etapas del análisis forense en informática


25 abril, 2022

Etapas del análisis forense

Análisis Forense

El análisis forense se refiere a una investigación detallada para detectar y documentar el curso, los motivos, los culpables y las consecuencias de un incidente de seguridad o violación de las reglas de la organización o las leyes estatales.

El proceso se divide en 6 etapas: (Disponibilidad, evaluación, colección, análisis, presentación y revisión)

1.Disponibilidad

La preparación forense es una etapa importante y ocasionalmente pasada por alto en el proceso. En informática forense comercial, podría incluir educar a los clientes sobre la preparación del sistema. Por ejemplo, los análisis forenses ofrecen evidencia más sólida cuando las funciones de auditoría de un dispositivo están activadas previamente a que suceda un incidente.

Para el examinador forense, la preparación incluye capacitación, pruebas y verificación apropiadas de su propio software y equipo.

Estos analistas deben conocer la legislación, saber cómo hacer frente a problemas inesperados (qué hacer si durante el análisis de un fraude encuentran imágenes de abuso infantil) y garantizar la adecuación para esa tarea de su ordenador de adquisición de datos y los elementos asociados.

2.Evaluación

Durante la etapa de evaluación, el examinador recibe instrucciones y busca aclaraciones si alguna de ellas no es clara o ambigua, realiza un análisis de riesgos y asigna roles y recursos.

Para la aplicación de la ley, el análisis de riesgos puede incluir la evaluación de la probabilidad de una amenaza física al ingresar a la propiedad de un sospechoso y la mejor manera de lidiar con ella.

Las organizaciones comerciales también deben tener en cuenta los problemas de salud y seguridad, los conflictos de intereses y los posibles riesgos, financieros y para su reputación, cuando aceptan un proyecto en particular.

3.Colección

Si la adquisición de datos se lleva a cabo en el sitio en lugar de en la oficina del examinador forense del ordenador, esta etapa incluye la identificación y protección de dispositivos que pueden almacenar evidencia y documentar la escena.

El examinador también mantendría entrevistas o reuniones con el personal que podría tener información relevante para el examen, como los usuarios finales del ordenador, el gerente y la persona responsable de los servicios informáticos, es decir, un administrador de TI.

La etapa de recolección también puede involucrar el etiquetado de artículos del sitio que pueden usarse en la investigación; estos se sellan en bolsas numeradas a prueba de manipulaciones. Luego, el material debe transportarse de manera segura a la oficina del examinador o al laboratorio.

4.Análisis

El análisis incluye el descubrimiento y la extracción de información recopilada en la etapa de recopilación. El tipo de análisis depende de las necesidades de cada caso. Puede ir desde separar un solo correo electrónico hasta reunir las dificultades en un supuesto de fraude o terrorismo.

Durante el análisis, el examinador generalmente retroalimenta a su gerente de línea o cliente. Estos intercambios pueden hacer que el análisis tome un camino diferente o se reduzca a áreas específicas.

El análisis forense debe ser preciso, exhaustivo, imparcial, registrado, repetible y completado dentro de los plazos disponibles y los recursos asignados.

Existen múltiples herramientas disponibles para el análisis forense informático. El analista debe utilizar cualquier herramienta con la que se encuentre cómodo, pero siempre justificando su preferencia. Una herramienta forense de computadora debe hacer lo que debe hacer, por lo que los examinadores deben probar y calibrar sus herramientas regularmente antes de realizar cualquier análisis.

Los examinadores también pueden usar la «verificación de doble herramienta» para confirmar la integridad de sus resultados durante el análisis. Por ejemplo, si el examinador encuentra el artefacto X en la ubicación Y utilizando la herramienta A, debería poder replicar estos resultados con la herramienta B.

5.Presentación

En esta etapa, el examinador produce un informe estructurado sobre sus hallazgos, abordando los puntos en las instrucciones iniciales, junto con cualquier otra instrucción que hayan recibido. El informe también debe cubrir cualquier otra información que el examinador considere relevante para la investigación.

El informe debe ser escrito con el lector final en mente. A menudo, el lector no será técnico, por lo que se debe utilizar la terminología adecuada. El examinador puede necesitar participar en reuniones o llamadas en conferencia para discutir y elaborar su informe.

6.Revisión

Al igual que en la etapa de preparación, la revisión a menudo se pasa por alto o se ignora, porque no es un trabajo facturable o porque el examinador necesita continuar con el próximo trabajo. Pero llevar a cabo una revisión de cada examen puede hacer que los proyectos futuros sean más eficientes y eficaces en el tiempo, lo que ahorra dinero y mejora la calidad a largo plazo.

La revisión de un examen puede ser simple, rápida y comenzar durante cualquiera de las etapas anteriores. Podría incluir un análisis básico de lo que salió mal y lo que salió bien, junto con los comentarios de la persona o empresa que solicitó la investigación. Cualquier lección aprendida de esta etapa debe aplicarse a futuros exámenes y alimentarse en la etapa de Preparación.


Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.


Quiza también te interese:


17 marzo, 2017

protocolosAAA

16 febrero, 2017

tipos de virus informáticos

28 febrero, 2017