1. Generalidades
1.1. Objetivo
1.1.1. Establecer las acciones a seguir para la adquisición y preservación de evidencia digital y que ésta a su vez, sea válida para ser presentada ante una Corte.
1.2.1.1
Esta evidencia digital está constituida por archivos de tipo propio y privado.
1.2.1.2
Esta evidencia digital puede estar compuesta de
captura de pantallas para su impresión en papel como así también y para que perdure la misma, incorporar a un
archivo Word esa captura, con su posterior certificación matemática hash.
1.2.1.3
Los archivos pueden estar involucrados en una
investigación interna y de tipo sumarial.
1.2. Introducción
1.2.2
La Institución como empleador debe:
1.2.2.1
Cumplimentar con una secuencia de pasos, que
conforman el presente procedimiento, hasta llegar a la recolección final de la
evidencia digital.
1.2.2.2
Además debe adoptar las medidas legales y técnicas
necesarias que permitan asegurar y demostrar que la evidencia digital obtenida
y sus copias, no han sido alterados.
1.2.3
Hay que recordar que una Evidencia Digital es
una evidencia contenida en un soporte físico y está construida por campos
magnéticos, pulsos electrónicos y que con medios ópticos, pueden ser
recolectados y analizados con herramientas y técnicas especiales.
1.2.4
Se deberá prestar especial atención a los
movimientos que se realicen con la evidencia digital, registrando siempre su cadena
de custodia.
1.3. Antecedentes
1.3.1.
Políticas y Normas de Seguridad de la Empresa XXYY
1.3.2. Manual de Informática Forense, de María Elena Darahuge y Luis E. Arellano González. Editorial Errepar (2011).
1.3.3. Manual de Informática Forense, de María Elena Darahuge y Luis E. Arellano González.(2005).
1.3.4. Marco Legal:
Constitución
de la Nación
Argentina , Art. 18…
Ley 25326 de Protección de Datos Personales, Art. 5…
Ley
26388 de Delito Informático, Art. 4 (Art. 153. C .P.)…
1.4. Alcance
1.4.1.
El presente documento se aplica a todos los
aspectos relacionados a fin de
recolectar evidencia digital de la cuenta de correo electrónico involucrada, en
la Empresa XX
2. Recolección de la evidencia
2.1. Agente generador del requerimiento
2.1.1. Las áreas de Seguridad, Auditoria, Sumarios o Jurídica pueden requerir la recolección de evidencia digital, a fin de ser utilizada en instancias de investigación, sumarial, judicial o para investigar un incidente ocurrido o sospechado.
2.2. Seguridad
2.2.1. Se notifica formalmente del incidente, el cual requiere de la recolección de evidencia digital.
2.2.2. Notificar de la tarea de Recolección de la Evidencia Digital, a las áreas involucradas que deben participar en el lugar de los hechos.
2.2.3. Llevar a cabo las tareas tendientes para realizar la recolección de la evidencia digital, cuyo tratamiento se profundiza a continuación.
3. Tratamiento en la recolección de la evidencia
3.1. Autorización escrita
3.1.1. Dejar constancia escrita de la autorización para realizar el acceso a la información solicitada.
3.2. Certificación de las herramientas utilizadas
3.2.1.
Dejar constancia escrita de los IOS (sistema operativo y versión) de los
dispositivos de conectividad que enlazan el hardware interviniente, desde la pc
de origen, el servidor de correo que la interviene, hasta la grabación de la
evidencia digital en soporte óptico.
3.2.2.
Dejar constancia escrita detalle de cada software de aplicación técnico utilizado
con su respectivo software de base o sistema operativo, y en todos los casos la
versión correspondiente. Se deben incluir además las herramientas de oficina.
3.2.3.
Dejar constancia escrita, del hash del archivo que ejecuta cada software de
aplicación, cada software de base o sistema operativo y cada IOS.
3.2.4.
Dejar constancia escrita detalle del software de aplicación utilizado
para realizar la función hash.
3.3. Licencia de todas las herramientas utilizadas
3.3.1.
Dejar constancia escrita, de la licencia de cada software de aplicación, de
cada software de base y de cada IOS utilizados, en la recolección de la
evidencia digital.
3.4. Firma del Acta de recolección de evidencia digital
3.4.1.
Ante la presencia de Escribano Público que certifique la recolección de la
evidencia digital, se deberá completar y firmar
el “Acta de recolección de evidencia digital – Correo electrónico”, que en
éste caso comprenderá la recolección de pantallas en formato impreso en papel,
por otro lado las mismas adjuntas a un archivo Word con su correspondiente hash
de verificación y también el archivo contenedor de base de datos nsf con su
respectivo calculo de su valor hash.
3.4.2.
El “Acta de recolección de evidencia digital – Correo electrónico”
tendrá un Anexo en el cual el Área de Jurídica deberá tomar debido conocimiento
y participación, en el que se detallará el Marco Legal en el que se encuadra o circunscribe
la presente recolección de evidencia digital de correo electrónico, dando de
corresponder la conformidad previa y necesaria para su resolución.
3.5. Cierre y preservación del soporte magnético
3.5.1.
Se
grabará la evidencia digital en soporte magnético (CD / DVD / Bluray) con su
sesión finalizada (para en DVD-R virgen será DVD-ROM).
3.5.2.
Ensobrar
ese soporte magnético con sobre de tipo inviolable, que asegure su integridad
de resguardo.
3.5.3.
Etiquetar
el sobre con etiqueta inviolable y rotularlo para que permita ser
individualizado en su cadena de custodia.
3.5.4.
Realizar
la guarda del sobre etiquetado en un lugar de acceso restringido y controlado.
3.5.5.
Luego
de cada evento ocurrido con el soporte ensobrado se deberá verificar la
integridad del soporte magnético, corroborando su hash y actualizando su cadena
de custodia en el formulario “Cadena de Custodia – Correo electrónico”.
No hay comentarios:
Publicar un comentario