Política de recopilación de evidencias y análisis forense

La Política de recopilación de evidencias y análisis forense (P31) establece un marco estructurado y con defensa jurídica para gestionar la identificación, recopilación, preservación, análisis y eliminación de evidencia digital en casos de incidentes de seguridad reales o presuntos. Su objetivo central es garantizar la preparación forense manteniendo la integridad y la admisibilidad de la evidencia para investigaciones internas, procedimientos legales o cumplimiento normativo. El alcance integral de la política se aplica a todo el personal, contratistas, proveedores externos y proveedores terceros de servicios que participen en la administración de sistemas o en actividades de investigación, y rige endpoints, servidores, redes, plataformas en la nube y cualquier incidente que requiera manejo de evidencia, incluidas amenazas internas, uso indebido, incidentes de sistemas de tecnología operativa (OT) y vulneraciones de activos físico-digitales. Los objetivos clave subrayan la adquisición rápida y segura de evidencia, la preservación rigurosa de la integridad probatoria y la documentación estricta, incluida la cadena de custodia, para cumplir tanto con obligaciones legales como con obligaciones reglamentarias. Las actividades forenses están estrechamente vinculadas con el análisis posterior al incidente y las mejoras de control, integrándose sin fricciones en el Sistema de gestión de la seguridad de la información (SGSI). Se delimitan responsabilidades para el Director de Seguridad de la Información (CISO), analistas forenses, administradores de TI, responsables de Legal y Cumplimiento, Recursos Humanos (RR. HH.) y funciones de Auditoría interna, con el fin de salvaguardar la defensa jurídica y la transparencia en cada etapa de un incidente. La política exige varios requisitos de gobernanza, incluida la existencia de un programa formal de preparación forense. Este programa define criterios de activación para la recopilación de evidencia, rutas de escalado, conjuntos de herramientas aprobados para uso forense y hace hincapié en los estándares de documentación e informes para guiar todas las actividades. Todas las actividades de manejo de evidencia deben adherirse a normas forenses aceptadas internacionalmente, como ISO/IEC 27035 para la gestión de incidentes, NIST SP 800-86 para la planificación forense y NIST SP 800-101 Rev.1 para el análisis forense de medios. La política requiere un registro de herramientas forenses y exige que la evidencia se adquiera de forma segura, se etiquete, se almacene con verificaciones de integridad y que todos los movimientos se registren en un registro de cadena de custodia firmado. Los requisitos de implementación de la política prescriben procedimientos detallados para la adquisición de evidencia (utilizando bloqueadores de escritura y herramientas validadas), el aislamiento del sistema, la recopilación de archivos de registro y metadatos (garantizando registros con sincronización horaria para la consistencia de la línea temporal) y entornos seguros y aislados para el análisis forense. Las medidas de Protección de datos requieren una estricta alineación con GDPR cuando la evidencia involucra datos personales, incluido control de acceso, cifrado y documentación clara de la justificación de la recopilación. La conservación de la evidencia se rige por requisitos legales o contractuales, y la eliminación segura debe adherirse a la Política de conservación de datos (P14). También se describen los procesos de tratamiento del riesgo y de excepciones, con requisitos específicos para documentar, presentar y aprobar excepciones, especialmente cuando la evidencia no puede manejarse conforme a los procedimientos estándar. La monitorización del cumplimiento, las auditorías periódicas, la integración de la política con la Política de respuesta a incidentes (P30), así como la aplicación mediante medidas disciplinarias o acciones legales, sustentan la eficacia de la política. El proceso de revisión se formaliza anualmente y tras incidentes críticos. La política está alineada con marcos internacionales, incluidos ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 y 800-101, COBIT 2019, el GDPR de la UE, NIS2 y DORA.