EnCase ao Resgate: O Básico Do Registro De Cadeia De Custódia

Ao suceder um incidente cometido através de um meio informático dentro de uma organização, pessoas encarregadas de averiguar o que foi o que sucedeu normalmente como primeiro passo tomam nota de todas as atividades que aconteceram, com o intuito de fazer seguimento a um possível fato punível e iniciar a classificação de informação que sirva para despejar o ocorrido. Isso está muito bem, mas também por desconhecimento deixam de lado informação ou evidência importante, que se deveria tomar no momento que sucederam os fatos. Esta informação deve ser protegida de maneira segura, confiável e que se possa fazer seguimento desde o momento que foi coletada até sua análise ou destino final.

Uma vez ocorrido o fato, as pessoas encarregadas de coletar a evidência digital devem assegurar-se de seguir uma série de passos simples, mas que no futuro serão importantes em uma auditoria ou seguimento de uma conduta punível. Para seguir ditos passos, devemos utilizar sempre, sempre, ferramentas adequadas (ver na parte II) para proteger a evidência, garantir que é autêntica, manter sua identidade e integridade, preservá-la em lugares adequados ao tipo de evidência, oferecer-lhe segurança, e, sobretudo saber quem teve contato com dito elemento (continuidade e registro). Todo o anterior se pode denominar como levar uma adequada cadeia de custódia desde que se inicia até que se lhe dá um destino final ao elemento material de prova (EMP), ou seja, uma pessoa que colete uma evidência será responsável do contêiner (embalagem ou pacote) e da evidência. Sempre que possível, registre fotograficamente os EMP antes de sua embalagem, durante o seu processo e ao finalizar a embalagem e rotulado (descrição do elemento).

De acordo com o anterior, se devem gestionar dois documentos: um, que se denominará rótulo, aonde irá a descrição do elemento em questão; outro, onde estará o registro e aí se plasme o anterior e que, cada vez que troque o responsável, se diligencie sua localização, estado e data de troca, pelo que se sugere se tenham em conta os seguintes campos onde a informação deve ser completa e precisa:

-       Rótulo

         o   Identificação do caso
         o   Data e hora de coleta ou tomada de evidência
         o   Lugar de coleta
         o   Descrição do elemento (aqui se deve fazer uma descrição completa do tipo de elemento, marca, série, modelo, capacidade de armazenamento)

-       Cadeia de custódia

         o   Identificação do caso
         o   Data e hora da coleta
         o   Quem achou, quem coletou, embalou (pessoa que encontrou a evidência)
         o   Data e hora da entrega da cadeia de custódia a outra pessoa
         o   Nome e identificação da pessoa que recebe o elemento
         o   Qualidade na que atua (perito, custódio, analista, etc.)
         o   Descrição de como recebe o elemento
         o   Objetivo da entrega (análise, custódio)
         o   Firma

Desta forma, levando sigilosamente os dois registros, durante a investigação dos fatos sempre se garantirá sua integridade e que os elementos coletados, produto de uma investigação de caráter digital, se lhes foi feito um excelente acompanhamento em seus translados e traspassos.

RELACIONADOS

Descobrindo Fraude Através Do Arquivo Index.dat

Que Papel Desempenham Os Metadados Dentro De Uma Evidência?

Como Obter Evidencia Em Ajustes De Discos

O Reto Forense Em Discos De Estado Sólido (SSD)

Grupo de LinkedIn: Usuários do EnCase - Português

EnCase ao Resgate

O Básico Do Registro De Cadeia De Custódia - Parte 1

No comments :

Post a Comment

We're Here to Help

Connect With Us

Tags

Popular

Archive