Manejo de Evidencias Digitales y Entornos Informáticos

[perspectivas]

Preservar las pruebas digitales de la forma correcta y los pasos para hacerlo para el manejo de evidencias digitales y entornos informáticos

Preservar las pruebas digitales de la forma correcta y los pasos para hacerlo es un aspecto importante de la seguridad de muchos negocios. El almacenamiento y la gestión de las pruebas forenses es una parte importante del sistema de justicia penal. La gestión de pruebas también se ha convertido en una preocupación para las empresas privadas.

Un número cada vez mayor de departamentos corporativos de RRHH y TI descubren que necesitan gestionar pruebas para investigaciones internas sobre robo de datos e infracciones de uso aceptable. Otras empresas están interesadas en recopilar pruebas para auditar la eficacia de sus programas de seguridad.

Todas estas empresas se beneficiarán de una gestión de pruebas más sistemática, pero muchas aún necesitan aprender los procesos más eficaces utilizados por las fuerzas de seguridad.

Una buena gestión de las pruebas digitales, en muchas empresas, es un trabajo de equipo. Una buena gestión de las pruebas requiere, en dichas empresas, algo más que una sola persona, aunque sea un experto forense. Necesita personal sobre el terreno que sepa identificar y recoger las pruebas cuando llega al lugar de los hechos. Necesita supervisores que puedan iniciar una cadena de custodia adecuada. Necesita técnicos informáticos que puedan conservar y analizar los datos sin dañarlos. Y necesita un liderazgo que sepa cuándo recurrir a expertos forenses.

En resumen, necesita, en algunas empresas, un equipo completo que conozca las mejores formas de preservar las pruebas digitales. También necesita la tecnología de apoyo adecuada. Pero vayamos a lo práctico.

[perspectivas]

Mejores prácticas para la gestión de pruebas digitales (Procedimientos de gestión de pruebas)

La gestión de pruebas digitales se ha vuelto tan crítica para los asuntos legales y corporativos que las agencias gubernamentales ahora proporcionan rutinariamente orientación sobre las mejores formas de preservar las pruebas digitales. Dado que la mayoría de las empresas no disponen de los recursos necesarios para contratar a especialistas internos en la recogida de pruebas, hemos reunido estas 10 mejores prácticas para el manejo de pruebas digitales. Ayudarán a los no expertos a manejar las pruebas de la forma más segura posible.

1. Documentar el estado del dispositivo
Esto suele pasarse por alto durante la fase de identificación. Asegúrese de tomar fotografías del dispositivo que contiene los medios digitales que va a recoger. Documente su estado físico y dónde se encontraba.

¿Tiene abolladuras o arañazos? ¿Está mojado? ¿Hay herramientas cerca que podrían haberse utilizado para manipularlo? Registre esta información en el mismo sistema de gestión de pruebas que el dispositivo físico.

2. Involucre a expertos forenses
Es importante saber cuándo dejar de trabajar con las pruebas y dejar que los expertos tomen el relevo. Seguir las mejores prácticas aquí detalladas permitirá que incluso los agentes de seguridad, los técnicos informáticos y los oficinistas habituales ayuden en el proceso de recogida. Pero el proceso de conservación y análisis de los datos sigue requiriendo normalmente la intervención de expertos forenses.

3. Tenga una cadena de custodia clara
Documente la transferencia de medios y pruebas digitales entre cada persona y organismo que entre en contacto con ellos. Las lagunas en estos registros pueden impedir que las pruebas sean admitidas en los tribunales en caso de que sea necesario emprender acciones legales. Aunque una cadena de custodia puede registrarse en papel, un registro digital fidedigno suele ser más fiable.

4. No cambie el estado de encendido
Deje el dispositivo en su estado de encendido actual el mayor tiempo posible durante la identificación y recogida de pruebas. Si el dispositivo está encendido, déjelo encendido. Si está apagado, déjelo apagado.

Deje los dispositivos alimentados por pilas en su estado actual el mayor tiempo posible. Obviamente, en el caso de los dispositivos con cable, como los ordenadores de sobremesa, en algún momento tendrá que apagarlos para transportarlos. En el caso de investigaciones muy delicadas, es mejor recurrir antes a expertos forenses siempre que sea posible.

5. Asegure el dispositivo
Garantice una cadena de custodia adecuada tanto para el hardware como para los datos con una fuerte seguridad física. No guarde el dispositivo en una zona de libre acceso. Procure no dejarlo desatendido cuando se esté trabajando en él. Una cadena de custodia deficiente puede reducir el valor de las pruebas durante los procedimientos.

[perspectivas]

Continuación: Mejores prácticas para la gestión de pruebas digitales (Procedimientos de gestión de pruebas)

6. Nunca trabaje con los datos originales
A veces, la recopilación de datos consiste simplemente en copiar archivos legibles del almacenamiento multimedia. Pero a menudo los expertos forenses pueden recoger otros metadatos de los dispositivos. Los metadatos son datos sobre el estado de los archivos en el dispositivo o sobre el propio dispositivo. Los metadatos útiles pueden incluir cómo se accedió a los archivos, si se emitió un comando de apagado o borrado, o si el usuario intentó copiar archivos a otro dispositivo.

Trabajar directamente en el soporte original a menudo eliminará metadatos valiosos. Los servicios profesionales de recuperación de datos y forenses siempre que sea posible realizan sus análisis e informes en copias virtuales de los soportes.

7. Mantenga el dispositivo aislado digitalmente
Otra forma de preservar los metadatos es mantener el dispositivo aislado de otros sistemas de almacenamiento. Manténgalo alejado de las conexiones de red Wi-Fi y por cable.

A veces, el personal bienintencionado puede sobrescribir accidentalmente metadatos valiosos si conecta una unidad de memoria USB intentando copiar archivos por medios convencionales para su análisis. Deje la copia de datos en manos de expertos forenses profesionales.

8. Prepárese para el almacenamiento a largo plazo
Considere si es necesario un almacenamiento externo para la gestión de pruebas a largo plazo, o si un sistema modular de gestión de pruebas in situ puede adaptarse a sus necesidades. Los sistemas modulares podrán escalarse si cambian las necesidades de conservación de pruebas o el espacio disponible.

9. Supervise las transacciones de pruebas
El personal necesitará registrar periódicamente la salida de pruebas para realizar informes o consultas a abogados. Registrar todas estas transacciones es esencial para mantener una cadena de custodia adecuada.

Esto puede resultar difícil para la mayoría de las organizaciones que no cuentan con un gestor de pruebas a tiempo completo. Incluso los organismos policiales que sí cuentan con gestores de pruebas no pueden tenerlos de guardia las veinticuatro horas del día. Considere si las taquillas automatizadas para pruebas pueden simplificar la supervisión de las transacciones.

10. Audite periódicamente su programa de gestión de pruebas
Constantemente llegan al mercado nuevos dispositivos electrónicos. En particular, la llegada de la tecnología del Internet de las Cosas (IoT) significa que ahora hay muchos más tipos de dispositivos que contienen datos. Debe revisar periódicamente sus prácticas de gestión de pruebas digitales para asegurarse de que se adaptan a todos los nuevos tipos de dispositivos y formas de almacenamiento digital que puedan llegar a sus manos.

[Autor]

Entradas