Procedimiento de evidencia digital

1. FASE I: Aislamiento de la escena: Restringir el acceso a la zona del incidente

1.1. Cadena de custodia

1.2. Procedimiento oficial de la fiscalia para la cadena de custodia

2. Fase IV: Análisis de datos

2.1. Análisis de información prioritatira

2.2. Generación de listado de archivos comprometidos generados por el caso

2.3. Obtención de la línea de tiempo de la evidencia

2.4. Generación de informe final

3. FASE V: Reporte

3.1. Resultado de los análisis

3.2. Herramientas y procedimientos para recolectar y analizar información

3.3. Acciones a tomar

3.4. Recomendaciones para mejorar políticas y procedimientos

4. FASE II : Identificación de la información

4.1. Identificación de fuentes de datos

4.2. Adquisición de datos

5. FASE II : Examinación y recolección de la información

5.1. Creación de bitácora de hallazgos

5.2. Imagen de datos

5.3. Verificación de integridad de de la imagen

5.4. Verificación de antivirus

5.5. Verificación de HPA y sistema de archivos

5.6. Recuperación de archivos borrados e información escondida

5.7. Identificación de archivos inexistentes o escondidos

5.8. Depuración de archivos buenos conocidos

5.9. Recomendaciones