FACULTAD DE INGENIERÍA EN SISTEMAS COMPUTACIONALES Y TELECOMUNICACIONES TRABAJO DE GRADUACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS TÍTULO ESTUDIO DE FACTIBILIDAD DIRIGIDO AL DESARROLLO DE UN PROYECTO PARA LA CREACIÓN DE UNA EMPRESA DE SERVICIOS DE INFORMÁTICA FORENSE AUTOR CÉSAR CLEMENTE CORONEL CAMACHO TUTORES EC. CARLOS VÍCTOR OCHOA KOPPEL EC. HENRY WASHINGTON GRAU MORALES Guayaquil - 2010
104
Embed
FACULTAD DE INGENIERÍA EN SISTEMAS COMPUTACIONALES … · facultad de ingenierÍa en sistemas computacionales y telecomunicaciones trabajo de graduaciÓn previo a la obtenciÓn del
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
FACULTAD DE INGENIERÍA EN SISTEMAS
COMPUTACIONALES Y TELECOMUNICACIONES
TRABAJO DE GRADUACIÓN PREVIO A LA OBTENCIÓN
DEL TÍTULO DE INGENIERO EN SISTEMAS
TÍTULO
ESTUDIO DE FACTIBILIDAD DIRIGIDO AL DESARROLLO DE UN
PROYECTO PARA LA CREACIÓN DE UNA EMPRESA DE
SERVICIOS DE INFORMÁTICA FORENSE
AUTOR
CÉSAR CLEMENTE CORONEL CAMACHO
TUTORES
EC. CARLOS VÍCTOR OCHOA KOPPEL
EC. HENRY WASHINGTON GRAU MORALES
Guayaquil - 2010
AGRADECIMIENTO
Quiero empezar agradeciendo a Dios
por mi vida y salud brindada a lo largo de esta
trayectoria. A mis padres y familiares cercanos
quienes me han acompañado en esta larga e
interesante etapa de mi vida, quienes me han
apoyado incondicionalmente en las diferentes
adversidades, quiero agradecer también a la
Universidad “ECOTEC” que con sus Maestros de la
Carrera de Ingeniería en Sistemas y sus Directivos,
que con su experiencia y enseñanza contribuyeron el
TEMA ..................................................................................................................................................... 7
El ciclo de vida de un servicio de análisis forense se ha estimado en dos años.
Cada dos años se requiere replantear los objetivos, estrategias y técnicas para
realizar el análisis forense.
Marca:
Logotipo:
Introducción
44
Eslogan:
Precio de venta
El precio del servicio está directamente relacionado con:
a) El nivel técnico del especialista que brinda el servicio
b) El tiempo invertido
c) El margen de costos y utilidad empresarial
En promedio se facturan los siguientes valores sin IVA (pueden variar según el
alcance y la complejidad del examen forense):
Recuperación de Datos Persona Natural 50,00
PYME u ONG 100,00
Entidad o Corporación 250,00
Análisis Forense Persona Natural 100,00
PYME u ONG 200,00
Entidad o Corporación 400,00
Examen Especial Persona Natural 200,00
PYME u ONG 400,00
Entidad o Corporación 800,00
Capacitación Persona Natural 200,00
PYME u ONG 300,00
Entidad o Corporación 400,00
Asistencia Técnica Persona Natural 50,00
PYME u ONG 100,00
Entidad o Corporación 200,00
Promoción.
La promoción debe realizarse a través de Internet y a través de los canales
involucrados en informática forense, que son policías, abogados, jueces,
especialistas en análisis forense, directores y gerentes de tecnología, directores y
gerentes de operaciones que tienen a su cargo las agencias y oficinas
especialmente bancarias y de recepción o entrega de dinero.
45
Se realizara anuncios publicitarios atreves de dos revistas, en la revista
informática pc-world y en la revista del diario el universo.
2.4 Proyección de mercado
2.4.1. Objetivos de la Investigación de mercado
Determinar las características deseables para confiar en un centro de
servicios especializado en informática forense.
Determinar los valores que eventualmente pagarían las organizaciones por
capacitación y asistencia técnica
Determinar la frecuencia con la que contratarían capacitación, asistencia
técnica y evaluaciones de seguridades.
2.4.2. Metodología a utilizarse
Para realizar la Proyección del Mercado se ha utilizado una técnica muy
importante la cual es la Encuesta.
2.4.3. Métodos de Investigación:
Encuestas
La fórmula elegida para la obtención del tamaño de la población óptima fue la de
Muestra para población finita.
Muestra para población finitas
pqzNE
pqNzn
22
2
Considerando nuestro tamaño de población de 69 instituciones bancarias,
obtenemos un resultado de 34 encuestas.
N: Tamaño de población 69
E: Error Maestral 5 % 0,05 RESULTADO 34
P: Proporción de Éxito 0,5
Q: Proporción de Fracaso 0,5
Z: Valor para Confianza 95 % 1,28
Se adjunta formulario de Encuesta. ANEXO 1.
46
2.4.4. Conclusiones de la investigación de mercado
1. Tipo de la entidad: N° %
a) Publica 12 35%
b) Privada 22 65%
TOTALES 34 100%
CONCLUSIONES: Con relación al tipo de empresas encuestadas se realizo un 65%
a empresas privadas y un 35% a empresas públicas.
2. Magnitud de la Organización N° %
a) Grande 17 50%
b) Mediana 13 38%
c) Pequeña 4 12%
TOTALES 34 100% CONCLUSIONES: Con relación a la magnitud de empresas encuestadas se
realizaron un 12% a empresas pequeñas un 38% a empresas mediana y un 50% a empresas grandes.
47
3. Nivel y cargo del encuestado N° %
a) Ejecutivo 7 21%
b) Directivo 5 15%
c) Apoyo 4 12%
d) Técnico 18 53%
e) Otros 0 0%
TOTALES 34 100% CONCLUSIONES: Referente a esta pregunta encontramos una mayor
concentración de interés en el personal técnico cubriendo así un 53%, y en siguiente lugar el personal ejecutivo llegando a un 21%
4 ) Especialidad del Encuestado N° %
Relacionado con el área informática 29 85%
Otras áreas 5 15%
TOTALES 34 100% CONCLUSIONES: Dentro del nivel profesional de las personas encuestadas
encontramos a un 85% de especialistas en el área informática y un 15% en otras áreas, por lo que está enfocada directamente al persona al informático, pero no están excluidas las demás áreas.
48
5. La informática forense tiene que ver con: N° %
a) Bancos 10,5 31%
b) Comercio 3 9%
c) Sector publico 14,5 43%
d) Todos 6 18%
TOTALES 34 100% CONCLUSIONES: Según los resultados de los encuestados un 43% la informática
forense está relacionada con el sector público, seguido por el sector bancario con un 31%, y con el comercio un 9%, por lo que se considera enfocar mas al sector publico.
6. El análisis forense lo realizan: N° %
a) Médicos 1,5 4%
a) Abogados 0 0%
b) Informáticos 24 71%
a) Policías 2 6%
b) Especialistas 6,5 19%
TOTALES 34 100% CONCLUSIONES: En este caso como estamos presentados con informática
forense, los encuestados concluyeron que deben realizar especialmente personal informático, con un resultado del 71%.
49
7. El análisis Forense se aplica a: N° %
b) Solo delitos 17,5 51%
c) Posibles delitos 12,5 37%
d) Muertes 4 12%
TOTALES 34 100% CONCLUSIONES: Es aplicable según el personal encuestado un 52% solo delitos y
seguido de posibles delitos con un 37% y relacionado a muertes con un 12%
8. Congelar la escena significa: N° %
a) Impedir el acceso 13 38%
b)Tomar fotos y videos 5 15%
c) Tomar evidencias 16 47%
TOTALES 34 100% CONCLUSIONES: Con relación a esta pregunta podemos ver que el 38% de
encuestados están interesados en impedir el acceso a la información, un 47% la toma de evidencias, y un 15% tomar fotos y videos.
50
9. Una evidencia valida es: N° %
a) Solo información digital 0 0,0%
b) Toda prueba que pueda ser demostrada 34 100,0%
TOTALES 34 100,0% CONCLUSIONES: Con relación a esta pregunta el 100% considera que se refiere a
toda prueba que puede ser demostrada. Por lo que se puede apreciar un conocimiento claro sobre esta pregunta.
10. La cadena de custodia es: N° %
a) Un archivo con candado 5 15%
b) Un grupo de personas 4 12%
c) Un grupo de procedimientos técnicos 25 74%
TOTALES 34 100% CONCLUSIONES: La respuesta de esta pregunta fue un 14% lo consideran como
un grupo de procedimientos seguida de un 12% un grupo de personas y un 15% un archivo son candado.
11. El principio de transferencia de Locard es: N° %
a) Una forma de sacar fotocopias 1 3%
b) Una ley mundial 3 9%
51
c) Una relación entre la escena, la víctima y el autor del delito 21 62%
d ) No se 9 26%
TOTALES 34 100% CONCLUSIONES: Podemos apreciar el resultado de los encuestados que un 62% si
conoce el principio de Locard. Y por ende saben lo que nosotros estamos ofreciendo.
12. Por favor incluir nombres de entidades relacionadas N° %
con informática forense.
a) No se 26 76%
b) FBI, DAS, DEA, CIA 3 9%
c) TRADICORP 1 3%
d) SECURSTAR 1 3%
e) MAINT, AKROS 1 3%
f) PRINCE WATHERBHOUSE 1 3%
g) MICROSOFT 1 3%
TOTALES 34 100% CONCLUSIONES: Observamos que el 76% desconoce de nombres de entidades
de este servicio, mientras que la diferencia solo mencionaron entidades extranjeras.
52
13. Por favor incluir nombres de certificaciones N° %
regionales o mundiales en análisis forense.
a) No se 32 94%
b) INFOFOR 1 3%
c) MAINT, ROCA TECNOLOGIES 1 3%
TOTALES 34 100% CONCLUSIONES: Con relación a esta pregunta un 94% desconocen mientras que un 6% conocen. Por lo que es necesario impartir conocimiento y ampliar temas relacionadas al mismo.
14. Por favor incluir nombres de empresas o técnicos N° %
que conozca que se dediquen a informática forense.
a) No se 31 91%
b) TRADICORP 1 3%
c) CSSH ISA 1 3%
d) Policía 1 3%
TOTALES 34 100% CONCLUSIONES: También podemos aprecia que un 91% desconocen de
empresas o técnicos en nuestro medio que brinden este servicio, por lo que es favorable para ingresa en el mercado i ser los pineros en esta área.
53
15. Mi organización requiere análisis forense N° %
a) NO, NUNCA 7 21%
b) PUEDE SER 21 62%
c) CON FRECUENCIA 6 18%
TOTALES 34 100% CONCLUSIONES: Con relación a esta pregunta un 62% que pueden tener posibilidades de requerir estos servicios, un 18% con frecuencia y un 7% que no.
16. Conozco que otras entidades requieren de análisis forense N° %
a) SI 15 44%
b) NO 12 35%
c) Solo por rumores 7 21%
TOTALES 34 100% CONCLUSIONES: Con relación si conocen entidades que requieren análisis forense
respondieron un 44% que "SI", un 35% que "NO" y solo por rumores un 21%. D esta forma podemos apreciar que existen muchas mas empresas que requieren este servicio.
54
17. Considera que solo los bancos requieren análisis forense. N° %
a) SI 11 32%
b) NO 17 50%
c) Solo por rumores 6 18%
TOTALES 34 100% CONCLUSIONES: Con relación a la pregunta si considera que solo los bancos
requieren un análisis forense respondieron un 35% que si y un 45% que no y solo por rumores un 4%
18. ¿Conoce Ud. algunos casos de delitos informáticos? N° %
a) SI 25 74%
b) NO 5 15%
c) Solo por rumores 4 12%
TOTALES 34 100% CONCLUSIONES: Con relación si conocen algunos casos de delitos informáticos
respondieron un 74% que "SI" y un 15% que "NO" y solo por rumores un 12%. Por lo que podemos apreciar todos conon de alguna forma ciertos casos.
55
19.¿Considera Ud. importante la capacitación en informática forense? N° %
a) SI, a corto plazo 20 59%
b) SI, a mediano plazo 14 41%
c) NO 0 0%
TOTALES 34 100% CONCLUSIONES: Según el personal encuestado considera un 59% si tiene futuro a corto plazo, mientras que a mediano plazo un 41%, por lo que a mediano o corto plazo debemos preocuparnos en esta área con respecto a la capacitación.
20. ¿Considera Ud. que la informática forense tiene futuro en el Ecuador? N° %
a) SI, a corto plazo 19 56%
b) SI, a mediano plazo 14 41%
c) NO 1 3%
TOTALES 34 100,0% CONCLUSIONES: Según el personal encuestado considera un 56% si tiene futuro
a corto plazo, mientras que a mediano plazo un 41% y un 3% que NO, por lo que a mediano o corto plazo debemos preocuparnos en esta área.
56
21. Por favor describa las características que debería cumplir una empresa para que Ud. le confíe análisis forense. N° %
a) Confidencialidad 17 50%
b) Certificada – Prestigio 6 18%
c) Profesionalismo - Experiencia 11 32%
TOTALES 34 100% CONCLUSIONES: Con relación a las características que debe cumplir una empresa
para confiar un análisis forense esta un 50% en confidencialidad, seguida por un 18% en que tiene que ser certificadas y un 32% en profesionalismo y experiencia. Por lo que debemos cumplir con los tres requisitos a futuro para cumplir con las exigencias y abarcar todo el mercado.
22. Su empresa cuenta con un presupuesto para la capacitación en informática forense. En caso de no indique el porqué. N° %
a) SI 32 94%
b) NO 2 6%
TOTALES 34 100% CONCLUSIONES: Solo un 6% del las empresas encuestadas cuentan con un presupuesto para capacitación y quedando un 94% en que no tienen por falta de propuestas.
57
23. ¿Le gustaría recibir dicha capacitación. En caso de no indique el porqué? N° %
a) SI 26 76%
b) NO 8 24%
TOTALES 34 100% CONCLUSIONES: Con relación a la capacitación el personal encuestado resulto muy interesado quedando un 76% en que "SI", y un 24% en que "NO" por desconocimientos del tema.
24. Cuanto estaría Ud. dispuesto a invertir en capacitación de informática forense.(Valor en USD) N° %
a) 150 a 200 11 32%
b) 200 a 300 19 56%
c) 300 a 400 4 12%
TOTALES 34 100% CONCLUSIONES: Con relación a capacitación el personal encuestado un 32% está
dispuesto a pagar un valor de la opcional "a" un 56% la opción intermedia, y un 12% la opción "c", debemos considerar que el reconocimiento del tema les hace tomar lap opción más baja. Por eso está como opción prioritaria ampliar el conocimiento y la importancia del tema.
58
25. Por favor seleccione el valor promedio que estaría dispuesto a pagar por un análisis forense. N° %
a) 50 a 150 19 56%
b) 150 a 250 10 29%
c) 250 a 350 5 15%
TOTALES 34 100% CONCLUSIONES: Considerando las opciones un 56% de encuestados
seleccionaron la opción "a", ya que es la más económica. Pero hay que considerar las opciones que tenemos a favor con relación a cuantos quieren recibir dicha capacitación.
26. ¿Ha perdido información importante en discos duros ó dispositivos de almacenamiento digital? N° %
a) SI 22 65%
b) NO 12 35%
TOTALES 34 100% CONCLUSIONES: Con relación a personas que han perdido información en medios
de almacenamiento digital encontramos un 65% que sesí" y un 35 % que "NO". Por lo que nos da una idea de la cantidad de demanda que tenemos para aplicar recuperación de datos.
59
27. ¿Hasta cuanto usted estaría dispuesto a invertir por la recuperación de información de dispositivos de almacenamiento? (valor en USD) N° %
a) 50 a 100 3 9%
b) 150 a 200 7 21%
c) 200 a 300 15 44%
d) Considerando la importancia de la información 9 26%
TOTALES 34 100% CONCLUSIONES: Según estos resultados podemos apreciar que las personas
consideran sumamente importante la recuperación de información perdida. Ya que un 44% están dispuestos a pagar la opción "c" seguidas de un 26% por la opción "d".
28.Sus comentarios finales.
a) Necesito bases para dar más respuestas a la encuesta
b) Es muy importante en empresas que se maneje información delicada
c) Que es una nueva carrera que aun no está explotada
d) Seria muy importante esta especialización
e) Debe ser seria, objetiva y responsable
f) Debe tener respaldo jurídico
e) Es una herramienta útil
f) No eh conocido una empresa que brinde este servicio
g) Este campo de la informática y especialización del análisis forense es relativamente nuevo. Deberían brindar más información a los usuarios para poder conocer sus beneficios.
10) Excelente encuesta, incentiva a la actualización y capacitación con respecto a este tema.
60
2.5 Análisis Sectorial
2.5.1 Análisis FODA
FACTORES INTERNOS CLAVE
Fortalezas VALOR CLASIFICACIÓN VALOR
PONDERADO
1 Existen contactos entre los
potenciales clientes 0.3 4 1.20
2 Existen contactos entre los
especialistas 0.3 4 1.20
3 Existen socios altamente
interesados y dispuestos a involucrarse
0.1 3 0.30
FACTORES INTERNOS CLAVE
Debilidades VALOR CLASIFICACIÓN VALOR
PONDERADO
1 La empresa se encuentra en
formación 0.1 2 0.20
2 Falta de especialistas de
planta 0.1 2 0.20
3 Falta de capital de trabajo 0.1 1 0.10
TOTAL 1.0 3.20
FACTORES EXTERNOS
Oportunidades VALOR CLASIFICACIÓN VALOR
PONDERADO
1 No existe oferta local de
servicios para informática forense
0.35 4 1.40
2 En el medio local se
presentan varios delitos informáticos sin solución
0.35 4 1.40
FACTORES EXTERNOS
Amenazas VALOR CLASIFICACIÓN VALOR
PONDERADO
1 Existe competencia de
empresas fuera del país 0.15 2 0.30
2 Existe oferta de
especialistas certificados 0.15 1 0.15
TOTAL 1.00 3.45
61
FODA Valor
Factores Internos 3.20
Factores
Externos 3.45
MATRIZ EFI
SOLIDO (3-4)
PROMEDIO (2-
3)
DÉBIL
(1-1,99)
MA
TR
IZ E
FE
De 3.0 a 3.99
(ALTO)
De 2.0 a 2.99
(MEDIO)
De 1.0 a 1.99
(BAJO)
Conclusión
Después de haber realizado el respectivo análisis de los factores internos y
externos se llega a la conclusión que, la empresa CEINFOR la cual se pretende
crear está ubicada en una etapa de crecimiento y construcción lo cual incentiva al
personal para trabajar de una manera fuerte y constante, porque existe muchas
debilidades y amenazas las cuales podría perjudicar la empresa, pero gracias a
nuestras fortalezas y oportunidades que se la sabrá aprovechar se logrará la meta
esperada.
62
MATRIZ DE ANÁLISIS FODA
FODA
FORTALEZAS (F)
DEBILIDADES (D)
Se dispone de contactos entre las
empresas
Se cuenta con especialistas externos
Se cuenta con socios estratégicos
vinculados en el área
Se cuenta con socios altamente
involucrados
La empresa está en formación
La empresa carece de de técnicos de
planta
La empresa carece de capital de
trabajo
OPORTUNIDADES (O)
ESTRATEGIAS (FO)
Potencialidades
ESTRATEGIAS (DO)
Desafíos
En el Ecuador no existe
oferta de servicios de
informática forense
En el medio local se
presentan varios delitos
informáticos que requieren
análisis y solución
Obtener un alto posicionamiento a través
de Internet, referencias de especialistas
y acuerdos con socios estratégicos
Obtener respetabilidad en el medio
informático con la participación de
técnicos de prestigio
Promover discretamente el centro de
servicio a través de Internet y amistades
Agilitar la constitución de la empresa
Elaborar planes de negocio para
obtener capital de trabajo de socios
Elaborar Planes de negocio para
obtener financiamiento CFN y otras
fuentes
AMENAZAS (A)
ESTRATEGIAS (FA)
Riesgos
ESTRATEGIAS (DA)
Limitaciones
Pueden surgir especialistas
certificados que compitan
con la empresa
Pueden aparecer empresas
foráneas competidoras
Firmar acuerdos con especialistas
Revisar periódicamente la legislación y
adecuar la metodología
Certificación de los técnicos
Mejores prácticas ITIL
Altos estándares de calidad
63
Pueden cambiar las
exigencias de la legislación
que requieran replantear el
análisis y los servicios
64
Las potencialidades, surgidas de la combinación de fortalezas con oportunidades
señalan las líneas de acción más prometedoras para la organización.
Las limitaciones, determinadas por una combinación de debilidades y amenazas,
colocan una seria advertencia, mientras que los riesgos y los desafíos, determinados
por su correspondiente combinación de factores, exigirán una cuidadosa
consideración a la hora de marcar el rumbo que la organización deberá asumir hacia
el futuro deseable.
Existe una diferencia entre el estado presente y el estado deseado de la
organización, por lo que la determinación de los objetivos va a implicar cambios y
transformaciones para algunas de sus áreas, y estabilización o consolidación para
otras.
El Análisis FODA permitirá definir lo que queremos ser
Diseñar el futuro es definir en qué negocios se estará, qué tipo de organización se
desea para hoy y el mañana, qué nivel de excelencia se pretende lograr, entre otras.
Es decir, el diseño de futuro es
2.5.2 Calificación de Riesgo
TABLA DE RIESGO
Riesgo Calificación Puntaje
BAJO Sin Riesgo A + 1
Riesgo Bajo A - 2
MEDIO Medio Bajo B + 3
Medio Alto B - 4
ALTO Alto Riesgo C + 5
No Recomendable C - 6
65
Estas son las conclusiones del análisis FODA
Análisis FODA
Fortalezas Debilidades
1. Se dispone de contactos entre las
empresas
2. Se cuenta con especialistas externos
3. Se cuenta con socios estratégicos
vinculados en el área
4. Se cuenta con socios altamente
involucrados
5. La empresa está en formación
6. La empresa carece de de
técnicos de planta
7. La empresa carece de capital
de trabajo
Oportunidades Amenazas
8. En el Ecuador no existe oferta de servicios
de informática forense
9. En el medio local se presentan varios
delitos informáticos que requieren análisis
y solución
10. Pueden surgir especialistas
certificados que compitan con la
empresa
11. Pueden aparecer empresas
foráneas competidoras
12. Pueden cambiar las exigencias
de la legislación que requieran
replantear el análisis y los
servicios
Análisis sectorial del Centro de Informática Forense
1. Se dispone de contactos entre las empresas
2. Se cuenta con especialistas externos
3. Se cuenta con socios estratégicos vinculados en el área
4. Se cuenta con socios altamente involucrados
5. En el Ecuador no existe oferta de servicios de informática forense
6. En el medio local se presentan varios delitos informáticos que requieren análisis
y solución
7. La empresa está en formación
8. La empresa carece de de técnicos de planta
9. La empresa carece de capital de trabajo
10. Pueden surgir especialistas certificados que compitan con la empresa
66
11. Pueden aparecer empresas foráneas competidoras
12. Pueden cambiar las exigencias de la legislación, cambios que requieran
replantear el análisis y los servicios
Calificación de Riesgo
Calificación Puntaje
1. Se dispone de contactos entre las empresas A - 2
2. Se cuenta con especialistas externos A - 2
3. Se cuenta con socios estratégicos vinculados en el área A - 2
4. Se cuenta con socios altamente involucrados A - 2
5. En el Ecuador no existe oferta de servicios de informática
forense
B + 3
6. En el medio local se presentan varios delitos informáticos
que requieren análisis y solución
A + 1
7. La empresa está en formación B - 4
8. La empresa carece de de técnicos de planta B + 3
9. La empresa carece de capital de trabajo B + 3
10. Pueden surgir especialistas certificados que compitan
con la empresa
B + 3
11. Pueden aparecer empresas foráneas competidoras A - 2
12. Pueden cambiar las exigencias de la legislación,
cambios que requieran replantear el análisis y los servicios
A - 2
Riesgo Bajo A - 2
67
CAPÍTULO III - ASPECTOS TECNOLÓGICOS DEL PROYECTO
3.1 Proceso productivo
3.1.1 Proceso
El servicio de informática forense tiene el siguiente proceso productivo.
3.1.2 Unidad de Producción
La unidad de producción es el Departamento Técnico, el cual contará con un
promedio de un especialista por cada cinco proyectos de análisis forense.
Las unidades de producción serán consideradas por el número de servicios que se
venda.
3.1.3 Flujo productivo
PLANEACIÓN
EJECUCIÓN
INFORME
SUSTENTARINFORME
LA PLANEACIÓN
Mantener confidencialidad y absoluta reserva
Promocionar Servicio Proceso de Venta Servicio Vendido
68
Delimitar el alcance (técnico y judicial)
Informarse del caso, características, impacto, consecuencias
Integrar equipo de trabajo multidisciplinario
Obtener el equipamiento y los recursos (forensics equipment).
Preparar equipamiento y medios de recolección (CDs, DVDs, flash memory,
ACURIO, SANTIAGO, documento digital en http://dialnet.unirioja.es/servlet/articulo?codigo=2390567) QUITUISACA, Lilia, documento digital en http://www.scribd.com/doc/24759421/InformaticaForense ORTEGA, Ricardo, documento digital en: http://www.ricardoortega.com/informaticaforense.ppt Herramientas y documentación en informática forense: http://www.eiidi.com/
Estándar de Informática Forense: RFC3227 http://rfc.net/rfc3227.html Estándar de Informática Forense: IOCE http://www.ioce.org/fileadmin/user_upload/2002/ioce_bp_exam_digit_tech.html Equipo para respuesta de incidentes y delitos informáticos www.eiidi.com Expertos en seguridades y análisis forense www.criptored.com
Dirigido a: Gerentes de sistemas, técnicos informáticos, técnicos de procesos, técnicos de Mesa de
Ayuda, personal técnico (tecnología) de entidades públicas y privadas que tienen bajo su
responsabilidad el soporte técnico, la ayuda al usuario, la reparación o mantenimiento de sistemas
informáticos y en general la protección de sistemas informáticos.
Este es un formulario de encuesta para ser llenado por escrito por el encuestado o por el
encuestador.
ENCUESTA
Esta es una encuesta de investigación de mercado con fines académicos. Sus respuestas son
totalmente anónimas y de ninguna manera comprometen a Ud. ni a su organización.
PERFIL DEL ENCUESTADO
1 Tipo de entidad Pública Privada
2 Magnitud de la organización Grande Mediana Pequeña
3 Nivel del cargo del encuestado Ejecutivo Directivo Apoyo Técnico
Otros:……………………………………………….
4 Especialidad del encuestado (especificar)
ACERCA DE LA INFORMÁTICA FORENSE
5 La informática forense tiene que ver con Bancos Comercio Sector Público
6 El análisis forense lo realizan Médicos Abogados Informáticos
Policías Especialistas …………….
7 El análisis forense se aplica a Solo delitos Posibles delitos Muertes
8 Congelar la escena significa Impedir el acceso Tomar fotos y videos
Tomar evidencias
9 Una evidencia válida es Solo información digital
Toda prueba que pueda ser demostrada
10 La cadena de custodia es Un archivo con candado
Un grupo de personas
Un grupo de procedimientos técnicos
11 El principio de transferencia de Lockard es Una forma de sacar fotocopias
Una ley mundial
Una relación entre la escena, la víctima y el autor
del delito
12 Por favor incluir nombres de entidades relacionadas con
informática forense
13 Por favor incluir nombres de certificaciones regionales o
mundiales en análisis forense
14 Por favor incluir nombres de empresas o técnicos que
97
conozca que se dediquen a informática forense
ACERCA DEL MERCADO POTENCIAL
15 Mi organización requiere análisis forense No, nunca Puede ser Con Frecuencia
16 Conozco que otras entidades requieren de análisis
forense
Sí No Solo por rumores
17 Considera que solo los bancos requieren análisis forense Sí No Solo por rumores
18 Conoce Ud. algunos casos de delitos informáticos Sí No Solo rumores
19 Considera Ud. importante la capacitación en informática
forense
Sí, a corto plazo Si, a mediano plazo
No
20 Considera Ud. que la informática forense tiene futuro en
el Ecuador
Sí, a corto plazo Sí, a mediano plazo
No
21 Por favor describa las características que debería cumplir
una empresa para que Ud. le confíe análisis forense.
22 Su empresa cuenta con un presupuesto para la
capacitación en informática forense.
En caso de no indique el porqué.
Sí No
23 Le gustaría recibir dicha capacitación. Sí No
24 Cuanto estaría Ud. dispuesto a invertir en capacitación
de informática forense.
(Valor en USD)
150 a 200
200 a 300
300 a 400
25 Por favor seleccione el valor promedio que estaría
dispuesto a pagar por un análisis forense.
50 a 150
150 a 250
250 a 350
26 Ha perdido información importante en discos duros ó
dispositivos de almacenamiento digital.
Sí No
27 Hasta cuanto usted estaría dispuesto a invertir por la
recuperación de información de dispositivos de
almacenamiento.
(valor en USD)
50 a 100
150 a 200
200 a 300
28 Sus comentarios finales
Agradecemos su participación.
Realizado por César Coronel
98
ANEXO 2: ASPECTOS TÉCNICOS DE LA INFORMÁTICA FORENSE.
TIPOS DE INCIDENTES SUJETOS A ANÁLISIS FORENSE
En el gráfico se puede apreciar que entre el emisor (fuente de información) y el
receptor (destinatario de la información) el flujo normal sigue el camino más corto.
En los incidentes de interrupción de información, el receptor no recibe la información.
Lo que se conoce como DoS o Denegación de Servicio.
En los incidentes de intercepción de información, el receptor recibe información, pero
también lo recibe un tercero (sniffer, robo de identidad, robo de contraseñas, desvío
de tráfico).
En los incidentes de modificación de la información, el receptor recibe información
modificada, distinta de la que se emite.
99
En los incidentes de fabricación de información, el receptor recibe información que
nunca fue generada por el emisor (suplantación de identidad o phishing).
El procedimiento estándar publicado en 1999 por la Policía del Reino Unido es:
Resumen:
5. Recolección de información y evidencias 6. Preservación de la escena y la evidencia 7. Filtrado de evidencias para separar las que no son válidas 8. Presentación del informe
Detalle:
9. Establecer los parámetros y condiciones de la escena del delito 10. Iniciar alertas y medidas de seguridad 11. Facilitar primeros auxilios 12. Asegurar físicamente la escena para que no sea alterada 13. Asegurar físicamente las evidencias para que no sean alteradas 14. Entregar la escena del delito a quien corresponda según el tipo de delito 15. Elaborar la documentación y el informe 16. Participar en la reconstrucción de la escena del delito
LA CADENA DE CUSTODIA
Proceso ininterrumpido y documentado que permite demostrar la autenticidad (originalidad) e integridad de la evidencia física.
Identificación física, marcado y archivo de la evidencia. Separación estricta de materiales certificados y no certificados. Sistema de garantía de origen en cada etapa del proceso. Documentación y registros de control: qué, quién, para qué, cómo. Sistema de proceso y mantenimiento de la información. Identificación del producto final obtenido. Identificación, adiestramiento y competencia de participantes.
Pasos a seguir en la “escena del crimen”
Descubrir la evidencia Preservarla Fijarla (Escrita, Topográfica, Fotográfica, filmación, etc.) Levantarla de tal manera que no este contaminada ni sea contaminada
(Locard). Se debe describir claramente la manera en que encontraron pruebas, Cómo
se manejaron y todo lo que les sucedió. Se debe documentar: ¿Dónde, cuándo y por quién fueron descubiertas y recogidas?
¿Dónde, cuándo y por quién fueron manejadas? ¿Quién tiene la custodia de las pruebas, durante qué período?
100
¿Cómo se almacenan? Cuando cambiaron de custodia, el momento y la forma en que ocurrió la
transferencia, así como el motivo.
LA EVIDENCIA DIGITAL
“Cualquier dato que puede establecer que un crimen se ha ejecutado (commit) o
puede proporcionar un enlace (link) entre un crimen y su víctima o un crimen y su
autor”. [Casey04]
“Cualquier información, que sujeta a una intervención humana u otra semejante, ha
sido extraída de un medio informático” [HBIT03]
Es un tipo de prueba física. Está constituida por campos magnéticos y pulsos
electrónicos que pueden ser recolectados y analizados con herramientas y técnicas
especiales. Ejemplos: archivos, imágenes, sonidos, correos electrónicos, etc. …
A diferencia de la documentación en papel, la evidencia computacional es frágil y
una copia de un documento almacenado en un archivo es idéntica al original. Otro
aspecto único de la evidencia computacional es el potencial de realizar copias no
autorizadas de archivos, sin dejar rastro de que se realizó una copia. [ComEvi02].
CARACTERÍSTICAS DE LA EVIDENCIA DIGITAL
Cuando ha sucedido un incidente, generalmente, las personas involucradas intentan manipular y alterar la evidencia digital, tratando de borrar cualquier rastro. Este problema es mitigado con algunas características que posee la evidencia digital. [Casey04].
La evidencia Digital puede ser duplicada de forma exacta y se puede sacar una copia para ser examinada como si fuera la original. Esto se hace comúnmente para no manejar los originales y evitar daños. Lo recomendable es utilizar los LIVE CD o Máquinas Virtuales.
Con las herramientas existentes, es muy fácil comparar la evidencia digital con su original, y determinar si ha sido alterada. Para ello existen algoritmos como CRC, MD5, SHA1, etc.
La Evidencia Digital es difícil de eliminar. Aún cuando un registro es borrado del disco duro del computador, y éste ha sido formateado, es posible recuperarlo (copia). Esto se hace con LIVE CD o Máquinas virtuales.
101
Es posible eliminar totalmente la información, pero eso también deja huellas distintivas (sanitización DoD).
Existe la posibilidad de falsear o implantar evidencias, pero se requieren muchos conocimientos para hacerlo adecuadamente. Para evitar esto debe respetarse el debido proceso y la cadena de custodia.
CRITERIOS PARA ADMITIR LA EVIDENCIA DIGITAL
1. AUTENTICIDAD: a) demostrar que dicha evidencia fue generada en el lugar de los hechos; b) demostrar que los medios originales no han sido modificados o alterados.
2. CONFIABILIDAD: si provienen de fuentes “creibles y confiables”, si el
sistema que lo produjo no fue violado, alterado o modificado. 3. SUFICIENCIA O COMPLETITUD DE LA PRUEBA: “contar con mecanismos
que proporcionen integridad, sincronización y centralización” [AdmEvi03] Correlacionar eventos.
4. APEGO Y RESPETO POR LAS LEYES Y REGLAS DEL PODER JUDICIAL: La evidencia digital debe cumplir con los códigos de procedimientos y disposiciones legales del ordenamiento del país. Es decir, debe respetar y cumplir las normas legales vigentes en el sistema jurídico.
Software forense: stealth suite, textsearch suite, forensic suite INTERMEDIAS
PARA WINDOWS Clonación de discos: safeback WinHex Forensics Editores de disco, editores hexadecimales R-STUDIO, Easy Recovery, Final Data, Get Data Back Chequeadores de integridad: md5sum, sha1
PARA LINUX dd, dd-rescue, hexdump, grep, strings, sort, uniq
BÁSICAS
Propiedades de un documento (Archivo -> Propiedades) Software libre: filealyz, hexview, runalyz, process explorer Cifrado de datos, mensajes, particiones, gpg, pgp, zip, rar, 7zip, gzip
El “RFC 3227: Guía Para Recolectar y Archivar Evidencia” (Guidelines for Evidence Collection and Archiving) [GuEvCo02], escrito en febrero de 2002
103
por Dominique Brezinski y Tom Killalea, ingenieros del Network Working Group. Es un documento que provee una guía de alto nivel para recolectar y archivar datos relacionados con intrusiones. Describe las mejores prácticas para determinar la volatilidad de los datos, decidir que recolectar, desarrollar la recolección y determinar como almacenar y documentar los datos. También explica algunos conceptos y pasos:
a) Principios durante la recolección de evidencia: orden de volatilidad de los datos, cosas para evitar, consideraciones de privacidad y legales.
b) El proceso de recolección: transparencia y pasos de recolección. c) El proceso de archivo: la cadena de custodia y donde y como archivar.
La IOCE (International Organization on Computer Evidence), publicó “Guía para las mejores practicas en el examen forense de tecnología digital” (Guidelines for the best practices in the forensic examination of digital technology). Contiene estándares, principios de calidad y aproximaciones para la detección prevención, recuperación, examen y uso de la evidencia digital para fines forenses. Cubre sistemas, procedimientos, personal, equipo y requerimientos para todo el proceso forense de evidencia digital, desde examinar la escena del crimen hasta la presentación en la corte.
DOJ EEUU Investigación en la Escena del Crimen Electrónico (Guía DoJ 1)
DOJ EEUU Examen Forense de Evidencia Digital (Guía DoJ 2)
ACPO Guía De Buenas Prácticas Para Evidencia Basada En Computadores (Guía Reino Unido)
Guía Para El Manejo De Evidencia En IT (Guía Australia)
ISFS Computación Forense - Parte 2: Mejores Prácticas (Guía Hong Kong)