1. Fase de Identificación:
2. Fase de Validación y Preservación
3. Fase de Análisis
4. Fase de documentación y presentación de las pruebas
Fase de Identificación: comprende el proceso de identificación del incidente y la búsqueda y recopilación de evidencias.
Cuando se encuentre en el lugar donde ha ocurrido el incidente de seguridad, se deben documentar el o los elementos que serán analizados (dispositivos de almacenamiento, conjunto de cintas, conjunto de computadoras) con sus respectivas características.
Fase de validación y preservación: Tras la identificación del elemento, se procede a realizar una imagen exacta del contenido de la evidencia asignando un código único correspondiente a una combinación única de bytes que constituye la totalidad del medio en observación. Este código no debe ser generado en forma reversa, pero sí debe estar normalizado para que otro auditor también pueda verificar la autenticidad de dicha imagen y de este modo crear una cadena de custodia consistente. Así, ya se podrán crear copias iguales de la imagen para que diferentes usuarios que lo requieran, puedan conservar una copia de seguridad.
No hay comentarios:
Publicar un comentario