Documentación

La documentación que requieren los administradores de sistemas y los expertos en informática forense es extremadamente detallada. Deben registrar no solo la evidencia que se recopiló, sino también la forma en la que se recopiló y las herramientas que se utilizaron para hacerlo. La documentación del incidente debe contener convenciones de nomenclatura coherentes de los resultados obtenidos con las herramientas forenses. Registre la hora, la fecha y la identidad de la persona que realiza la recopilación forense. Registre la mayor cantidad de información posible sobre el incidente de seguridad. Estas prácticas proporcionan una pista de auditoría para el proceso de recopilación de información.

Aunque no sea administrador de sistemas o experto en informática forense, es un buen hábito registrar detalladamente todo el trabajo que realiza. Si descubre una actividad ilegal en una PC o red en la que está trabajando, registre, como mínimo, la siguiente información:

Los equipos de primera respuesta quieren saber qué hizo y qué no hizo. Es posible que se utilice la documentación como parte de la evidencia en una acción legal. Si agrega o modifica algo en esta documentación, es de suma importancia que informe a todas las partes interesadas.

Cadena de custodia

Para que la evidencia sea aceptada, se debe autenticar. Es posible que el administrador de sistemas ateste la evidencia reunida. Sin embargo, también deberá probar cómo se recopiló esa evidencia, dónde se almacenó físicamente y quién tuvo acceso a esta desde el momento de la recopilación hasta la inclusión en el proceso judicial. A esto se lo conoce como “cadena de custodia”. Para probar la cadena de custodia, los equipos de primera respuesta siguen procedimientos de registro establecidos para hacer un seguimiento de la evidencia recopilada. Además, estos procedimientos evitan que se altere la evidencia y, de esta forma, se asegura su integridad.

Incorpore procedimientos de informática forense en su enfoque para la seguridad de PC y red. Así logrará asegurar la integridad de los datos. Estos procedimientos lo ayudan a capturar los datos necesarios en caso de que se produzca una infracción en una red. Asegurar la viabilidad y la integridad de los datos capturados lo ayuda a acusar al intruso.