La meta más común al realizar un forense es ganar una mejor comprensión sobre un evento de interés, al encontrar y analizar los hechos relacionados con ese evento. El forense puede ser necesario en muchas situaciones diferentes, como la recolección de evidencia para procedimientos legales y acciones disciplinarias internas, además en el manejo de incidentes relacionados con malware, como también problemas operativos inusuales. Independientemente de la necesidad, el forense debe realizarse mediante un proceso de cuatro fases. Los detalles exactos de estas fases pueden variar según la necesidad específica del forense; las políticas, directrices y procedimientos de la organización deben indicar cualquier variación del procedimiento estándar.

Se describen las fases básicas del proceso forense: recolección, examen, análisis y reporte. Durante la recolección, los datos relacionados con un evento específico se identifican, etiquetan, registran y recopilan, además se preserva su integridad. En la segunda fase, se ejecutan herramientas y técnicas forenses de examen adecuadas para los tipos de datos recolectados, con el propósito de identificar y extraer la información relevante desde los datos recolectados mientras se protege su integridad. El examen puede usar una combinación de herramientas automatizadas y procesos manuales. La siguiente fase, el análisis, consiste en analizar los resultados del examen para obtener información útil el cual aborde las preguntas impulsando la realización de la recolección y el examen. La fase final implica reportar los resultados del análisis, lo cual puede incluir la descripción de las acciones realizadas, la determinación de cuales otras acciones deben realizarse, y la recomendación de mejoras a las políticas, directrices, procedimientos, herramientas y otros aspectos del proceso forense.

El proceso forense transforma los medios en evidencia, ya sea la evidencia sea necesaria para el cumplimiento de la ley, o para el uso interno de una organización. Específicamente, la primera transformación ocurre cuando se examinan los datos recolectados, lo cual los extrae desde el medio y los transforma hacia un formato el cual puede ser procesado por las herramientas forenses. En segundo lugar, los datos se transforman en información a través del análisis. Finalmente la transformación de la información en evidencia es análoga a la transferencia del conocimiento a la acción, usando la información producida por el análisis en una o más formas durante la fase de reporte. Por ejemplo, podría usarse como evidencia para ayudar a enjuiciar a un individuo específico, información factible de ser procesada para ayudar a detener o mitigar alguna actividad, o conocimiento en la generación de nuevas pistas para un caso.

Fuentes:

https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-86...