Diferenças entre Computação Forense e eDiscovery

Por Rodrigo Antão*

Pulando a sequência de posts sobre os processos de eDiscovery descritos no EDRM.NET, apresento algumas distinções entre a computação forense tradicional e as demandas corporativas de eDiscovery.

Com o aumento da conscientização das corporações de utilizarem meios eletrônicos como prova em processos de investigação, mesmo times mais experientes de segurança da informação, jurídico e afins ainda ficam em dúvida sobre as diferenças entre a computação forense tradicional e eDiscovery.

Ambos os processos podem utilizar os mais variados tipos de tecnologia, sofisticação, esforço de interpretação de dados e consequentemente custos. A utilização de um ou outro dependerá do escopo do trabalho específico em cada caso.

Em geral serão processados os seguintes tipos de dados:

Tipo de Dado	Esforço de Coleta	Descrição
Ativos / Online	Médio - Há apenas os contra-tempos das barreiras de segurança básicas, como firewall, para serem tratadas.	Arquivos armazenados no computadores e servidores da empresa
Backup	Médio/Alto - Dependendo das condições das mídias para restauração pode-se levar muito tempo para ter os dados disponíveis para consulta. O processo de Deduplicação (identificação e remoção de arquivos duplicados) também pode tomar muito tempo de processamento.	Arquivos e documentos armazenados em mídias compactadas offline.
Forense	Alto	Dados que certamente serão apresentados na justiça. Necessitam de softwares e processos especializados, bem como o atestado de profissional capacitado para sua manipulação. Este tipo de dado será pesquisado com maior compulsividade, dando atenção especial a arquivos apagados, fragmentados, não-alocados, etc.

Para ajudar na tomada de decisão de qual processo utilizar é possível utilizar os seguintes fatores de avaliação.

Fatores	Computação Forense	eDiscovery
Número de envolvidos na revisão	Um Perito	Múltiplos revisores
Capilaridade de atendimento	Central de Processamento	Consultores em várias unidades da organização
Tipo de dados	Offline / Post-morten	Online / Em produção, às vezes em missão crítica
Necessidade de coletar arquivos apagados	Sim	Não, a não ser utilizando uma ferramenta também com capacidades forenses
Capacidade de recuperar artefatos de internet (webmail, MSN, etc)	Sim	Não, a não ser utilizando uma ferramenta também com capacidades forenses
Responsável pelas pesquisas e revisão	Consultor Forense	Departamento Jurídico/RH, normalmente acompanhados por um consultor forense apenas para suporte técnico
Tempo de resposta	Dias	Minutos
Interrupção do negócio	Não	Sim
Necessidade de envolver outros times (TI, Seg. Patrim, etc)	Não	Sim

A Techbiz Forense Digital está preparada para auxiliar no entendimento de cada uma destas questões para entregar a nossos clientes as melhores opções para cada caso. Contem conosco para tal suporte e na próxima oportunidade irei descrever os processos de Coleta e Preservação de dados do eDiscovery.

Para ler o artigo anterior de Rodrigo Antão clique aqui.

* Sobre Rodrigo Antão
Rodrigo Antão é gerente de negócios da TechBiz Forense Digital e professor do curso de pós-graduação da Faculdade Impacta. Possui mais de dez anos de experiência no mercado de tecnologia, também trabalhando como gerente de produto, gerente técnico e system engineer. É especialista em Segurança da Informação, Computação Forense, Anti-fraude e eDiscovery. É certificado no uso das seguintes tecnologias: ACE (Accessdata Certified Examiner); EnCE (Encase Certified Examiner); MCSA 2000/2003 (Microsoft Certified Systems Administrator); MCSE 2000 (Microsoft Certified Systems Engineer) e MSF Practitioner (Microsoft Solutions Framework Practitioner).