evidencia-digital-peritos-informaticos

ISO 27037

Directrices para el procedimiento de la actuación pericial en el escenario de la recogida, identificación y secuestro de la evidencia digital, aunque no entra en la fase de Análisis de la evidencia (ISO 27042).

Tipología de dispositivos

Los dispositivos y entornos que vamos a ver en esta norma suelen ser :

  • Equipos y medios de almacenamiento y dispositivos periféricos.
  • Sistemas críticos (alta exigencia de disponibilidad).
  • Ordenadores y dispositivos conectados en red.
  • Dispositivos móviles.
  • Sistema de circuito cerrado de televisión digital.

Los principios básicos

– Aplicación de los métodos:

Adquirir la prueba digital de la forma menos intrusiva, y siempre obteniendo copias que nos valgan de respaldo y campo de pruebas.

– El proceso auditable:

Todo el procedimiento que se ha seguido para la adquisición de la evidencia digital debe quedar registrado y validado por las buenas practicas profesionales. Las evidencias y las trazas de nuestro procedimiento deben estar disponibles.

– El proceso reproducible:

Este procedimiento y todas nuestros métodos deben ser verificados y reproducidos por los profesionales de la materia, quienes pueden dar validez a nuestras actuaciones en el momento de la adquisición.

– El proceso defendible:

Las herramientas y los métodos que hemos utilizado han de estar contrastadas y probadas para el fin que perseguimos en la actuación pericial.

 

Por cada tipo de dispositivo que hemos mencionado aqui, la ISO 27037 parte la actuación del perito en 3 procesos:

Identificación:

Localizar e identificar donde esta la informacion potencial, ya sea en estado físico o lógico.

Recolección:

Adquisición de la prueba que nos interesa o la copia exacta del contenedor de esa prueba.

Conservación:

Preservación de la evidencia, conservación de la cadena de custodia e integridad de la misma

Enlace Oficial a la Norma