GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22

Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

GUÍA PARA DESPLIEGUE DE SERVICIO DE ANÁLISIS

FORENSE DIGITAL

Página 1 de 18
 GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22
Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

TABLA DE CONTENIDO

1. OBJETIVO .............................................................................................. 3
2. ALCANCE: .............................................................................................. 3
3. APLICABILIDAD ..................................................................................... 3
4. AUDIENCIA DEL PRODUCTO ............................................................... 3
5. GLOSARIO: ............................................................................................ 4
6. ESTANDARES Y/O FRAMEWORKS: .................................................... 7
7. DEFINICIÓN: .......................................................................................... 7
8. ESTRUCTURA DEL SERVICIO: ............................................................ 8
8.1 Preparación............................................................................................. 8
8.2 Recepción de dispositivos....................................................................... 9
8.3 Tratamiento de la evidencia .................................................................. 11
8.3.1 Actividades de Alistamiento: ................................................................. 11
8.3.2 Actividades de Adquisición de la Evidencia: ......................................... 12
8.3.3 Análisis y Documentación: .................................................................... 12
8.4 Entrega de los Dispositivos: .................................................................. 13
8.5 Socialización y cierre del servicio: ........................................................ 14
8.6 Diagrama del servicio:........................................................................... 14
8.7 Matriz de Roles y Responsabilidades (RECI): ...................................... 15
8.8 Recursos: .............................................................................................. 17
8.8.1 Recurso Humano: ................................................................................. 17
8.8.2 Herramientas: ....................................................................................... 17
9 REFERENCIAS: ................................................................................... 18

Página 2 de 18
 GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22
Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

1. OBJETIVO
Proponer un modelo estructurado o modelo procedimental para la implementación de
un Servicio de Análisis Forense Digital, el cual enmarca su propósito en: las buenas
prácticas para diseñar, desarrollar y aplicarlas, identificando los diferentes recursos
como equipo humano, herramientas de propósito especifico, actividades principales y
habilidades técnicas requeridas para tal fin.

2. ALCANCE:
El alcance definido para este documento es el despliegue del servicio de Análisis
Forense Digital en adelante Servicio, fundamentado en algunas de las buenas prácticas
según estándares de la industria como el ISO/IEC 27037:2012 y alinearlos al contexto
organizacional y/o misional del Ministerio de Educación.
Por otra parte, el documento no establece una directriz especifica o sesga las
actividades actuales de Gestión de Incidentes de seguridad digital.
Su propósito es contar con las mejores prácticas para establecer sin limitarse a:
• Crear un procedimiento específico para las actividades de Análisis Forense
Digital.
• Complementar la documentación existente de Gestión de Incidentes.
• O también de servir como guía para establecer los requerimientos para la
contratación del Servicio en la Entidad.

3. APLICABILIDAD
El escenario de aplicabilidad del Servicio se establece desde la declaración de un
incidente de seguridad de la información en el contexto digital, que requiera un análisis
de causa raíz, tratamiento de la evidencia con el fin de realizar un ejercicio completo
de Análisis Forense Digital.
De este ejercicio se generará un insumo confiable o evidencia probable en un eventual
proceso disciplinario o requerimiento legal.

4. AUDIENCIA DEL PRODUCTO

Considerando su alcance y aplicabilidad, la audiencia de este documento son todas las

áreas del Ministerio, puesto que como se describe en el apartado de Aplicabilidad, un
requerimiento de Análisis Forense Digital se deriva de un incidente de seguridad de la
información, por lo que todas las áreas o roles del Ministerio pueden estar involucrados.

Por otra parte, se considera que algunas de las áreas que puedan tener un interés
especifico o requerimiento en un evento de Análisis Forense Digital sin limitarse a
estas, pueden ser:
Página 3 de 18
 GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22
Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

• Oficina Control Interno.

• Subdirección de Talento Humano.
• Oficina Asesora de Planeación y Finanzas

5. GLOSARIO:
A continuación, definimos los conceptos que se tendrán en cuenta en el documento:
Cadena de Custodia
La cadena de custodia de una evidencia se define como el procedimiento controlado que
se aplica a los indicios materiales relacionados con el delito o la falta disciplinaria, desde la
extracción adecuada de la prueba, la preservación, individualización, transporte apropiado,
entrega controlada, tiene como fin no viciar el manejo de la evidencia, para así evitar
alteraciones, sustituciones, contaminaciones o destrucciones, se considera como el criterio
más valioso para el ejercicio del análisis forense digital.
Hash
Es una función o algoritmo matemático que aplicado a un elemento digital o informático da
como resultado la entrega de un valor numérico que representa su integridad.
Criptoanálisis
Es la parte de la criptografía o de cifrado que se dedica al estudio de sistemas criptográficos,
con el fin de conocerlos, aplicar técnicas tanto de cifrado como descifrado sobre las
diferentes tecnologías en donde se encuentra implementada la criptografía.
Clonación de Discos
Se trata de una actividad para la creación de una copia bit a bit o imagen de un disco ya
sea en unidad SSD o HDD con el fin de replicar funcionalidad o tratar la información
contenida para propósitos específicos.
Línea de tiempo de eventos
Se define como la sucesión de eventos que son evidencias forenses, que están
cronológicamente ordenados y están relacionados o correlacionados, para definir el origen
y/o causa del incidente, este orden cronológico de la evidencia determina la hipótesis o
caracterización del caso de fraude dentro de la investigación.
Evidencia Activa
Se compone de toda la evidencia lógica que está disponible únicamente, en el instante del
incidente esta permanece solamente al mantener encendidos los sistemas evaluados, por
ejemplo, la evidencia almacenada en Memoria RAM de un equipo computo.

Página 4 de 18
 GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22
Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

Evidencia Pasiva
Se compone de toda la evidencia lógica que está disponible, durante y posterior al incidente,
esta permanece aún con los sistemas apagados, por ejemplo, la evidencia almacenada en
discos duros de un equipo computo.
Bloqueo de Escritura
Se trata de una función o capacidades que se habilita en el proceso de copia o clonado de
disco para el bloqueo de escritura que impide la eliminación, modificación y/o formateo de
cualquier tipo de información en una unidad clonada.
Registro Sistema Operativo
También llamada Regedit o registro del Sistema Operativo de Sistemas Windows, en donde
se almacenan configuraciones especificas a través de registros para el funcionamiento de
las aplicaciones y/o servicios del sistema operativo.
Autorun
El autorun es una característica de un sistema operativo que permite ejecutar
automáticamente ciertas instrucciones contenidas el en archivo autorun.inf en sistemas
Windows, esta también se encuentra disponible en las unidades extraíbles (CD, DVD,
memoria flash, USB etc.).
Configuración de Inicio
Se trata del módulo de configuración de inicio del sistema operativo y en sistemas Windows
también llamado msconfig.exe en donde se establecen las condiciones de arranque del
sistema operativo incluidos programas, procesos, servicios, asignación de recursos y
quotas.
Acceso Remoto
Funcionalidad de un sistema operativo para el acceso de manera remota con el fin de
operarlo y/o administrarlo, el cual se dispone a través de diferentes servicios como SSH,
Web, RPC, aplicaciones de propósito específico como Team Viewer, Anydesk, entre otros.
Historial de Navegación
Es la información que el navegador almacena en el equipo mientras se navega por el
navegador Web: información como direcciones URLs de los sitios visitados, la fecha de la
visita entre otros.
Cookies
Se trata de la información de sesión de un usuario en la navegación realizada en un sitio
web, que es identificable por un numero de ID de cookie.

Página 5 de 18
 GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22
Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

Log
Un Log es el registro histórico que contiene una grabación secuencial de los pasos o
acciones realizadas sobre una aplicación o sistema especifico y se almacena en un archivo
o en una base de datos.
Fraude Informático
Dentro del contexto informático un evento de fraude o scam se describe como las acciones
ejecutadas de manera premeditada y con un propósito con fines malintencionados para
realizar engaño, estafa o extorsión a través del uso malicioso de recursos tecnológicos.

Fuga de Información

Es la acción de extraer información o también llamada exfiltración de información dentro de

un entorno controlado, este entorno regularmente es parte de un contexto de trabajo
corporativo, la información exfiltrada o que está fuera de este perímetro se usa para varios
motivos en contrariedad a las políticas corporativas y/o para realizar acciones que van en
contra de la ley.
Robo de Datos
Es la acción realizada por delincuentes informáticos o ciberdelincuentes con el fin de un
aprovechamiento deliberado, o abuso de la información obtenida, para fines de lucro
personal o como parte de acciones delictivas en grupos de delincuencia organizada.
Suplantación Informática
Se presentan eventos de suplantación a través del robo de identidad personal o de
clonación de recursos informáticos con el fin de realizar engaño y fraude informático y
obtener beneficio lucrativo malintencionado o generar afectación reputacional a la
contraparte.
Descifrado
Se trata de una operación matemática ejecutada por ejemplo en el contexto digital, a través
de herramientas específicas, con el fin cambiar el estado de acceso y/o de la protección de
los datos. La información puede estar en reposo o en tránsito y también se puede encontrar
en diferentes medios de almacenamiento.
Imágenes Informáticas
Es el resultado tangible de realizar una clonación de discos, la cual es una copia
técnicamente idéntica.

Página 6 de 18
 GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22
Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

6. ESTANDARES Y/O FRAMEWORKS:

El desarrollo de este documento se fundamenta en las buenas prácticas como son:

• ISO/IEC 27037:2012 — Information technology — Security techniques — Guidelines

for identification, collection, acquisition, and preservation of digital evidence.
La norma ISO/IEC 270371 que establece las directrices para la identificación,
recopilación, adquisición y preservación de evidencia digital.

• Digital Forensic Process2 – Publicado por el portal securereading.com, el cual

enmarca algunos de los pasos para realizar un análisis forense digital y y/o una
investigación de análisis forense digital. CONDICIONES GENERALES:

7. DEFINICIÓN:

Una investigación de forense digital identifica eventos con el fin de determinar la

responsabilidad de los involucrados en el incumplimiento de las políticas o de la
legislación correspondiente en incidentes de seguridad y privacidad de la
información.

El resultado de este es una evidencia tangible para iniciar un proceso disciplinario

y/o legal por parte de las áreas o entidades anexas correspondientes al Ministerio.

A continuación, observamos el Proceso de Análisis Forense Digital con referencia

al recurso publicado en Secure Reading Magazine:

1 International Organization for Standardization - 2012 — Information technology — Security

techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence
https://www.iso.org/standard/44381.html?browse=tc
2 Secure Reading Magazine –2016 - Digital Forensic Process - https://securereading.com/digital-

forensics/
Página 7 de 18
 GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22
Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

Figura 1. Proceso de Análisis Forense Digital por Secure Reading Magazine –2016 - Digital Forensic Process
- https://securereading.com/digital-forensics/

De acuerdo con el modelo descrito en el artículo de Secure Reading Magazine y en

algunos elementos del estándar ISO27037:2012, se formulan las siguientes buenas
prácticas segmentadas por fases, en el desarrollo del servicio, las cuales están
inmersas en la siguiente metodología.

8. ESTRUCTURA DEL SERVICIO:

A continuación, se describen las fases que se deben tener en cuenta para el servicio:

8.1 Preparación.

• Definición del contexto del incidente de seguridad:

Las actividades que se realizan para el análisis forense son consecuencia de un
requerimiento generado por un Incidente de Seguridad y/o privacidad de la
Información o un incidente de Ciberseguridad. Se puede crear a partir de un
requerimiento interno o por un requerimiento externo (Legislación).

• Luego de generar el requerimiento para análisis forense se deben realizar

entrevistas con las partes involucradas donde se defina; hipótesis probables,
grupo de posibles personas involucradas e interesadas, definición de hechos
puntuales, definición de recursos tecnológicos involucrados, semántica utilizada
en el caso de fraude.
• Se debe definir el alcance del análisis forense digital: definición de la estrategia
para el análisis e información sensible que pueda ser relevante.

• Definición de Roles (cantidad de horas dedicadas, responsabilidades):

Con el fin de asegurar la integridad en cadena de custodia se recomienda que la
responsabilidad del tratamiento de los dispositivos se haga a través del menor
número de personas tanto del Ministerio como del tercero que realice las actividades
de análisis forense.
• Definir un Rol de Líder del proyecto o servicio por parte del Ministerio.
• Definir un Rol de Asistente de Proyecto o Servicio por parte del Ministerio.
• Definir Rol del o los Analistas: Nivel 1 y Analistas Nivel 2
• Definir Rol de Líder Técnico del Servicio.
• Definir Rol del Gerente de Proyecto o Servicio.

• Actividades para despliegue de laboratorios según capacidades requeridas:

Página 8 de 18
 GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22
Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

• Determinar el tamaño de las particiones disponibles,

• Formatear las particiones que van a recibir las imágenes,
• Esterilizar (realizar borrado seguro) el contenedor en el cual se almacenará la
imagen de la evidencia digital que se analizará.
• Determinar el tamaño de c/u de las imágenes para clonación.

• Determinar configuraciones específicas para proteger las copias forenses de la

modificación no intencional y establecer un registro o auditoria en el acceso al o los
dispositivos objeto de análisis:
• Herramienta de Borrado Seguro.
• Herramienta de Clonado.
• Herramienta extracción de hash.
• Herramienta de Análisis Digital Forense y Extraccion: OSForensics.
• Herramienta para definir línea de tiempo.
• Herramientas para Descifrado.
• Herramientas para protección de Modificación.

• Plan del Proyecto o Plan de ejecución del Servicio:

• Definición alcance de las actividades que se van a realizar: Definir el alcance
en conjunto de las actividades de apoyo en el acompañamiento formal en un
proceso judicial o disciplinario (horas de dedicación, tipo de profesionales,
capacidades requeridas, condiciones contractuales entre otros.)
• Definición de los tiempos de ejecución de las actividades,
• Definición de los Informes, reportes y documentos entregables.
• Definición de frecuencia de reuniones de Seguimiento.

Las actividades realizadas en esta etapa de preparación se realizan de acuerdo por

los roles descritos en el apartado 8.8.1 Recurso Humano y sus responsabilidades
descritas en la matriz RECI, Numeral 8.7.

8.2 Recepción de dispositivos

Realizar procedimiento para recepción de equipos:

La adquisición de la evidencia se hace en dos escenarios, en dispositivos que

se encuentran apagados o en dispositivos que se encuentran encendidos:

Para los dispositivos que se encuentren apagados y si con la Entidad se

determinan que son viables para transporte, dado su peso, dimensiones, o
características para transporte.

Página 9 de 18
 GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22
Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

Se considera viable realizar la recogida de los equipos en las instalaciones del

Ministerio dado que las actividades de análisis requieren:
• Dedicación exclusiva de personal.
• Laboratorios dedicados para análisis de información en reposo.
• Su ejercicio puede requerir modificación de los métodos para lograr una
investigación más efectiva.
• Cambios en la duración de las actividades del servicio.

En este contexto la recepción y traslado a los laboratorios forenses del

Proveedor o un tercero, se realiza de la siguiente manera:
• Recoger equipos en las instalaciones del Ministerio o en su lugar de
habitabilidad con el fin de realizar el empaquetado y protección física de los
dispositivos.
• Realizar actividades de adquisición y registro documental de la evidencia por
parte del equipo Forense:
• Tomar fotografías y llenar el formato de recolección de evidencias de los
dispositivos para análisis, como:
Nombre del dispositivo, Serial, Modelo, # de Activo Compañía.
Del Disco: PN, SN, Marca y Tamaño.
• Realizar conexión de los dispositivos sujetos de análisis a laboratorio portátil.
• Realizar una copia bit a bit (imagen) de la evidencia digital. Haciendo uso
correcto de bloqueadores de escritura con el fin de no alterar la evidencia
digital.
• Generar Hash md5 y/o Sha1 y/o SHA256 por la línea de comandos con el
fin de establecer un identificador para garantizar la integridad de los datos y
de la evidencia.

Para los dispositivos que se encuentran encendidos primero se debe realizar la

captura de la evidencia volátil de la siguiente manera:

• Hacer toma de la Evidencia Digital Forense de Memoria Volátil o en RAM

que se encuentra en los dispositivos prendidos, que son objeto de análisis a
través del laboratorio portátil de análisis forense.
• Documentar la cadena de custodia de la evidencia digital (Formato de
recolección de evidencias), haciendo uso del formato y diligenciar con el
Ministerio los datos recogidos.
• Una vez se toma la evidencia volátil se debe revisar la viabilidad entre las
partes (Ministerio y proveedor o tercero) para el movimiento de los
dispositivos apagados con el fin de continuar la ejecución del servicio de
acuerdo con condiciones anteriores.
Página 10 de 18
 GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22
Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

• En ambos escenarios se debe crear un acta de la actividad de recepción de

los equipos a satisfacción por parte del Ministerio.

Las actividades realizadas en esta etapa de Recepción de Dispositivos se realizan

por los roles descritos en el apartado 8.8.1 Recurso Humano y sus
responsabilidades descritas en la matriz RECI, Numeral 8.7.

8.3 Tratamiento de la evidencia

En esta etapa se realiza el Alistamiento, Adquisición, Análisis y Documentación de la

Evidencia, a continuación, se describen cada una de estas actividades:

8.3.1 Actividades de Alistamiento:

Si el Ministerio por decisión propia o limitación de política interna existente al

momento de realizar esta actividad, no considera entregar dispositivos para
envió externo, se realizará la copia a través de un laboratorio portátil en los
tiempos y condiciones acordados con el proveedor.

• Realizar el montaje coordinado de los dispositivos para tomar las imágenes.

• Realizar una copia bit a bit (imagen) de la evidencia digital. Haciendo uso
correcto de bloqueadores de escritura con el fin de no alterar la evidencia digital.
• De ser necesario se puede considerar hacer una segunda copia de las imágenes
forenses con el fin proteger la integridad de la primera copia, reduce el riesgo de
alteración de la primera copia.
Este paso permite tener una alternativa para completar la investigación sin
recurrir a un segundo proceso de clonado, el cual puede retrasar la investigación
o fallas en su integridad y por consiguiente en su cadena de custodia.
• Montar la imagen generada en la herramienta de análisis forense.
• Generar tomas de Hash md5 y/o Sha1 y/o SHA256 por la línea de comandos de
las imágenes clonadas y documentar la cadena de custodia.

Las actividades realizadas en esta etapa de Actividades de Alistamiento se realizan

por los roles descritos en el apartado 8.8.1 Recurso Humano y sus
responsabilidades descritas en la matriz RECI, Numeral 8.7.

Página 11 de 18
 GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22
Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

8.3.2 Actividades de Adquisición de la Evidencia:

• En este apartado se describe como obtener la información acerca de cómo fue

realizado el ataque con el fin de establecer, hipótesis y casos pertinentes.
• Iniciar la búsqueda de palabras claves determinadas en el análisis del caso;
Realizar listado de palabras clave.
• Definir responsables de búsqueda por imagen.
• Los recursos dispuestos para realizar la búsqueda son: registro del sistema
operativo [regedit], autorun, correos personales, correos corporativos, archivos
eliminados, archivos normales, usb conectadas, y/o medios removibles leídos,
aplicaciones descargadas, instalación e interacción de aplicaciones de acceso
remoto [mstsc, teamviewer, etc..], historial de navegación, análisis de cookies,
conexión a redes wifi distintas a la corporativa, análisis de log de eventos de:
sistema, seguridad, aplicación, identificación de cuentas de usuario, listado de
procesos en memoria, revisión de archivos temporales, realizar análisis de
amenazas de la imagen, análisis de logs de las aplicaciones].
• Identificar archivos para recuperación y descifrado.
• Realizar tareas de recuperación y criptoanálisis.
• Generar Hash md5 y/o Sha1 y/o SHA256 por la línea de comandos de las
imágenes tomadas con el fin de garantizar la integridad.
• Creación del Caso por cada imagen analizada.
• Recopilación toda la evidencia a través del formato de recolección de evidencias.

Todas las actividades realizadas en esta etapa de Actividades de Adquisición de la

Evidencia se realizan por los roles descritos en el apartado 8.8.1 Recurso Humano
y sus responsabilidades descritas en la matriz RECI, Numeral 8.7.

8.3.3 Análisis y Documentación:

• En relación con las actividades del Análisis Forense Digital, se debe considerar
contar con los siguientes documentos:

Informe Técnico donde se presente el nivel de detalles de todos los casos e hipótesis
desarrolladas en el análisis.

Informe Ejecutivo donde se presente un resumen de los hitos y hallazgos relevantes

que concluyan todo el ejercicio de análisis.

Formato de recolección de evidencias donde se evidencia la trazabilidad del

tratamiento de la evidencia a través del cual certifique la Integridad de los
dispositivos objeto de análisis.

Actas de Inicio y cierre del proyecto o servicio.

Página 12 de 18
 GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22
Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

• Normalización de la evidencia, por tipo de tecnología o tipo de sistema

La documentación debe contener:
1. Creación de Hipótesis del caso, [Se realiza el análisis de información
sobre la imagen extraída para crear hipótesis del caso]
2. Documentación de Hipótesis y casos, Presentación de Evidencia
Probable.
3. Se debe establecer claramente una línea de tiempo de los eventos por
cada hipótesis.
4. De acuerdo con los eventos identificados se deben determinar
claramente las acciones que el intruso llevo a cabo con el fin de que
puedan ser documentadas según triage, riesgo, impacto, SLA, NDA,
entre otros KPI, ya en el contexto del procedimiento para la gestión del
Incidente del Ministerio.
5. Recomendaciones para el tratamiento de los hallazgos.
6. Conclusiones del ejercicio de análisis forense.
2. Realizar entrega formal de la documentación descrita al Ministerio.
3. Realizar retención de los informes en los sitios dispuestos por el Ministerio con
el fin de contar con una base de conocimiento. Y a su vez realizar borrado seguro
de las copias forenses o imágenes de datos que hayan sido tomados para el
análisis con el fin de proteger su confidencialidad.

Todas las actividades realizadas en esta etapa de Análisis y Documentación se

realizan por los roles descritos en el apartado 8.8.1 Recurso Humano y sus
responsabilidades descritas en la matriz RECI, Numeral 8.7.

8.4 Entrega de los Dispositivos:

1. Realizar procedimiento para entrega de equipos y dispositivos:

▪ Realizar actividades de preparación de los elementos y equipos
analizados en las instalaciones del Proveedor.
▪ Tomar fotografías y llenar Formato de recolección de evidencias:
De PC o dispositivos del análisis:
Serial, Modelo, # de Activo Compañía.
De Disco:
PN, SN, Marca y Tamaño.
▪ Generar Hash md5 y/o Sha1 y/o SHA256 por la línea de comandos
de la evidencia digital, en presencia del Ministerio o entes que lo
requieran.
▪ Organizar equipos para entrega a la Entidad y probar el estado de
funcionalidad inicial si fuera necesario.

Página 13 de 18
 GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22
Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

2. Comparar los datos de recepción con los datos de entrega de los activos,
evidenciándole a la Entidad los datos de c/u de las imágenes analizadas,
con el fin de comprobar su integridad.
3. Hacer entrega en físico de los dispositivos analizados al Ministerio de
acuerdo con medio y lugar acordado.
4. Documentar la cadena de custodia haciendo uso del formato, el cual, debe
ser diligenciado entre las partes.
5. Se debe documentar el incidente de seguridad de la información dentro de
los módulos establecidos para este fin, para contar con una base de
conocimiento para el tratamiento de los casos futuros.
6. Crear acta de la actividad de entrega de los equipos a satisfacción por parte
del Ministerio.

Todas las actividades realizadas en esta etapa de Entregade los Dispositivos se realizan
por los roles descritos en el apartado 8.8.1 Recurso Humano y sus responsabilidades
descritas en la matriz RECI, Numeral 8.7.

8.5 Socialización y cierre del servicio:

1. Presentación y Socialización de resultados a las partes interesadas.

2. Entrega del Informe Final y documentación pertinente.
3. Crear acta de cierre del proyecto a satisfacción por parte del Ministerio.

Todas las actividades realizadas en esta etapa de Socialización y cierre del servicio se
realizan por los roles descritos en el apartado 8.8.1 Recurso Humano y sus
responsabilidades descritas en la matriz RECI, Numeral 8.7.

8.6 Diagrama del servicio:

En el siguiente diagrama se expresa de manera general los pasos a seguir para la ejecución

Página 14 de 18
 GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22
Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

del servicio y cada una de sus etapas:

Recepción
Preparación de
Inicio dispositivos

Tratamiento
Evidencia

Alistamiento: Análisis y
Adquisición
Documentación
Devolución
de los
dispositivos

Presentación de resultados

Fin

Figura 2. Diagrama del Proyecto o Servicio Análisis Forense Digital

8.7 Matriz de Roles y Responsabilidades (RECI):

A través de esta matriz se identifica cada uno de los responsables, encargados, informados
y consultados en el servicio de Análisis Forense Digital.

1 2 3 4 5
Responsabilidades/R
Preparació Recepció Tratamient Devolució Presentació
oles
n n o n n
Analistas Nivel 1 R R
Analistas Nivel 2 R R R R R C
Líder Técnico del
R R R R R C
Servicio
Gerente del Proyecto
E I E I E I E I E C I
o Servicio

Página 15 de 18
 GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22
Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

1 2 3 4 5
Responsabilidades/R
Preparació Recepció Tratamient Devolució Presentació
oles
n n o n n
Asistente de Proyecto
C I C I I C I I
del Ministerio
Líder del proyecto del
C I C I I C I I
Ministerio

Respon
R Quien efectivamente realiza la actividad. (Responsable)
sable
Encarga Quien es Encargado de que la actividad se realice y rinde
E
RESPONSABI do cuentas sobre su ejecución.
LIDADES Consult Quien tiene la información o capacidad de la actividad
C
ado descrita, el cual es Consultado.
Informa Quien debe ser Informado sobre el avance y los resultados
I
do de la ejecución de la actividad.

Página 16 de 18
 GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22
Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

8.8 Recursos:

A continuación, se describen el recurso humano que debe participar en el desarrollo del servicio;
pueden existir escenarios donde una persona desarrolle dos roles.

8.8.1 Recurso Humano:

Grupo de analistas nivel 1: con disponibilidad 7/24/365 para realizar las actividades de monitoreo
en el ejercicio de análisis y realizan la búsqueda y alertamiento de eventos del caso forense digital y
realizar actividades asociadas según la etapa.

Analista Nivel 2: con disponibilidad 5x8x365 para ejecutar las actividades de análisis avanzadas,
propone los casos, determina hipótesis y formula y presenta resultados como evidencia probable y
realiza actividades asociadas según la etapa.

Líder Técnico Servicios: con disponibilidad a demanda del proyecto, responsable de la cadena de
custodia de parte del tercero, quien define las capacidades técnicas del servicio, coordina actividades,
garantiza la calidad de los entregables, socializa y entrega el producto o servicio al Ministerio y realiza
actividades asociadas según la etapa.

Gerente del Proyecto o Servicio: con disponibilidad a demanda del proyecto; coordina las
actividades para la entrega exitosa del servicio al Ministerio, atendiendo y resolviendo los
requerimientos/problemas/fallas y/o garantizando el éxito del servicio y realiza actividades asociadas
según la etapa.

Líder y Asistente del proyecto o del servicio del Ministerio: Es el responsable de la cadena de
custodia de parte del Ministerio, es quien realiza el acompañamiento de las actividades, aprueba las
actividades realizadas, recepciona los entregables del servicio y realiza actividades asociadas según
la etapa.

8.8.2 Herramientas:

Se debe contar con un pool de herramientas para dar cumplimento a cada fase en especial a las
descritas en el numeral 8.1.

Página 17 de 18

COPIA CONTROLADA
 GUÍA - PARA DESPLIEGUE DE Código: ST-GU-22
Versión: 01
SERVICIO DE ANÁLISIS Rige a partir de su publicación
FORENSE DIGITAL en el SIG

9 REFERENCIAS:

1. International Organization for Standardization - 2012 — Information technology —

Security techniques — Guidelines for identification, collection, acquisition and
preservation of digital evidence - https://www.iso.org/standard/44381.html?browse=tc y
https://www.iso27001security.com/html/27037.html

2. Secure Reading Magazine – 2016 - Digital Forensic Process -

https://securereading.com/digital-forensics/

Control de Cambios

Fecha de
Versión Naturaleza del cambio
vigencia
01 A partir de su Creación de la guía con el fin de contar con las evidencias digitales
publicación necesarias ante un incidente de seguridad digital o si se presume del
en el SIG incumplimiento a los lineamientos de seguridad de la información del
Ministerio y de esta manera poder escalar el caso al proceso de
evaluación y asuntos disciplinarios para su competencia o a quien
corresponda (entidades legales)

Registro de aprobación
Elaboró Revisó Aprobó
Nombre Edwar Nombre Sonia Ponce Nombre Roger Quirama Garcia
Hidalgo Charria
Acosta
Cargo Contratista Cargo Profesional Cargo Jefe de la Oficina de
de la Subdirección Tecnologia y Sistemas de
Oficina de de Desarrollo Información
Tecnologia y Organizacional.
Sistemas de
Información

Página 18 de 18

COPIA CONTROLADA