Informática forense implica la realización de una investigación para determinar lo que ha sucedido, para averiguar quién es el responsable y para reunir pruebas legalmente admisibles para su uso en un caso de delito informático.

En estrecha relación con, pero claramente diferente de las investigaciones, es la respuesta a incidentes. El propósito de la investigación es determinar lo que pasó, para determinar quién es el responsable, y para reunir pruebas. La respuesta a incidentes determina lo que pasó, contiene y evalúa los daños, y restaura las operaciones normales.

Investigaciones y respuesta a incidentes con frecuencia deben realizarse simultáneamente de una manera bien coordinada y controlada para asegurar que las acciones iniciales de cualquiera actividad no destruyan pruebas o causan un mayor daño a los activos de la organización. Por esta razón, Ordenador de Incidentes (o de emergencia) Equipos de Respuesta (CIRT o CERT, respectivamente) deben estar debidamente capacitados y calificados para asegurar la escena del crimen o incidente preservando evidencia. Idealmente, la CIRT incluye a las personas que llevan a cabo la investigación.

La realización de investigaciones

Una investigación de delitos informáticos debe comenzar inmediatamente después de informe de un presunto delito informático o incidente. Inicialmente, cualquier incidente debe ser manejado como una investigación de delitos informáticos hasta que una investigación preliminar determine lo contrario. Los pasos generales a seguir en el proceso de investigación son las siguientes:

• Detectar e incluirá: La detección temprana es fundamental para una investigación exitosa. Desafortunadamente, las técnicas de detección pasiva o reactivos (tales como la revisión de los registros de auditoría y descubrimiento accidental) suelen ser la norma en delitos informáticos y con frecuencia dejan un rastro pruebas frío. La contención es esencial para minimizar las pérdidas o daños.

• Gestión Notificar: La gestión debe ser notificado de cualquier investigación tan pronto como sea posible. El conocimiento de la investigación debe limitarse al menor número de personas posible y debe ser sobre la base de la necesidad de saber. Fuera de la banda de los métodos de comunicación (informes en persona) deben utilizarse para garantizar que las comunicaciones sensibles sobre la investigación no son interceptados.

• Comience investigación preliminar: Esto es necesario para determinar si se ha producido realmente un crimen. La mayoría de los incidentes son errores honestos, no de conducta criminal. Este paso incluye

• Revisión de la queja o informe

• Inspección de daños

• Entrevistar a los testigos

• Examinar los registros

• Identificar nuevas necesidades de investigación

• Iniciar determinación divulgación: El primero y más importante que determinar es si la divulgación del crimen o incidente es requerida por la ley. A continuación, determine si se desea la divulgación. Esto debe ser coordinado con un oficial de la organización de relaciones públicas o los asuntos públicos.

• Llevar a cabo la investigación:

• Identificar posibles sospechosos. Esto incluye personas internas y externas a la organización. Un discriminador estándar para ayudar a determinar o eliminar los posibles sospechosos es la prueba de MOM: ¿El sospechoso tiene el motivo, la oportunidad y los medios para cometer el crimen?

• Identificar los posibles testigos. Determinar quién debe ser entrevistado y que llevará a cabo las entrevistas. Tenga cuidado de no alertar a los sospechosos potenciales para la investigación; centrarse en la obtención de los hechos, no opiniones, en declaraciones de testigos.

• Prepararse para la búsqueda y captura. Esto incluye la identificación de los tipos de sistemas y pruebas que desea buscar o incautados, designar y capacitar a los miembros del equipo de búsqueda y captura (CIRT), la obtención y servir de búsqueda adecuados warrants (si es necesario), y determinar el potencial riesgo para el sistema durante un esfuerzo de búsqueda y captura.

• Resultados del Informe: Los resultados de la investigación, incluidas las pruebas, deben ser reportados a la gestión y entregados a los funcionarios encargados de hacer cumplir la ley o los fiscales apropiadas.

Evidencia

Evidencia es información presentada en un tribunal de justicia para confirmar o disipar un hecho que está en disputa. Un caso no puede ser llevado a juicio sin pruebas suficientes para apoyar el caso. Por lo tanto, la recopilación de evidencia adecuada es una de las tareas más importantes y más difíciles del investigador.

Tipos de pruebas

Fuentes de evidencia legal que se pueden presentar en un tribunal de justicia generalmente caen en una de las cuatro categorías principales:

• La evidencia directa: Este es el testimonio oral o una declaración por escrito sobre la base de la información obtenida a través de los cinco sentidos del testigo (un testigo ocular) que confirma o refuta un hecho o tema específico.

• Evidencia real (o física): son objetos tangibles del crimen real, tales como las siguientes:

• Herramientas y armas

• Los bienes robados o dañados

• cintas de vigilancia visual o de audio

La evidencia física de un delito informático es raramente disponible.

• Las pruebas documentales: mayoría de la evidencia presentada en un caso de delito informático es la prueba documental, como los siguientes;

• Originales y copias de los registros de negocios

• Los registros generados por ordenador y la informática almacenada

• Manuales

• Políticas

• Normas

• Procedimientos

• Los archivos de registro

Registros de la empresa, incluidos los registros informáticos, se consideran tradicionalmente testimonios de oídas por la mayoría de los tribunales debido a que estos registros no pueden ser probadas precisa y fiable. Uno de los obstáculos más importantes para un fiscal para superar en un caso de delito informático está buscando la admisión de los registros informáticos como evidencia.

• Evidencia demostrativa. Se utiliza para ayudar a la comprensión de la corte de un caso. Las opiniones son consideradas evidencia demostrativa y pueden ser

• Experto: Basado en la experiencia personal y hechos

• inexperto del teléfono: Basado en hechos sólo

Otros ejemplos de evidencia demostrativa incluyen modelos, simulaciones, gráficos e ilustraciones.

Otros tipos de pruebas que puedan caer en al menos una de las principales categorías anteriores incluyen

• Mejor evidencia: Original, pruebas inalterada. En el tribunal, esto es preferible a la evidencia secundaria.

Los datos extraídos de un ordenador cumpla la mejor regla pruebas y normalmente se pueden introducir en los procedimientos judiciales como tal.

• Evidencia secundaria: un duplicado o copia de prueba, tales como

• Copia de seguridad de cinta

• Captura de pantalla

• Fotografía

• Una prueba que corrobora: Soportes o corrobora otras pruebas presentadas en un estuche.

• Pruebas concluyentes: incontrovertibles e irrefutables: la pistola humeante.

• La evidencia circunstancial: Hechos relevantes que no se pueden conectar directamente o de manera concluyente a otros eventos, pero sobre la que una inferencia razonable se puede hacer.

Admisibilidad de las pruebas

Debido a la evidencia generada por computadora a menudo puede ser fácilmente manipulado, alterado o manipulado, y porque no es fácil de entender y de uso común, este tipo de pruebas se considera generalmente como sospechoso en un tribunal de justicia.

Para ser admisible, la evidencia debe ser:

• Relevante: Se debe tender a probar o refutar los hechos que son pertinentes y esenciales para el caso.

• Confiable: debe probarse razonablemente que lo que se presenta como prueba es lo que fue originalmente recogidos y que las pruebas en sí es fiable. Esto se logra, en parte, a través de pruebas adecuado manejo y la cadena de custodia.

• Legalmente permitido: Se debe obtener a través de medios legales. La prueba de que no es jurídicamente admisible puede incluir pruebas obtenidas a través de estos medios:

• registros e incautaciones ilegales: personal de aplicación de la ley deben obtener una orden judicial previa; Sin embargo, los agentes del no-derecho, como un administrador supervisor o sistema, pueden ser capaces de llevar a cabo una búsqueda autorizada bajo algunas circunstancias.

• escuchas telefónicas ilegales o escuchas telefónicas: toda persona que realice escuchas telefónicas o escuchas telefónicas debe obtener una orden judicial previa.

• El atrapamiento o seducción: atrapamiento anima alguien a cometer un crimen que la persona puede haber tenido la intención de cometer. Por el contrario, la seducción atrae a alguien hacia algunas pruebas (un bote de miel, si se quiere) después de que la persona ya ha cometido un delito. Enticement no es necesariamente ilegal, pero sí plantea argumentos éticos y puede no ser admisible en la corte.

• Coerción: Coerced testimonios o confesiones no son legalmente permitido.

• El monitoreo no autorizado o indebido: El seguimiento activo debe estar debidamente autorizado y conducida de manera estándar; los usuarios deben ser notificados de que pueden ser objeto de seguimiento.