El termino documentación en este ámbito se refiere a las políticas, procedimientos, gestión de conocimiento, o flujo de trabajo dentro del Equipo para Respuesta ante Incidentes. Existen dos áreas importantes a considerar por el Equipo para Respuesta ante Incidentes. Existen muchos otros tópicos valiosos, pero el Equipo para Respuesta ante Incidentes debe evaluar cual tiene más sentido documentar.

Manejo de Evidencia

La evidencia es la fuente de hallazgos para cualquier investigación, y debe ser manejada adecuadamente. Es obligatorio la atención al detalle y el estricto cumplimiento con respecto al manejo de la evidencia. Si la integridad de la evidencia es cuestionada, los hallazgos de una investigación pueden no proporcionar valor para la organización. Para prevenir esta ocurrencia se recomienda implementar políticas y procedimientos apropiados para el manejo de evidencia. Típicamente pueden incluir directrices sobre la recolección, documentación, almacenamiento y entrega de la evidencia.

Como mínimo se necesitan crear procedimientos para fortalecer la integridad, y proporcionar autenticación y verificación. La integridad se logra a través de lo denominado como control positivo. El control positivo significa la evidencia debe siempre estar bajo supervisión directa por personal autorizado, o asegurado en un entorno o contenedor controlado, como también seguro. Cuando se entrega la evidencia, esta debe ser enviada mediante un mensajero rastreable, y empaquetado de tal manera este a prueba de manipulaciones, además de estar protegido de los elementos. La autenticación se logra a través de la documentación, incluyendo etiquetar la evidencia y la cadena de custodia. La validación se logra a través de sumas de verificación criptográficas, como MD5 o SHA-1, los cual se calcula en el momento de la recolección, y puede ser validado en cualquier momento. La validación prueba la evidencia no ha sido cambiada desde el momento de la recolección.

Repositorio Interno de Conocimiento

Conforme el Equipo para Respuesta ante Incidentes realiza investigaciones e interactúa con otros departamentos en la organización, acumulan conocimiento el cual debe ser documentado en una localización central. Alguna información puede únicamente estar relacionada hacia un único incidente, y puede ser almacenada en esquema de tickets, o un sistema para la gestión del caso utilizado por el Equipo para Respuesta ante Incidentes. Otra información puede estar relacionada hacia la organización como un todo, y debe ser documentada en un repositorio de conocimiento mantenido por el Equipo para Respuesta ante Incidentes. Este repositorio debe estar lógicamente organizado y factible de ser buscado, de tal manera el equipo puede efectivamente localizar información relevante.

Fuentes:

https://www.justice.gov/sites/default/files/criminal-ccips/legacy/2015/0...
https://www.law.cornell.edu/rules/fre