A perspetiva da Cyber Academy
ISO 27037 é a norma de forense digital para identificar, recolher, adquirir e preservar prova digital. A referência que uma equipa forense interna, um CERT ou um consultor de apoio a litígio utiliza para manter a cadeia de custódia íntegra. Trate-a como o manual com que auditores e advogados irão comparar as suas ações após um incidente.
O que a ISO/IEC 27037 rege
A ISO/IEC 27037 é a diretriz internacional para a primeira fase, e a mais frágil, de qualquer investigação digital: apoderar-se da prova sem a destruir. Insere-se na família mais ampla ISO/IEC 27000, ao lado da ISO/IEC 27001, mas, enquanto a 27001 indica como gerir um sistema de gestão, a 27037 indica aos seus intervenientes exatamente como manusear um servidor em funcionamento, um portátil apreendido, um telemóvel ou uma conta na nuvem para que aquilo que é capturado possa depois resistir ao escrutínio. Abrange quatro atividades em sequência: identificar a potencial prova digital, recolher os dispositivos físicos, adquirir os dados deles e preservar tanto os dispositivos como as cópias até à entrega.
A norma introduz dois papéis a que os profissionais recorrem constantemente. O Digital Evidence First Responder (DEFR) é a pessoa presente no local que decide o que apreender e como. O Digital Evidence Specialist (DES) possui a competência técnica mais aprofundada para tratar os casos delicados, como sistemas ativos, volumes cifrados ou hardware incomum. Espera-se de ambos que documentem cada decisão, porque o valor da prova digital assenta menos nos bytes em si e mais em poder provar que não foram alterados.
A cadeia de custódia e os princípios que a sustentam
A 27037 assenta num punhado de princípios que reaparecem em todo método forense credível. A prova adquirida deve ser pertinente, fiável e suficiente. As ações realizadas sobre o original devem ser mantidas no mínimo necessário e plenamente justificadas. Qualquer pessoa competente deve poder repetir o processo e chegar ao mesmo resultado, razão pela qual as ferramentas de imagem, os bloqueadores de escrita e os hashes de verificação importam tanto. O fio que liga tudo é a cadeia de custódia: um registo contínuo e documentado de quem deteve a prova, do que fez com ela e quando, desde o momento da recolha até à sua apresentação.
- Identificação: reconhecer o que poderia constituir prova, dos discos e telemóveis até à memória volátil e às capturas de rede.
- Recolha: retirar os dispositivos do local, com a ordem de volatilidade a decidir o que é capturado primeiro.
- Aquisição: produzir uma cópia verificável, normalmente uma imagem forense validada por um hash criptográfico.
- Preservação: proteger o original e as cópias contra qualquer alteração, perda ou contaminação.
Onde se encaixa na resposta a incidentes e na família mais ampla
Na prática, a 27037 é a ponte entre detetar um incidente e poder fazer algo de útil com os artefactos depois. Um SOC interno que retira uma imagem de disco da maneira errada, ou que apaga a memória volátil ao reiniciar um host comprometido, pode detetar um atacante na perfeição e ainda assim acabar com uma prova em que nenhum tribunal ou regulador confiará. É por isso que se lê a par das orientações de gestão de incidentes da ISO/IEC 27035 e dos controlos do Anexo A da ISO/IEC 27001. A disciplina é a mesma quer o objetivo seja uma ação penal, um litígio laboral, uma reclamação de seguro ou simplesmente um relatório interno que resista à contestação.
Para os profissionais, a lição é processual, não teórica. Decida com antecedência quem são os seus DEFR e DES, dote-os de ferramentas validadas, redija o formulário de cadeia de custódia antes de precisar dele e ensaie a ordem de volatilidade para que ninguém reinicie a única máquina que importava. Quando uma investigação corre mal, quase nunca é a análise que falha. É a primeira hora, exatamente a hora sobre a qual a 27037 está escrita.
Frequently asked questions
01A minha organização pode ser certificada na ISO/IEC 27037?
Não. É uma norma de diretrizes para o manuseamento da prova digital, não uma norma de requisitos, pelo que não há nada face ao qual se certificar. Adota-a como o método que os seus intervenientes seguem e o referencial pelo qual o seu manuseamento é avaliado.
02Qual é a diferença entre um DEFR e um DES?
O Digital Evidence First Responder é a pessoa no local que identifica e recolhe a prova. O Digital Evidence Specialist possui uma especialização técnica mais aprofundada para os casos mais difíceis, como sistemas ativos, cifragem ou hardware incomum. Ambos devem documentar as suas ações.
03Como é que a ISO/IEC 27037 se relaciona com a ISO/IEC 27041, 27042 e 27043?
A 27037 abrange a identificação, recolha, aquisição e preservação da prova. A 27041 aborda a garantia e a validação de métodos, a 27042 abrange a análise e a interpretação, e a 27043 enquadra o conjunto do processo de investigação. Foram concebidas para serem usadas em conjunto.
04Porque é que a cadeia de custódia importa tanto?
O valor probatório dos dados digitais depende de provar que não foram alterados após a recolha. Um registo contínuo e documentado de quem manuseou a prova e do que fez com ela é o que permite que um jurista, um auditor ou um regulador confie nela.
05A ISO/IEC 27037 aplica-se apenas a casos penais?
Não. A mesma disciplina de manuseamento aplica-se a investigações internas, litígios laborais, reclamações de seguro e questões regulatórias. Qualquer situação em que o seu manuseamento da prova possa vir a ser contestado beneficia dela.