Forensic: Faktor Manusia Dalam Kesiapan Digital Forensic
Orang adalah aspek penting dari penyelidikan forensik digital. Untuk investigasi forensik digital yang sukses, penting untuk menentukan peran dan tanggung jawab dan mengumpulkan tim dengan keterampilan dan kompetensi yang tepat. Namun, tidak boleh melupakan orang lain di perusahaan yang mungkin berpotensi berperan dalam proses tersebut. Pelatihan kesadaran untuk semua staf merupakan langkah penting dalam menerapkan kebijakan, proses, dan prosedur.
Tulisan ini membahas tiga aspek utama dalam dimensi orang:
- Peran dan tanggung jawab;
- Keterampilan, kompetensi, dan pelatihan;
- Dan pelatihan kesadaran / awareness.
Peran dan Tanggung Jawab
Definisi peran dan tanggung jawab biasanya tergantung pada ukuran perusahaan dan kematangan kemampuan forensiknya. Perusahaan dapat membentuk organisasi investigasi forensik digital sebagai tim atau unit. Namun, untuk perusahaan kecil, opsi ini mungkin tidak layak. Mereka hanya dapat mendedikasikan satu atau beberapa orang, atau menetapkan tanggung jawab forensik ke peran lain yang ada, sering kali selain tugas-tugas biasa mereka. Atau, kemampuan investigasi forensik dapat sebagian atau sepenuhnya outsourcing.
Terlepas dari bagaimana peran spesialis forensik diorganisir, otoritas mereka (apa peran yang diizinkan untuk dilakukan) dan tanggung jawab (apa yang diharapkan mereka lakukan) harus didefinisikan dengan jelas. Ini dapat dilakukan dalam kebijakan, mandat, atau tupoksi yang terpisah; sebagai bagian dari deskripsi pekerjaan; atau sebagai bagian dari kebijakan, mandat, atau tupoksi yang ada (misalnya, sebagai bagian dari rencana respons insiden).
Penting untuk dicatat bahwa spesialis forensik harus tetap tidak memihak ke internal operasi dan memastikan objektivitas selama penyelidikan. Dengan demikian, peran, tim, atau unit harus memiliki otonomi dan tidak melapor ke organisasi pendukung TI perusahaan, unit lain dalam perusahaan, atau di mana saja yang menimbulkan konflik kepentingan. Ini termasuk perusahaan dengan sumber daya terbatas untuk forensik.
Peran dan tanggung jawab dalam proses investigasi forensik digital dapat didefinisikan sebagai berikut:
- Responden pertama: Peran ini bertanggung jawab atas inisiasi investigasi digital, mengamankan tempat kejadian, identifikasi utama dari bukti digital, mengamankan bukti, dan mengidentifikasi prosedur penyelidikan digital yang harus diikuti untuk jenis insiden spesifik. Peran ini mungkin juga menjadi bagian dari tim respons insiden atau security operations center (SOC).
- Spesialis forensik digital: Peran ini bertanggung jawab untuk identifikasi dan pengumpulan bukti digital memastikan prinsip forensik diikuti. Peran ini dapat memiliki tanggung jawab untuk melakukan live forensik.
- Analis / pemeriksa forensik digital: Peran ini bertanggung jawab untuk analisis berbagai jenis bukti digital dan melaporkan hasilnya. Peran ini juga dapat memiliki tanggung jawab untuk melakukan live forensik.
- Investigator forensik digital / pemeriksa utama: Peran ini bertanggung jawab untuk mengarahkan penyelidikan, mengkoordinasikan kegiatan, menafsirkan temuan, dan melaporkan hasilnya.
- Spesialis retensi data: Peran ini bertanggung jawab untuk memastikan bukti dipertahankan sesuai dengan kebijakan atau persyaratan penyimpanan.
Daftar di atas tidak lengkap dan hanya berfungsi sebagai contoh bagaimana peran dapat didefinisikan dan diatur. Ada beberapa opsi untuk mendistribusikan tanggung jawab di antara peran yang berbeda, dan semua tanggung jawab di atas dapat diberikan kepada satu peran yang bertanggung jawab untuk seluruh proses penyelidikan digital. Meskipun mempertimbangkan keragaman dan kompleksitas teknologi, perusahaan akan lebih mungkin untuk mengumpulkan beberapa analis yang bertanggung jawab untuk berbagai jenis teknologi, misalnya, forensik komputer, forensik seluler, dan sebagainya.
Jika organisasi yang bertanggung jawab untuk penyelidikan forensik digital menjadi terlalu kompleks, matriks RACI dapat digunakan untuk memperjelas pembagian akuntabilitas dan tanggung jawab atas kegiatan dalam proses. Setiap peran diberikan huruf yang cocok dengan aktivitas untuk setiap langkah dalam proses:
- R singkatan responsibility (berperan untuk melakukan aktivitas).
- A singkatan accountability (bertanggung jawab atas keberhasilan kegiatan dan memiliki otoritas persetujuan).
- C singkatan dari consulted (berperan menyediakan masukan untuk aktivitas).
- I singkatan dari informed (berperan menerima informasi terkait dengan aktivitas, keputusan, atau deliverable).
Jika penyelidikan forensik digital sepenuhnya atau sebagian di-outsourcing, atau jika pihak ketiga terlibat dalam proses, tanggung jawab untuk menghubungi dan berkoordinasi dengan pihak-pihak perlu didefinisikan dengan jelas. Ketika menetapkan peran dan menugaskan tanggung jawab, perusahaan harus mempertimbangkan apakah staf untuk peran tersebut cukup kuat dalam pada saat staff lain sakit, libur, atau tidak hadir. Artinya, staf cadangan harus siap ditugaskan untuk peran penting.
Keterampilan, Kompetensi, dan Pelatihan
Salah satu persyaratan inti untuk peran apa pun yang terkait dengan forensik digital adalah pengetahuan dan pemahaman tentang proses, prinsip, dan metode penyelidikan forensik digital. Selain metodologi dan prosedur forensik digital, setiap unit yang bertindak dalam perusahaan harus memahami kerangka kerja perusahaan yang terkait dengan area operasinya. Untuk forensik digital, ini adalah respons insiden, manajemen keamanan informasi, dan manajemen risiko. Keterampilan penalaran yang kuat diperlukan untuk mendefinisikan dan menguji hipotesis, menemukan pola dan asosiasi antara artefak, dan menganalisis dan menarik kesimpulan dari informasi yang tersedia.
Sebagian besar peran digital forensik, penting untuk memiliki keterampilan dan kompetensi teknis yang kuat. Pengetahuan tentang sistem operasi (termasuk arsitektur, implementasi, dan administrasi), protokol jaringan dan layanan, berbagai sistem informasi, dan aplikasi hanyalah beberapa hal yang ada dalam daftar.
Personil yang menduduki peran dalam tim atau unit harus dapat mengidentifikasi dan menentukan persyaratan untuk tool dan infrastruktur forensik digital, memilih tool yang sesuai, dan mengatur, mengkonfigurasi, dan menggunakannya. Validasi, verifikasi, atau pengujian tool harus dilakukan sesuai kebutuhan. Dengan demikian, pelatihan yang tepat untuk menggunakan tool forensik digital diperlukan untuk semua anggota tim. Setiap orang yang terlibat dalam penyelidikan digital harus dilatih tentang cara mempersiapkan catatan dan dokumentasi terkait investigasi dengan tepat.
Personil yang akan terlibat dalam melaporkan dan menyajikan hasil, misalnya kepada manajer atau di pengadilan, harus memiliki keterampilan komunikasi yang sangat baik. Mereka harus dapat mendokumentasikan, menyajikan, dan menjelaskan temuan serta prosedur investigasi ke berbagai kelompok dalam bahasa (terminologi) yang dapat dipahami oleh kelompok-kelompok tersebut.
Seperti halnya profesi lain, tingkat keterampilan dan keahlian yang diperlukan dapat diperoleh melalui pendidikan, pelatihan, sertifikasi, dan pengalaman kerja.
Pelatihan Awareness
Pelatihan kesadaran harus dilakukan dengan semua orang yang terlibat dalam proses respon insiden dan investigasi forensik digital, termasuk staf TI. Selanjutnya, semua karyawan harus tahu apa yang mungkin dianggap sebagai insiden, siapa yang harus dihubungi, dan bagaimana berperilaku selama respons insiden atau ketika penyelidikan forensik dimulai. Idealnya, semua orang akan mengikuti kebijakan atau prosedur yang ditetapkan.
Materi pelatihan harus mencakup tindakan yang diharapkan akan diambil oleh berbagai peran atau hal-hal yang tidak boleh dilakukan selama respons insiden dan investigasi forensik digital. Selain itu, harus diperjelas bagaimana tindakan para peserta akan mempengaruhi penerimaan / admissibility atau penggunaan bukti digital.
Contoh untuk karyawan (termasuk mereka yang mungkin tidak menjadi bagian aktif dariinvestigasi) yang harus menjadi bagian dari pelatihan kesadaran:
- Tim respon insiden dan forensik
- Keamanan TI dan informasi
- Departemen Hukum
- Sumber Daya Manusia,
- Hubungan media dan hubungan masyarakat
- Karyawan lain (misalnya, mereka yang melaporkan insiden, dan orang yang sedang diselidiki).
Pelatihan awareness untuk forensik digital tidak perlu menjadi program terpisah. Ini dapat (atau lebih tepatnya harus) diintegrasikan ke dalam program awareness umum. Pelatihan awareness juga harus menyajikan kode etik dan pedoman etika (bagaimana berperilaku secara etis dan profesional) terkait dengan penyelidikan digital. Kontak media dan hubungan masyarakat, dan karyawan lainnya (misalnya, mereka yang melaporkan insiden, dan orang yang sedang diselidiki).