ISO 27037
Directrices para el procedimiento de la actuación pericial en el escenario de la recogida, identificación y secuestro de la evidencia digital, aunque no entra en la fase de Análisis de la evidencia (ISO 27042).
Tipología de dispositivos
Los dispositivos y entornos que vamos a ver en esta norma suelen ser:
- Equipos y medios de almacenamiento y dispositivos periféricos.
- Sistemas críticos (alta exigencia de disponibilidad).
- Ordenadores y dispositivos conectados en red.
- Dispositivos móviles.
- Sistema de circuito cerrado de televisión digital.
Los principios básicos
– Aplicación de los métodos:
Adquirir la prueba digital de la forma menos intrusiva, y siempre obteniendo copias que nos valgan de respaldo y campo de pruebas.
– El proceso auditable:
Todo el procedimiento que se ha seguido para la adquisición de la evidencia digital debe quedar registrado y validado por las buenas prácticas profesionales. Las evidencias y las trazas de nuestro procedimiento deben estar disponibles.
– El proceso reproducible:
Este procedimiento y todos nuestros métodos deben ser verificados y reproducidos por los profesionales de la materia, quienes pueden dar validez a nuestras actuaciones en el momento de la adquisición.
– El proceso defendible:
Las herramientas y los métodos que hemos utilizado han de estar contrastadas y probadas para el fin que perseguimos en la actuación pericial.
Por cada tipo de dispositivo que hemos mencionado aquí, la ISO 27037 parte la actuación del perito en 3 procesos:
Identificación:
Localizar e identificar donde esta la información potencial, ya sea en estado físico o lógico.
Recolección:
Adquisición de la prueba que nos interesa o la copia exacta del contenedor de esa prueba.
Conservación:
Preservación de la evidencia, conservación de la cadena de custodia e integridad de la misma
