domingo, 7 de julio de 2019

resumen capitulo 4 informática


4 EL ADMINISTRADOR Y LA INFRAESTRUCTURA DE LA SEGURIDAD INFORMÁTICA

Revisar y analizar el papel y las responsabilidades del administrador de sistemas.
Describir algunas consideraciones de diseño de infraestructuras de seguridad
Estudiar algunas técnicas básicas para el diseño y la generación de rastros
Presentar los conceptos básicos de auditabilidad trazabilidad
Estudiar y analizar algunas consideraciones jurídicas y aspectos de los rastros en las
plataformas tecnológicas.


Gran parte de la responsabilidad de la configuración de las infraestructuras informáticas recae sobre los llamados administradores del sistema. En el contexto de este libro, por administrador del sistema entenderemos aquel profesional especializado en la configuración y el afinamiento de los diferentes elementos de la infraestructura informática, para Io cual debe contar con buenas prácticas de aseguramiento tecnológico, competencia y habilidad técnica, y con un alto sentido de la confidencialidad, integridad y disponibilidad de los activos que tiene a cargo. Estos profesionales se enfrentan al reto de mantener operacional una infraestructura, y a ser los primeros en contacto
con la materialización de la inseguridad de la información, bien sea por una falla propia del equipo o de los equipos que se administran, por una acción deliberada desarrollada, efectuada por un intruso o por una falla operacional del mismo administrador. Ante una falla de seguridad de la
información, los administradores son los primeros que deben reaccionar y aportar su visión integral del entendimiento de la infraestructura, con el fin de orientar y avanzar en la detección y el análisis del incidente de seguridad. Este apoyo se convierte en insumo fundamental de la investigación que se adelante, pues de esta manera se puede avanzar en la identificación del ataque y los atacantes, y así evitar que el probable infractor se mimetice dentro de las evidencias que se puedan recabar. En las secciones siguientes profundizaremos en aspectos críticos de este profesional informático, para comprender ese segundo papel de los investigadores forenses, ahora en la formalidad de la operación de la infraestructura de computación y las características de seguridad informática. requeridas para detectar e identificar las posibles intrusiones informáticas.
del administrador de sistemas En la actualidad existen muchos profesionales de tecnologías
de información, cuyo cargo se denomina "administrador del sistema", esa persona que está a cargo del sistema (hardware, software, procedimientos), a quien se acude cuando existe
algún tipo de inconformidad con algún elemento del mismo. En organizaciones pequeñas (menos de 500 empleados) generalmente este cargo es desempeñado por una persona que asume
la responsabilidad por mantener la operación, la continuidad. La seguridad y la disponibilidad de la infraestructura informática  
En organizaciones medianas (más de 500 y menos de 1.000 empleados) este mismo Cargo se especializa más, y Se entiende como el de aquellos profesionales encargados de la configuración y el afinamiento de los componentes de computación y comunicaciones que permiten una adecuada operación y el funcionamiento de los mismos. Ya los temas de seguridad y continuidad se entregan a otras áreas especializadas (que pueden o no estar dentro del área de tecnología) que interactúan de manera con los administradores, para concretar las estrategias de disponibilidad y protección de la información de sus áreas de responsabilidad. En organizaciones grandes (más de 1.000 empleados), el administrador del sistema es aquella persona que se denomina un especialista de plataforma, personal especializado en sistemas operacionales, bases de datos, respaldos, afinamientos y ajustes de parámetros de servidores, que mantienen la operación al día. En este escenario, la función de seguridad de la información y la de continuidad están fuera del Independiente del tipo de organización el que se analice, el de administración del sistema tiene un componente operacional propio de su papel y de seguridad y control que debe ser parte de las actividades previstas para esa administración. Sin embargo, muchos administradores se encuentran con el dilema de dar prioridad a la funcionalidad perspectiva pueden de una aplicación. El cargo de administrador del sistema, o system nace la puesta en operación de los primeros donde el trabajo era tan que se tenía el de operador. administrador y programador del sistema. Estos tres cargos. sugeridos por los primeros proveedores de sistemas computacionales. describían con claridad los limites dc cada cargo. Para el operador su función principal era ejecutar comandos en cl sistema (detallados v registrados en una bitácora de
actividades), los cuales eran ordenados por el administrador del sistema. así como monitorear el buen funcionamiento de los procesos o los trabajos que se ejecutaban en él. El administrador del sistema era la persona especializada tanto en el software base de las máquinas, como en la configuración del sistema. el dueño de los parámetros básicos del hardware y del software. siguiendo las recomendaciones del proveedor El administrador tiene a su cargo la historia de
cambios. actualizaciones y ajuste de las máquinas y el software en el transcurso del tiempo. Este cargo no opera el sistema, tiene permisos restringidos y monitoreo de sus acciones sobre
los parámetros del hardware y software. El programador del sistema, a diferencia del administrador, era aquella persona que, utilizando la configuración base del sistema ofrecida. implementada por el administrador, desarrollaba y programaba trabajos especializados en la máquina que permiten la funcionalidad de las aplicaciones que allí se ejecutan. El programador habla con las áreas de negocio para establecer los requerimientos de las operaciones solicitadas,
para cumplir con las necesidades de la empresa. Si bien, aún en esta época, el lenguaje del programador del sistema es altamente técnico. las áreas de negocio debían hacer un esfuerzo
importante para que ese profesional entendiera sus solicitudes.
Como podemos ver. son tres cargos en que cada uno desarrollaba un espectro de actividades que. adecuadamente coordinadas, funcionaban y daban cumplimiento a lo que se especificaba en la organización. Con el paso del tiempo, las organizaciones se hicieron más complejas. con mayores exigencias y requisitos. pues el entorno de negocios y las tecnologías de información cambiaron: de una realidad estática y estructurada, a una dinámica y no estructurada. En este contexto, concebir los cargos presentados previamente exige un entendimiento de la realidad dinámica de las redes, la movilidad de los individuos y la flexibilidad. En un entorno este, se requiere pensar la seguridad múltiple variables y especialidades que, conjugadas, un cuerpo conceptual semejante a lo que existía en el pasado no para restringir y especializar, sino para posibilitar el de seguridad y no debe estar fundado en la capacidad de restricción, sino en la posibilidad de orientar el sistema hacia lo más conveniente, basado en principios propios del negocio y de la protección de la información, como activo fundamental de la organización. Es decir, un elemento que conciliar la funcionalidad de los servicios con las regulaciones propias de las operaciones. En este sentido, se
establece una promesa compartida entre los dueños del negocio, los profesionales de tecnologías de información y los de seguridad informática: que los clientes puedan utilizar la potencialidad de las tecnologías, con la confiabilidad requerida y las medidas de protección establecidas de manera natural y efectiva.
Esta promesa exige de los administradores del sistema entender tanto las expectativas de los dueños del negocio, como las del área de seguridad. Es lo que podríamos llamar un arquitecto
de seguridad de información. que con pensamiento sistémico comprende la dinámica de los negocios, y allí descubre la inseguridad reinante en cada una de las relaciones que advierte en
la infraestructura, con definir el cargo de administración actualmente requiere una reflexión de mínimo cuatro dimensiones: tecnológica, procedimental, humana y que permitan las responsabilidades y los en interacciones remotas y con administrador la base de su formación, y su experiencia lo convierte en un factor clave de éxito para la operación y la funcionalidad de la
infraestructura informática de la empresa. La dimensión procedimental. atada al manejo de cambios y actualizaciones tanto de hardware y software, se conserva como en el pasado, sólo que ahora debe considerar elementos de seguridad y control sugeridos tanto por los proveedores como por los especialistas de seguridad. Es decir. se incorpora un nuevo criterio para la administración: no sólo que funcione y opere bien, sino de manera confiable. Lo relacionado con la parte humana es congruente con su disposición de servicio y hacer las cosas más fáciles para sus
dientes. Si bien su preparación técnica es clave para su trabajo, debe contar con la capacidad de presentar sus propuestas de manera clara y sencilla, evitando la jerga propia de los técnicos.
Este profesional debe contar con altos niveles de ética, pues en sus manos están las variables más críticas para la funcionalidad de la organización; su sentido de pertenencia y compromiso debe ser altamente estimado y valorado. Finalmente, y no menos importante es la variable de negocio la cual busca que este profesional entienda cómo sus acciones encajan en las propuestas de negocio y cómo su labor perfecciona la misma en la operación formal de la empresa. Esto permite una visión más integradora del proceso de administración del sistema. más allá de los ajustes tecnológicos, para convertirla en una administración de tecnologías de información integrada con los dueños del negocio. Es importante aclarar que esta es una reflexión que debe hacerse
en doble vía, es decir, los dueños de los procesos de negocio deben interiorizar y comprender también los esfuerzos que los administradores del sistema hacen en su dominio de responsabilidad. En este contexto podríamos decir que el administrador transformado en un arquitecto de tecnología, debe establecer los niveles tolerables y medibles de la inseguridad propia de los sistemas que administra y su impacto en el negocio, basado en una administración de riesgos propia de su cargo, no para alertar sobre las posibles fallas identificadas, sino para aprender de ellas y ajustarla infraestructura para hacerla más resistente a ataques más elaborados. Para un investigador forense, el comprender las responsabilidades de un administrador y sus razonamientos le permite obtener información valiosa desde el punto de vista técnico, procedimental y de negocio que busque analizar la dinámica de los hechos de los eventos investigados, no sólo como hechos aislados y tecnológicos, sino con el sentido de los procesos y la
mente tanto del atacante como de los dueños del negocio. Encontrar la verdad en el escenario de los administradores del sistema va más allá de un cargo y un perfil dentro de un sistema, pues la herencia tecnológica del administrador del sistema muchas veces nos impide revisar otras relaciones emergentes, que muestran más de este cargo, y nos imposibilita proponer hipótesis más elaboradas y consistentes. Para detallar algunas consideraciones de diseño de infraestructuras de seguridad, trataremos de ver un poco la evolución de la computación y, con ella, la transformación de la seguridad de la información. En este contexto, detallaremos las características requeridas de la seguridad en cada momento, sus motivaciones y las necesidades propias para las organizaciones. Con la evolución tecnológica, la seguridad ha requerido repensarse y adaptarse a cada una de las realidades de la tecnología del momento. En esta sección trataremos de revisar cada uno de esos momentos tecnológicos pasados y los futuros mostrando las implicaciones y estrategias de seguridad que se desarrollaron para luchar contra la inseguridad propia de la tecnología y de la arquitectura formulada para ese entonces.
Durante los años 60 y 70 la computación centralizada era la realidad evidente en los centros de procesamiento de datos. Los grandes computadores centrales o mainframes eran los que
estaban en el primer nivel del uso informático de las organizaciones. Este tipo de computación erada norma que apoyaba los diferentes procesos de la organización, los cuales eran operado  
por personal especializado para esas labores y anotar que no todo el mundo tenía acceso a estas máquinas. En este sentido, la seguridad informática alrededor de este escenario más que concentrarse con el descubrimiento de la inseguridad de los programas. estaba orientada a la seguridad física de los equipos y el buen procesamiento de la información. Una falla en el programa de control de la información. O en la integridad de la misma. generaba una alta desconfianza en los informes y sus cifras. La computación centralizada y basada, la cual estaba dominada por las recomendaciones de los proveedores, y no seguirlas en contra del buen funcionamiento de las máquinas. En este mismo sentido, la seguridad de la información se concentraba en el acceso y el control de las máquinas, en el ingreso al sitio donde se encuentran estas, y en la habilidad y el entrenamiento de las personas encargadas de operarlas. En este contexto. los proveedores de estas máquinas hacían énfasis especial en el uso y la configuración de sistemas elaborados de acceso para velar por el adecuado seguimiento de las acciones en el sistema. En cuanto a la seguridad y el control. los años 60 y 70 Se caracterizaron por un énfasis marcado en el control de acceso, la segregación de funciones y el debido registro de las operaciones y transacciones, Los mecanismos de seguridad propios de la época eran los registros de auditoria que, si bien existían y eran consultados, no tenían mayores protecciones dado que tenía acceso a ellos eran profesionales con alto de confianza y con perfiles especiales claramente registrados c identificados. Esta es la época de aplicación de modelos seguridad. Durante los años 80 se pasaba de una realidad centralizada y cerrada, una descentralizada y abierta. Se concluye la época de los mainframes y se abre la puerta al concepto de las infraestructuras cliente/servidor. En este modelo de interacción existen máquinas que solicitan servicios y otras que los ofrecen.
El énfasis se concentra en el tráfico de información a través de la red, y en el uso de puertos de conexión, los cuales están asociados con los servicios que se prestan. Este cambio abre la puerta a un nuevo tipo de inseguridad, a unas nuevas relaciones que van más allá del servidor centralizado y, por tanto, requiere repensar nuevamente la gestión de la seguridad de la información. Con la llegada de una computación más abierta y con más oportunidades. se inicia la carrera para desarrollar mecanismos de seguridad de la información particularmente orientadas a las redes: sistemas de detección de intrusos, criptografia asimétrica, SSL (secure ket laycr), proxies, entre otros. los cuales establecen una nueva responsabilidad para el área de tecnologías de información.
Los nuevos mecanismos de seguridad que se presentan recogen las prácticas de los años 70 y desarrollan nuevas funcionalidades para disminuir los impactos de la inseguridad propia de los protocolos asociados con TCP/IP, a continuación» se hace una breve descripción de los principales mecanismos de seguridad en los ambientes cliente CIS. Firewall (FW) o cortafuegos es una tecnología de los años 80 que busca desarrollar un control de acceso en el tráfico de red.
con el fin de identificar qué paquetes pueden o no ingresar o salir del perímetro de la red de una organización. para ellos, se plantea un esquema de construcción de reglas, ya previamente
vigente en los sistemas de enrutamiento para controlar los corridos que seguían los paquetes en una red, con el propósito de hacer más granular el control tanto como la organización quisiera. Este portal de control de acceso del tráfico se convierte en la fortaleza de la organización para evitar que personas no autorizadas trataran de invadir desde el exterior la red interna. Luego, con el tiempo, se hace evidente que no solamente el control desde el exterior era necesario. pues en el interior. Se podían presentar empleados desmotivados que podrían atentar contra la organización misma. Los sistemas de detección dc intrusos (en inglés JOS, Intrucsion Detection System) son otro dc los adelantos tecnológicos de seguridad propios del mundo CIS, pues actúan como un monitor del tráfico de red, descubriendo y analizando ahora el contenido de los paquetes que ingresan a la organización. Si bien el F w hace parte del trabajo de control de acceso. no tiene
capacidad para observar "la intencionalidad del mensaje" que lleva el paquete. LOS Sistemas de detección de intruso se asemejan a las alarmas que se instalan en casas. carros y oficinas a fin de advertir la presencia de una persona no deseada. En la primera parte de la evolución de estos sistemas Su función era exclusivamente reactiva de la presencia de un posible ataque al
sistema protegido. pero su grado de confiabilidad dependía del afinamiento de las reglas propias de detección v el tráfico de red frente a la dinámica de la organización.

Los sistemas de detección de intrusos continuaron su desarrollo, haciéndose cada más versátiles en la detección y luego en la reacción contra posibles escenarios de ataque, Siempre con el margen de error asociado con los falsos pósitivos; es decir, aquellos eventos o paquetes de tráfico de red que, sin ser una amenaza real. fueron reportados como tales. Con el paso del tiempo. en las infraestructuras de seguridad fue necesario combinar la presencia de un firewall y luego un I I)S.
con el fin de aumentar la capacidad de detección y de alerta de los intrusos en una infraestructura de red. Se hicieron parte fundamental de una estrategia de seguridad en el perímetro de las organizaciones y una herramienta clave para monitorear a los usuarios internos. Por otra parte, tenemos los proxies. o estrategias de reducción o ampliación de acceso a conexiones desde o hacia una red. la cual puede ser normal o inversa. Un proxy es un intermediario que recibe, registra, valida y autoriza la salida o la entrada de un tráfico de red. Está asociado con permitir el
acceso de muchas personas a recursos en Internet, donde únicamente se publica una dirección en Internet, protegiéndola de cada uno de los usuarios internos de la red. La otra modalidad es que un usuario del exterior envié una petición a un recurso que se encuentre detrás del Proxy y este remita el paquete luego de su verificación, al servidor correspondiente. Mientras el primer funcionamiento es el normal de esta estrategia, el segundo se denomina Proxy reverso.
Basado en el modelo de ISO, promulgado en la década de uso diario en nuestros días, se establece una manera de pensar en la protección de las redes; es decir, recorriendo cada uno dc los niveles conocidos (físico. enlace, red, transporte, sesión. presentación y aplicación) se pueden establecer los mecanismos de seguridad requeridos para disminuir el nivel de inseguridad propio de las aplicaciones CIS, y así dimensionar la inversión que habría que hacer para aumentar la confianza de la organización en el uso de las redes, y el control de acceso servicio y aplicaciones
Ahora, en el mundo, el director de tecnología no solamente es responsable porque la infraestructura funcione de acuerdo con lo requerido. sino que debe hacerlo con mayor confiabilidad, disponibilidad, trazabilidad e integridad. Este requerimiento se hace en medio de una nueva tendencia de ataques y de incidentes que llevan a las organizaciones a fallas importantes de los sistemas y a pérdidas de continuidad, ya no ocasionadas por una caída del servidor central, sino por acceso no autorizado, una negación de servicio, una suplantación
de dirección IP, envenenamiento de caché del DNS (Domain Name Services). monitoreo no autorizado de conexiones, suplantación de direcciones MAC, asalto de sesiones TCP, entre
Esta nueva realidad desarrolla y propulsa una dinámica de la seguridad de la información. no solamente motivada por los ataques, sino por las posibilidades que se abren al explorar
los protocolos que soporta la suite de protocolos 'ICP/IP. Las aplicaciones cliente/servidor ofrecen toda una gama de nuevas posibilidades para utilizar la capacidad de cómputo de las máquinas, y abrir la interacción de las mismas a los usuarios de toda la organización y la configuración de se profundiza el cambio que la arquitectura proponía. La interacción a través del web, por la vía del protocolo http, ofrece nuevas potencialidades para generar aplicaciones y programas que pudiesen ejecutarse en cualquier parte, a cualquier hora y en cualquier momento. sin
necesidad de instalar software adicional en el cliente. como ocurría en el modelo CIS. Estas posibilidades de movilidad y versatilidad, acompañadas con una interfaz amigable y conocida por el usuario, establecen un nue,'0 cambio paradigmático en la tecnología y en la seguridad.
Ahora las tecnologías asociadas con el Web (creadas en los años 90) son las que ofrecen interactividad y transparencia mayores para el usuario, en el uso de los recursos computacionales. En este contexto, la seguridad, previamente basada en redes, tráfico de red y puertos. se orienta hoy hacia el estudio del protocolo http, los servidores de aplicaciones (application servers), los CGI (Common Gateway Interface), los applets de Java, lenguajes como PHP, Python, Perl, entre otros aspectos que ofrecen toda una nueva gama de posibilidades y oportunidades para las empresas y los usuarios.
La inseguridad en una aplicación web es una propiedad emergente, resultado de relación entre el programador y el administrador, la configuración del sitio web y las herramientas utilizadas; una combinación que se hace más explosiva con la impericia y la falta de cuidado de los usuarios finales que la utilizan con este último punto se quiere mostrar que, en el proceso de aseguramiento de las aplicaciones. el usuario hace parte fundamental de este proceso. pues en última instancia él es quien va a percibir cl valor agregado de la confianza (fruto de una administración de la inseguridad) para el uso de las aplicaciones. Ya en los años 90, con la explosión del uso del web, los mecanismos de seguridad heredados de los años 80 no son tan
efectivos como antes, porque ahora la interacción y el tráfico de datos se hacen a través del protocolo http, o lo que es equivalente a decir por el puerto 80. que es un servicio que no
es susceptible del filtrado natural de un FW, dado que es la mariera como la organización navega y tiene acceso a los recursos de Internet. Esta realidad lleva a reconsiderar la aplicación de
los proxies ahora como estrategias de acceso y protección de los servidores web, que hoy llegan al primer plano de análisis. Los proxies reversos, esos que son los intermediarios entre el agente externo y los recursos internos, se convierten en los guardianes de los servidores web con las aplicaciones de las organizaciones. Estos servidores, configurados de esta forma, reciben la petición externa, validan su procedencia y reenvían el llamado http al servidor interno correspondiente, para que una vez procesada la respuesta por este último, sea retornada al proxy reverso y. de al agente externo. esta estrategia busca dejar menos expuestos los servidores con las aplicaciones web disponibles, así como ofrecer una barrera adicional al intruso que intenta obtener a los recursos privados de la organizar palabras. Todas ellas requieren un análisis de las conexiones y relaciones que generan las aplicaciones. cuando materializan una petición de un usuario a través de una aplicación orientada al web. En este sentido, las estrategias de seguridad y control se orientan hacia el servidor web, la programación de las aplicaciones y las interacciones con las bases de datos, que ahora se vuelven más vulnerables, dadas las características de las limitaciones del protocolo y la versatilidad requerida en las aplicaciones. Si bien esta época de transformación y explotación del web, a través del modelo de múltiples capas (interfaz del usuario lógica del negocio y registro en bases de datos backend) está llena de grandes logros y experiencias positivas, como el surgimiento y desarrollo de la banca en línea, también ha recibido muchas advertencias sobre su futuro y desarrollo. Por un lado, esta desaforada carrera por llevar todo al web, como estrategia para vincular a los usuarios al mundo de servicios digitales, ha hecho que los atacantes aprendan cada vez más y perciban mejor las interacciones de los usuarios y los
riesgos de estas tecnologías, explotándolas a su favor y mirando la confianza en estos servicios.
Se puede observar que, si bien esta evolución de la seguridad especializa la detección y el análisis de la inseguridad, se involucran más variables de análisis, las cuales se hacen menos perceptibles, dadas las interacciones definidas entre los componentes de las aplicaciones, que muchas veces obedecen a rutinas propias de los lenguajes o de los programas residentes en la web. Pese a que esta tecnología nos abre la puerta a importantes avances, nos establece limitaciones que
nuevamente son aprovechadas para proponer una nueva forma de comprender las interacciones en la web y la conectividad.

versatilidad: algo que nos permitirá ver mayores integraciones entre Io expuesto en la red, Con los sistemas inalámbricos y las estrategias corporativas. La convergencia tecnológica nos hará a un escenario de tecnologías hibridas de uso cotidiano. donde mayores relaciones y productos estarán en juego y el usuario será el mayor beneficiado. Sin embargo, siempre estará la ventana de exposición abierta a nuevas posibilidades y mutaciones de las vulnerabilidades informáticas. la generación de plagas electrónicas más adaptables y polimórfacas, un escenario en donde la inseguridad sabrá mostrar por qué ella es parte inherente del desarrollo tecnológico, de las organizaciones y de las naciones. Considerando las diferentes evoluciones tecnológicas revisadas,
así como la transformación de la seguridad de la información en cada entorno, es preciso que los investigadores forenses en informática profundicen cada vez más en las posibilidades que
ofrece la tecnología y sus efectos de borde, así como las formas como los intrusos pueden aprovecharse de estas posibilidades. bien sea para evadir una investigación o para desviarla.
De conformidad con la computación forense, la convergencia.
El control de errores en las aplicaciones es una práctica generalmente aceptada en el desarrollo de software; sin embargo, con frecuencia los desarrolladores y programadores no la consideran formalmente dentro de la construcción de las piezas de programación. El control de errores permite acotar y registrar las fallas de los componentes del programa. para establecer las
condiciones en las cuales se presentan las mismas. El no hacer este control abre la puerta a la incertidumbre de la confiabilidad de los programas diseñados. y a pérdida de confianza de la
alta gerencia frente a la torna de decisiones. El manejo de los errores es igualmente una manera de evitar que terceros se enteren y descubran detalles de la infraestructura de la organización, los cuales pueden ser utilizados para tomar ventaja de las fallas documentadas y no documentadas de la misma. Los errores son la fuente de aprendizaje del área de tecnología para descubrir y administrar la complejidad propia de las aplicaciones integradas y convergentes, pues mientras mayores sean las conexiones que se efectúen entre sistemas. más efectos inesperados se pueden presentar, bien sea por situaciones propias asociadas con el desconocimiento de la nueva conexión. por la falta de conocimiento profundo de las de cada ellos.
NO se requiere mucho conocimiento tecnológico para sobrepasar posibles limitaciones de los sistemas informáticos, pero de manera contraria. Se podría sugerir que requiere contar un detalle importante del sistema para tener o manipular los registro. de eventos del sistema o los denominados logs (termino tomado del inglés. relacionado la acción dc Jogging o registro de operaciones o acciones de información), 0 registros de auditoria. dado que generalmente asociados uso de permisos y por parte de los usuarios (aunque para los realmente
intruso. no una limitación. un reto) podemos establecer la auditabilidad como aquella propiedad todo sistema o tecnología de información para registrar. de manera clara. completa y electiva. los eventos de una acción en particular con el propósito de: Mantener la historia de los eventos
seguimiento y el control de los mismos. Entendiendo la claridad como la correcta lectura y uso del
formato en el que se registran los hechos auditados; la completitud. como el conjunto de variables requeridas para identificar las acciones particulares de los usuarios, y la efectividad, como
el registro real y correcto de los eventos en los archivos o los dispositivos previstos para el almacenamiento de los mismos. Los registros de auditoria, dependiendo de la estrategia que
se utilice, pueden estar a la vista del usuario o ubicados de manera especial en el sistema de archivos con controles de acceso a los mismos. Los logs (Weber 1999) representan la historia y
la evolución de los sistemas de información, son la memoria vigente del sistema operacional, del hardware o de la aplicación o las aplicaciones, que le permite tanto al programador como a
la organización conocer el comportamiento de estos, así como la interacción de los usuarios en el desarrollo de Sus funciones. Sin embargo, es común encontrar que, si se pregunta sobre los registros de auditoria, bien sea de las aplicaciones o el sistema operacional. se encuentra que estos sólo se revisan o se observan cuando existe una falla. Luego, si previamente no hemos visto el registro e identificado qué es un comportamiento normal allí, ¿cómo vamos a identificar lo anormal? Así mismo, cuando la falla se manifiesta, ¿cómo sabemos qué puede estar pasando si no hemos mirado cómo el sistema registra sus acciones normales? O, como muchas veces no sabemos, ¿cómo está diseñado el registro de auditoria? o lo que es más grave. existen múltiples formatos de logs que pueden tener mayor o menor detalle sobre lo ocurrido en el sistema, lo que puede ocasionar conceptos 0 diagnósticos incompletos. Todas las preguntas anteriores nos advierten que mucha parte de la evidencia que se tiene sobre posibles actividades,
no autorizadas o autorizadas, puede estar comprometida, por falta de controles sobre las mismas, por falta de conciencia de los administradores o de los encargados de los sistemas de información, o sencillamente por el conocimiento limitado y la escasa capacidad de análisis de estos registros.
En razón de lo anterior. pese a que se cuente con estrategias de registro antes de, después de y de transacción o de operación del dispositivo (hardware o software), el solo registro
que se vaya a contar con elementos suficientes de para determinar la veracidad de las posibles acciones.
El nivel de trazabilidad alta está asociado con la necesidad que tiene la organización de crear, almacenar y recuperar información confiable que sea reconocida como evidencia digital válida
en cualquier proceso judicial que se adelante alrededor de las aplicaciones que requieran este nivel. Contar con este nivel de trazabilidad exige que la organización mantenga un conjunto de prácticas organizacionales alrededor de la definición y el control de registros de auditoria, como base fundamental para fortalecer los esquemas probatorios a futuro. los cuales deben estar fundados en las directrices de seguridad de la información de la organización.
El nivel de trazabilidad media está relacionado con el requisito las organizaciones por mantener evidencia de las acciones realizadas por usuarios. o por procesos en el uso de los sistemas de información y las posibles relaciones entre ellos. Si información puede requerir para procesos de
investigación interna de las empresas, hay que considerar que sincronización no es un requisito formal de la misma. Es decir, la de registros de auditoria no está asociada no autorizadas o autoridad. Por tanto, el registro detallado y formal de Ia5 organizaciones se debe complementar con una estrategia corporativa. La gestión de logs implica reconocer en los registros de
auditoria una herramienta gerencial que le permita a la organización valorar sus activos y los recursos utilizados, así como una manera de mantener la memoria del comportamiento de
los dispositivos o las aplicaciones, atendiendo a los principios fundamentales de la seguridad informática: confidencialidad. integridad y disponibilidad. Este concepto, que si bien no es nuevo en las organizaciones. pues con5tantemente estas desarrollan ejercicios de seguimiento y gestión sobre Sus actividades del negocio, busca llamar la atención sobre la función de la tecnología y la responsabilidad de contar con una adecuada estrategia que le permita tanto al encargado de esa función como a la organización contar con una manera clara de recuperar. Revisar y analizar la evolución del sistema (hardware o software). En razón de Io 'interior. el Contar con registros de auditoría en las aplicaciones es un factor clave para mantener historia del sistema. pero sin una (Gelogs solamente es n conjunto de datos de eventos (posiblemente no relacionados)
que se almacenan "por si son necesarios". y no lo que realmente representan, material de análisis y orientación para la gerencia en temas de arquitectura tecnológica y posible carga probatoria ante eventos que atenten contra la seguridad informática. En este sentido. una GeJogs debería desarrollar proyectos que busquen adecuarlas arquitecturas de cómputo actuales para mantener un registro centralizado, asegurado y corre adonado de los eventos (Cano 2003), que son de interés para la organización, con el fin de preparar a las organizaciones para enfrentar situaciones adversas o procesos legales que se presenten un futuro. Sin una adecuada Gelogs, las organizaciones limitadas para contar con elementos suficientes para validar 0 verificar sucesos en sus sistemas. pues, entre otros erogantes, la duda sobre la integridad de los mismos podrá
ser cuestionada y resuelta a favor del posible intruso. los logs, generalmente tratados como archivos de "segunda': poco consultados por los administradores o usuarios, están esperando su oportunidad para incorporarse no como una carga más dela función de tecnología, sino como de tecnología, aplicación o un sistema. teniendo en consideración posibles interfaces.
La evidencia digital, representada en todas las formas de registro magnético u óptico generadas por las organizaciones. debe avanzar hacia una estrategia de formalización que ofrezca un cuerpo formal de evaluación y análisis que deba Ser observado por el ordenamiento judicial de un país. En general las legislaciones y las instituciones judiciales han fundado conformidad las leyes y de la administración de justicia. A continuación, revisamos brevemente cada uno de ellos, analizando estrategias de implementación técnica que sugieran el cumplimiento de la característica legal planteada en medios digitales. La autenticidad de la evidencia nos sugiere ilustrar a las partes de que esa evidencia ha sido generada y registrada en los lugares o los sitios relacionados con el caso. particularmente en la escena del posible ilícito, en los lugares establecidos en la diligencia de levantamiento de evidencia. Así mismo, la autenticidad. entendida como aquella característica que muestra la no alterabilidad de los medios originales, busca confirmar que los registros aportados corresponden a la realidad identificada en la fase de identificación y recolección de evidencia. En medios no digitales. la autenticidad de las pruebas aportadas no será refutada, de acuerdo con lo dispuesto por el artículo de la Ley 446 de 1998: "Autenticidad de los documentos. En todos los procesos, los documentos privados presentados por las partes para ser incorporados a un expediente judicial con fines probatorios, se reputarán auténticos, sin necesidad de presentación personal ni autenticación. Todo ello sin perjuicio de lo dispuesto en relación con los documentos creados por terceros". En este sentido, todas las pruebas que se aporten por las partes se entenderán como válidas y sólo vía una demostración de científica podrán ser refutadas,
En los digitales resulta complicado aplicar lo expuesto en el párrafo anterior. dada la volatilidad y el alta de que se presenta en los medios de almacenamiento electrónico. Si bien estas caracteri51ica5 también son de alguna manera inherentes a 105 medios tradicionales. el
detalle encuentra en que existe una serie de procedimientos asociados con el manejo y cl control de los mismos en las organizaciones, mientras que para los registros magnéticos aún no se tiene con misma formalidad.
algunos casos "sirven como pruebas la de duración de la parte, cl testimonio de terceros, el dictamen pericial. la inspección judicial. los documentos, los indicios y cualesquiera otros medios que sean útiles para la formación del convencimiento del juez". los archivos digitales podrían verse
involucrados dado que liarían parle de "otros medios" presentados para aportar al caso en estudio, pero la forma como sean identificados, generados y recogidos puede influir en la manera
como sean valorados por la corte. En este sentido, verificar la autenticidad de los registros
digitales requiere, de manera complementaria a la directriz general establecida por la organización sobre estos registros, el desarrollo y la configuración de mecanismos de control de integridad de archivos. Es decir, al satisfacer la característica de autenticidad se requiere una infraestructura tecnológica que exhiba mecanismos que aseguren la integridad de los archivos y el control de cambios en los mismos. Luego, al establecer una arquitectura de cómputo donde se fortalezca la protección de los medios digitales de registro y el procedimiento asociado para su verificación, aumentan sustancialmente la autenticidad y la veracidad de las pruebas recolectadas y aportadas. En consecuencia, la información que se identifique en una infraestructura con estas características
tendrá mayor fuerza y solidez. no sólo por Io que su contenido ofrezca, sino por las condiciones de generación. control y revisión de los registros electrónicos. Confiabilidad, o sea, al contar con mecanismos y procedimientos de control de integridad se disminuye la incertidumbre sobre la manipulación no autorizada de la evidencia aportada. y el proceso se concentra en los hechos y no en errores técnicos de control de la evidencia digital bajo análisis.  
Integridad de otro lado, la confiabilidad de la evidencia es otro factor relevante perseguirla admisibilidad de la misma. La confiabilidad dice si efectivamente 105 elementos probatorios
provienen de que son creíbles y que sustentan elementos de la defensa o del fiscal en el proceso
En medios digitales, podríamos relacionar el concepto de que se sigue, confiabilidad con la configuración de la infraestructura de computación. se diseñó la estrategia de registro? ¿Cómo
se su almacenamiento? ¿cómo se protegen? ¿cómo se registran y se sincronizan? ¿cómo se recogen y analizan? Estas son preguntas cuyas respuestas buscan demostrar que los registros electrónicos poseen una manera confiable para ser identificados, recolectados y verificados.
Cuando logramos que una infraestructura tecnológica ofrezca mecanismos de sincronización de eventos y una centralización de registros de sus actividades, los cuales, de manera complementaria, soportan estrategias de control de integridad, hemos avanzado en la formalización de la confiabilidad de la evidencia digital. Así mismo, en el desarrollo de software o
el diseño de programas es necesario incluir, desde las primeras fases de la creación de aplicaciones, un momento para la configuración de los registros de auditoria del sistema, ya que,
de no hacerlo, se corre el riesgo de perder la trazabilidad de las acciones de los usuarios en el sistema y, por tanto, crear un terreno fértil para la ocurrencia de acciones no autorizadas y la
pérdida de capacidad probatoria posterior. Es decir, se sugiere que la confiabilidad de la evidencia en una infraestructura tecnológica estará en función de la manera como se sincronice el registro de las acciones de los usuarios, y de un registro centralizado e íntegro de los mismos. Todo eso
reitera la necesidad de un control de integridad de los registros del sistema, para mantener la autenticidad de los mismos. Suficiencia La completitud ola suficiencia de la evidencia o, más bien, la presencia de toda la evidencia necesaria para adelantar el caso, es una característica que, al igual que las anteriores, es factor crítico de éxito en las investigaciones adelantadas en procesos
judiciales. Frecuentemente la falta de pruebas o la insuficiencia de elementos probatorios ocasionan la dilación o la termina de procesos que podrían haberse resuelto. En este sentido,
los abogados reconocen que mientras mayores fuentes de análisis y pruebas se tengan, habrá más posibilidades de avanzar en la defensa o en la acusación en un proceso judicial. Desarrollar estas características en infraestructuras de tecnología requiere manejar destrezas de correlación de eventos en registros de auditoria. Es decir. contando con una infraestructura y unos mecanismos de integridad. sincronización y centralización. Se pueden establecer el análisis que muestren la imagen completa de la situación bajo revisión. La correlación de eventos, definida como cl establecimiento de relaciones coherentes y consistentes entre diferentes fuentes
de datos, para establecer y conocer eventos ocurridos en una infraestructura o en unos procesos. sugiere una manera de probar y verificar la suficiencia de los datos entregados en un juicio. Si analizamos esta posibilidad, es viable establecer relaciones entre los datos y eventos presentados, canalizando las inquietudes y afirmaciones de las partes sobre comportamientos y acciones dc los involucrados, sustentando esas relaciones con hechos o con registros que previamente han sido asegurados y sincronizados. Con esto en mente, la correlación se convierte en factor aglutinante de las características anteriores referenciadas para integridad y confiabilidad de la evidencia, sugiriendo un panorama básico requerido en las infraestructuras de cómputo para validar las condiciones solicitadas por la ley en relación con la evidencia , Es decir, la correlación de eventos, como una función entre la centralización del registro de eventos y el debido control de integridad de los mismos, se soporta en una sincronización formal de tiempo y eventos que deben estar disponibles en la infraestructura de cómputo. para asegurar la suficiencia del análisis de la información presente en ella. Conformidad con las leyes y las regulaciones "ministración de justicia Finalmente, lo relacionado con la conformidad de las leyes y regulaciones de la administración de justicia hace referencia a los procedimientos internacionalmente aceptados para recolección. Deben ser revisados y analizados en cada uno de los contextos nacionales para su posible incorporación. Cuando se tiene acceso a evidencia digital por medios no autorizados, y no existen medios para probar su autenticidad, confiabilidad y suficiencia, los elementos aportados carecerán
de la validez requerida y podrán ser tachados de falsos. Esta evidencia, obtenida de este modo, no ofrece. La administración de una infraestructura de tecnologías de información no puede pasar inadvertida en el contexto de la gerencia de tecnologías actual. Pese a que en el pasado el administrador estaba acotado por las precisiones de los proveedores de los sistemas informáticos. hoy la realidad es muy diferente.  El administrador de un sistema no sólo debe conocer de la configuración del objeto que maneja y coordina. sino que debe entender las relaciones y la dinámica que ese objeto exhibe en el contexto de la dinámica de negocio.
En este sentido. la seguridad de la información, en el sistema que se administra. debe ser el resultado de una serie de actividades previamente planeadas y diseñadas. con el fin de
mantener limitados los efectos de en la infraestructura gestionada. Si bien estas acciones que el administrador adelante no serán completamente efectivas, dada la presencia de los del sistema que son susceptibles de vulnerabilidades, y tratar de contar con registros de auditoría y control que puedan ser utilizados para comprender mejor las mismas. Esos registros de auditoría y control requieren características propias para mejorar la confiabilidad de los mismos, y así los análisis que sobre ellos se adelanten sean consistentes y coherentes con las situaciones que los han generado. El control de integridad, la sincronización y el control de acceso a estos archivos son características básicas que esos registros deben tener, pues, de no ser así. la probabilidad de manipulación y distorsión de la información será parte de la duda razonable que rodee la presentación de los mismos. La auditabilidad y la trazabilidad son dos características que los sistemas de información y las infraestructuras de tecnología deben tener frente a un ambiente altamente interconectado y de negocios electrónicos, entre múltiples participantes. En este contexto, contar con los rastros y las evidencias de las transacciones se convierte en un factor fundamental para animar la confianza de los clientes y el correcto registro de las operaciones, para poder reconstruir en cualquier momento, de manera parcial o total, todas las actividades realizadas por los usuarios. Estudiando las responsabilidades y los procedimientos que debe atender el administrador del sistema, el investigador forense en informática debe establecer el conjunto de buenas prácticas de seguridad y control, de atención de incidentes y manejo de crisis, las cuales le indicarán elementos de análisis en el desarrollo de una investigación y una orientación sobre las evidencias que puede recabar del hecho analizado.


No hay comentarios.:

Publicar un comentario