuando se produce un incidente o amenaza de seguridad, en el cual un recurso del sistema queda comprometido o potencialmente expuesto a accesos no autorizados, esta arquitectura de seguridad se ve vulnerada. Considerando la fragilidad y volatilidad de un evento digital, las técnicas y metodologías de forensia informática deben asegurar que se pueda determinar adecuadamente el qué, quién, cuándo y cómo sucedió el incidente de seguridad, así como también ocuparse de la correcta preservación de los datos que pueden recolectarse. Frente a este desafío la metodología Forensic Readiness avanza hacia la protección de datos considerados evidencia digital desde el inicio, desde su selección como tal y aún antes de la posible ocurrencia de un incidente de seguridad informática. Esta tesis de Maestría tiene por objetivo general realizar un análisis comparativo de modelos de implementación de dicha metodología, denominada también Preparación Forense, como una posible estrategia para la continuidad digital y la protección preventiva de los activos de una organización. Como objetivo específico el trabajo apunta a confeccionar un conjunto de Buenas Prácticas para la implementación de la metodología Forensic Readiness en una organización. Para el logro de los objetivos, se analizaran las diversas etapas que sustentan esta metodología que propone que los datos se recolecten a priori de un incidente de seguridad y que se resguarden como posible evidencia digital buscando cumplir con dos objetivos primordiales: maximizar la capacidad del entorno para reunir evidencia digital confiable y minimizar el costo forense durante la respuesta a un incidente. Al respecto, la premisa es que esos datos puedan ser pasibles de ser utilizados no solo como insumo para el análisis de incidentes y como entorno de recuperación para la continuidad del negocio, sino también como prueba legal, lo que involucra el aseguramiento de la prueba a medida que se realiza la recolección activa de los datos. Para efectuar un análisis comparativo adecuado de las prestaciones de este enfoque preventivo se lo contrastará con un enfoque reactivo, donde los datos se recolectan a posteriori de un incidente lo cual está más relacionado con las tareas de análisis forense y pericias informáticas sobre un evento consumado. 5 Desde el punto de vista práctico se configurará un entorno de prueba, se realizará un análisis de riesgo sobre activos identificados en una organización ficticia, se determinaran criterios y puntos de control sobre servidores web que implementan el protocolo HTTP en sus versiones 1.x y el reciente HTTP /2 y se simulará un ataque de Denegación de Servicio para capturar trafico a los fines de conocer el comportamiento del sistema y aspectos relacionados al resguardo de evidencia

Puede solicitar más fácilmente el ejemplar con: TES 19/31

PRESENTACIÓN DE TESIS 

CAPITULO 1. INCIDENTES DE SEGURIDAD INFORMÁTICA 
1.1 INTRODUCCIÓN 
1.2 FORENSIA INFORMÁTICA 
1.3 ACTIVOS DE INFORMACIÓN 

CAPITULO 2. ESTÁNDARES Y MODELOS APLICABLES A LA RECOLECCIÓN DE EVIDENCIA DIGITAL 
2.1 INTRODUCCIÓN 
2.2 EVIDENCIA DIGITAL 
2.3 ESTÁNDARES Y MODELOS 
2.3.1 RFC-3227: DIRECTRICES PARA LA RECOLECCIÓN DE EVIDENCIAS Y SU ALMACENAMIENTO 
2.3.2 ISO/IEC 27037:2012 INFORMATION TECHNOLOGY. SECURITY TECHNIQUES. GUIDELINES FOR IDENTIFICATION, COLLECTION, ACQUISITION AND PRESERVATION OF DIGITAL EVIDENCE 
2.3.3 STANDARD AUSTRALIA INTERNATIONAL: HB: 171 2003 GUIDELINES FOR THE MANAGEMENT OF IT EVIDENCE 
2.3.4 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). GUIDE TO INTEGRATING FORENSIC TECHNIQUES INTO INCIDENT RESPONSE. 
2.3.5 ACORDADA MINISTERIOS PÚBLICOS DEL MERCOSUR. GUÍA DE OBTENCIÓN, PRESERVACIÓN Y TRATAMIENTO DE EVIDENCIA DIGITAL 

CAPITULO 3. METODOLOGÍAS DE RECOLECCIÓN DE DATOS DIGITALES. FORENSIC READINESS 
3.1 INTRODUCCIÓN 
3.2 ENFOQUES DE RECOLECCIÓN DE DATOS 
3.2.1 ENFOQUE REACTIVO - RECOLECCIÓN DE DATOS A POSTERIORI DE UN EVENTO DE SEGURIDAD. 
3.2.2 ENFOQUE PREVENTIVO-RECOLECCIÓN DE DATOS A PRIORI DE UN EVENTO DE SEGURIDAD. FORENSIC READINESS 
3.2.3 MODELADO DE LA PREPARACIÓN FORENSE 
3.2.4 FACTORES EN LA PLANIFICACIÓN FORENSE 

CAPITULO 4. CONTINUIDAD DIGITAL PARA EL SOPORTE DE FORENSIC READINESS 
4.1 INTRODUCCIÓN 
4.2 CONTINUIDAD DIGITAL 

CAPITULO 5. BUENAS PRÁCTICAS EN LA IMPLEMENTACIÓN DE FORENSIC READINESS 
5.1 INTRODUCCIÓN 
5.2 PREPARACIÓN FORENSE: GUÍA DE BUENAS PRÁCTICAS 
5.2.1 ETAPAS 
Etapa 1. Compromiso de la Dirección 
Etapa 2. Evaluación de diagnóstico 
Etapa 3. Especificación de activos esenciales 
Etapa 4. Implementación 
Etapa 5. Seguimiento/Revisión 

CAPITULO 6. PRESENTACIÓN DE UN CASO DE UTILIZACIÓN DE BUENAS PRÁCTICAS EN ENTORNOS FORENSIC READINESS 
6.1 INTRODUCCIÓN 
6.2 PROTOCOLO HTTP 
6.3 SEGURIDAD EN HTTP 
6.4 IDENTIFICACIÓN DE ACTIVOS. ANÁLISIS DE RIESGO 
6.4.1 ALCANCE DEL ANÁLISIS DE RIESGO 
6.4.2 IDENTIFICACIÓN DE LOS ACTIVOS 
6.4.3 AMENAZAS 
6.4.4 SALVAGUARDAS 
6.5 PUNTOS DE CONTROL HTTP 
6.6 ENFOQUE PREVENTIVO. RECOLECCIÓN Y RESGUARDO DE EVIDENCIA 
6.7 SIMULACIÓN DE ATAQUE DE DENEGACIÓN DE SERVICIOS (DOS) 
6.8 ANÁLISIS DE WEBLOGS 

CONCLUSIONES 

FUTURAS LÍNEAS DE INVESTIGACIÓN 

BIBLIOGRAFÍA 

BIBLIOGRAFÍA COMPLEMENTARIA 

TABLA DE ILUSTRACIONES