Forensics in Spanish
Inicio con proceso forense Feb 17 2006 08:12AM
Mario de Frutos Dieguez (marfru cartif es) (1 replies)
Re: Inicio con proceso forense Feb 17 2006 02:42PM
Alonso Caballero / ReYDeS (reydes gmail com)
Saludos:

>
> Buenas a tod@s:
>
> Pues me acaba de ocurrir un problema, nosotros utilizamos un gestor
> documental y cuando he llegado hoy algunas de las carpetas estaban vacias.
>
> Me gustaría saber como iniciar un proceso para saber lo que ha ocurrido,
> si ha sido accidental, problema del software o algún usuario a borrado
> los archivos.
>

La reaccion ante un incidente informatico, y el posterior analisis
forense sigue toda una metodologia; para el caso puntual que expones;
los pasos iniciales que se deben tener presente y en modo resumido son
los siguiente, y tienen como unico objetivo que la evidencia sea
preservada. Por ejemplo; al llegar a la escena, manipular minimamente
los equipos, solo hacerlo en modo de lectura, realizar una copia de la
evidencia volatil, de lo mas volatil a lo menos volatil. Realizar
copias de seguridad de los mismos, verificar la integridad de dichas
copias, tomar fotografias del ambiente (esto debe hacerse antes y
despues) y como se que se encontraron los equipos, si es posible
tambien un video; etiquetar todo, no permitir ayudas "de terceros".
Recuerden la premisa, de que todo debe ser documentado, y como lo digo
siempre aunque suene a iteracion, hasta hay que documentar al que
documenta. Esos son los pasos iniciales, con eso tienes una buena base
con que iniciar el proceso.

Si estoy obviando algun paso "inicial" de seguro alguien mas lo hara notar.

> Muchas gracias.

No hay de que.

Atte:

--
Alonso Caballero Quezada aka ReYDeS - ReYDeS (at) gmail (dot) com [email concealed]
http://alonsocaballero.informatizate.net - LRU # 307242
http://www.SWP-scene.org
http://www.RareGaZz.net

[ reply ]


 

Privacy Statement
Copyright 2010, SecurityFocus