Otro componente subyacente para una investigación forense es el desarrollo de una metodología. Esta no es más a un conjunto de pautas utilizadas para mantener la consistencia.

Puede resultar muy difícil desarrollar una metodología para investigaciones forenses de computadoras, porque existen muchas variables en los casos. Pero existen dos cosas los cuales pueden dar fundamento a un análisis, además de una construcción de casos infalibles: definir la metodología y trabajar en consecuencia. Al definir una metodología, el profesional puede tener una visión general sobre como se deben manejar los casos forenses en general, aunque cada caso se maneja de manera diferente.

La metodología también puede utilizarse como punto de referencia, y el investigador puede trabajar según las etapas indicadas:

Un profesional sigue etapas estándar para preparar un caso forense. La mayoría de estas siguen siendo las mismas para resolver cualquier tipo de caso. Son los siguientes:

1. Evaluar inicialmente el caso: El investigador debe hacer preguntas relacionadas, y documentar las respuestas de las personas. Los profesionales en seguridad de la empresa pueden relacionar las preguntas con la captura de equipos y componentes de cómputo. Los profesional deben verificar la función de la computadora intervenida, además de las pruebas relacionadas con el caso.

2. Determinar un diseño o enfoque preliminar para el caso: Durante este etapa, el profesional prepara un esquema general para investigar el caso. En el escenario donde un empleado viole la política de la compañía, esta etapa se ocupa en determinar si la computadora del empleado puede ser confiscada durante el horario laboral, o si un profesional forense debe esperar hasta después del horario de oficina o fin de semana.

3. Preparar un diseño detallado: El profesional perfecciona un esquema general preparado durante la etapa anterior. Planifica las etapas detalladss, teniendo en consideración el tiempo, recursos, y dinero estimados necesarios para completar cada etapa. Esto ayuda al profesional forense a realizar un seguimiento del progreso de una investigación, además de garantiza existan controles adecuados en caso desviarse del plan.

4. Determinar cuales recursos se requieren: El tipo de software utilizado para la investigación varía según el sistema operativo utilizado por el sospechoso.

5. Obtener una unidad de almacenamiento conteniendo evidencia: El profesional confisca los diferentes tipos de equipos utilizados por los sospechosos del caso.

6. Copiar una unidad de almacenamiento conteniendo evidencia: El profesional crea imágenes de la evidencia obtenida durante la etapa anterior, hacia un dispositivo de almacenamiento diferente, para luego preparar una copia forense desde el dispositivo de almacenamiento.

7. Identificar los riesgos involucrados: Un profesional puede enfrentar muchos problemas mientras maneja un caso, por lo cual los profesionales deben documentar cualquier problema esperado, o limitaciones factibles de ocurrir durante una investigación. Esta documentación sobre los problemas se denomina evaluación estándar de riesgos. Por ejemplo un sospechoso podría haber establecido un esquema de inicio de sesión el cual apaga la computadora, o borra el dispositivo de almacenamiento si alguien cambia la contraseña.

8. Minimizar los riesgos: Un profesional debe buscar diferentes formas de minimizar los riesgos identificados durante la etapa anterior. Por ejemplo si el sospechoso hubiese protegido un dispositivo de almacenamiento con contraseña, el profesional deberá realizar varias copias del dispositivo antes de iniciar la investigación. Esta etapa ayudará al profesional a lograr la meta para recuperar la información.

9. Probar el diseño: El profesional necesita revisar las decisiones hechas, y las etapas dadas hasta el momento. Durante la revisión el profesional puede determinar si las etapas realizadas son correctas y pueden ser justificadas.

10. Analizar y recuperar evidencia digital: El profesional puede analizar y recuperar evidencia digital, utilizando las herramientas software, además de otros recursos determinadas en las etapas anteriores.

11. Investigar los datos recuperados: Una vez se recuperan y analizan datos, el profesional puede verlos y organizarlos, para ayudar a probar la culpabilidad o inocencia del sospechoso.

12. Completar el reporte del caso: El profesional prepara un reporte completo conteniendo información sobre aquello realizado y encontrado.

13. Criticar el caso: Este etapa se trata de una autoevaluación por parte del profesional. Una vez completada la investigación relacionada con el caso y preparado reporte, el profesional debe revisar el caso para identificar decisiones y acciones exitosas, además de trabajar en cualquier deficiencia. Esto ayudará al profesional a afrontar casos futuros.

Fuentes:

https://forensics.wiki/computer_forensics/#external-links