ISO/IEC 27037:2012 Guidelines for identification, collection, acquisition and preservation of digital evidence

Hasta el año 2012, dos instituciones eran consideradas las referencias ineludibles para el análisis digital forense, el National Institute of Standart and Technology (NIST), y el Federal Bureau of Investigation (FBI).

Actualmente, la referencia es la norma de alcance global ISO/IEC 27037:2012. Proporciona pautas para el manejo de la evidencia digital; sistematizando la identificación, recolección, adquisición y preservación de la misma; con procesos diseñados para respetar la integridad de la evidencia y con una metodología aceptable para asegurar a su admisibilidad en procesos legales. De acuerdo con la ISO/IEC 27037:2012 la evidencia digital es gobernada por tres principios fundamentales: la relevancia, la confiabilidad y la suficiencia, elementos que definen la calidad de cualquier  investigación basada en evidencia digital. Esta norma también proporciona directrices generales para la obtención de pruebas no digitales que pueden ser útiles en la etapa de análisis de la evidencia digital. Los individuos involucrados en la identificación, recolección, adquisición y preservación de potencial evidencia digital son clasificados en dos grandes grupos de especialistas: Digital Evidence First Responder (DEFRs) o especialista en evidencia digital de primera intervención, Digital Evidence Specialist (DESs) o especialista en evidencia digital, especialistas en respuestas a incidentes y directores de laboratorios forenses. Cada uno de ellos con atribuciones y conocimientos y habilidades perfectamente definidos. De esta manera se asegura que las personas responsables de gestionar potencial evidencia digital lo hagan con prácticas sistemáticas aceptadas en todo el mundo. La norma también está destinada a aquellas personas que necesitan determinar la confiabilidad de la evidencia digital que se les presenta. Es aplicable a las organizaciones que necesitan formalmente establecer un marco de aceptabilidad. La evidencia digital a la que hace referencia puede obtenerse de diferentes tipos de dispositivos digitales, redes, bases de datos, etc; pero siempre se refiere a datos que ya están en formato digital y no abarca la conversión de datos analógicos a formato digital. La ISO/IEC 27037:2012 no aborda los procedimientos legales, procedimientos disciplinarios y otras acciones relacionadas con el inadecuado manejo de la evidencia digital; se entiende que la aplicación de esta norma internacional exige además el cumplimiento de las leyes, normas y reglamentos nacionales. No sustituye los requisitos legales específicos de cualquier jurisdicción. La norma obviamente presenta el concepto de Cadena de Custodia (CoC) y establece los recaudos mínimos a tener en cuenta: un identificador univoco de la evidencia; quién, cuándo y dónde  accede; cómo es el pasaje de la evidencia de un sitio a otro: etc.

¿Qué es lo que más me gustó de la ISO/IEC 27037:2012? 

Primero, el extraordinario glosario de términos (¡ya se esto es obvio y que toda norma ISO incluye un glosario!) para que todos sepamos a que nos referimos cuando hablamos entre colegas.

Segundo, la taxonomía que puede verse en la Figura 1, en donde se establecen los cuatro escenarios posibles considerando que la evidencia puede encontrase en un sistema encendido o apagado y adquisición de la evidencia puede hacerse en el lugar o en el laboratorio.


Fig. 1


Un consejo a todos aquellos interesados en el análisis digital forense: peritos, agencias del estado, laboratorios forenses, profesores, etc: ¡COMPRAR LA NORMA!


Referencias:
El tratamiento de la evidencia digital y las normas ISO/IEC 27037:2012: Roatta, S. ; Casco, M. E.; Fogliato, G. XXI Congreso Argentino de Ciencias de la Computación, Junín, 2015 paper,  y presentación



Comentarios

Publicar un comentario

Entradas más populares de este blog

Un poco de arquitectura de computadoras y sistemas operativos

Imagen
Para estudiar Organización y Arquitectura de Computadoras les recomendaría los libros de John L. Hennessy y David A. Patterson. Son a mi parecer los mejores. Todos ellos. Pero pueden ser demasiados avanzados y rigurosos; y solo necesarios para aquellos que deseen encontrar vulnerabilidades de hardware o firmaware en un iPhone 7 haciendo ingeniería inversa. Algo extremadamente pretencioso. Los libros de William Stallings parecen mas accesibles sin perder rigurosidad académica: En ambos libros no es necesario la última versión, y por supuesto que las últimas versiones están solo en inglés. En las ediciones en español, la traducción es bastante buena
Leer más

¿Qué es el Análisis Digital Forense?

¡Voy a compartir y difundir información sobre informática forense y disciplinas adyacentes! En realidad el término correcto es Análisis Digital Forense:  la aplicación de técnicas científicas y analíticas especializadas que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. Es una problemática que involucra tres disciplinas:  hardware (electrónica digital, comunicaciones..), software (sistemas de archivos, sistemas operativos, criptografía... ) y obviamente derecho (desde cuestiones básicas como el aseguramiento de la cadena de custodia hasta problemas aún sin resolver como el acceso transfonterizo a evidencia en la nube). Como hay que comenzar por el principio (obvio, jajaja), les recomiendo dos libros con contenidos de criptografia y seguridad informática. Están escritos en castellano lo que elimina pésimas traducciones del inglés. Uno de ellos es Seguridad en Unix y Redes , del profesor Antonio Villalón Huerta. E...
Leer más