La evidencia digital, es un término utilizado de manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal. En este sentido el documento mencionado establece que evidencia digital puede ser dividida en tres categorías:
1. Registros almacenados en el equipo de tecnología informática.
2. Registros generados por los equipos de tecnología informática
3. Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática.
La evidencia digital es la materia prima para los investigadores donde la tecnología informática es parte fundamental del proceso. La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafío para aquellos que la identifican y analizan en la búsqueda de la verdad:
Es volátil, es anónima, es duplicable, es alterable, es eliminable. Estas características nos advierten sobre la exigente labor que se requiere por parte de los especialistas en temas de informática forense, tanto en procedimientos, como en técnicas.
Relevancia de la evidencia Digital
El estándar en esta fase establece valorar las evidencias de tal manera que se identifiquen las mejores evidencias que permitan presentar de manera clara y eficaz los elementos que se desean aportar en el proceso y en el juicio que se lleve. El objetivo es que el ente que valore las pruebas aportadas observe en sus análisis y aportes los objetos de prueba más relevantes para el esclarecimiento de los hechos en discusión. En este sentido el estándar sugiere dos criterios para tener en cuenta a saber:
a. Valor probatorio: que establece aquel registro electrónico que tenga signo distintivo de autoría, autenticidad y que sea fruto de la correcta operación y confiabilidad del sistema.
b. Reglas de la evidencia: que establece que se han seguido los procedimientos y reglas establecidas para la adecuada recolección y manejo de la evidencia.
1. Demostrar con hechos y documentación que los procedimientos aplicados para recolectar y analizar los registros electrónicos son razonables y robustos.
2. Verificar y validar con pruebas que los resultados obtenidos luego de efectuar el análisis de los datos, son repetibles y verificables por un tercero especializado.
3. Auditar periódicamente los procedimientos de recolección y análisis de registros electrónicos, de tal manera que se procure cada vez mayor formalidad y detalles en los análisis efectuados.
4. Fortalecer las políticas, procesos y procedimientos de seguridad de la información asociados con el manejo de evidencia digital.
5. Procurar certificaciones profesionales y corporativas en temas relacionados con computación forense, no como signos distintivos de la experiencia de la organización en el área, sino como una manera de validar la constante revisión y actualización del tema y sus mejores prácticas.