Prima di cominciare, è necessario capire qual è il motivo e l’evento per i quali si è stati convocati. Si può trattare, ad esempio, di un caso di spionaggio industriale, oppure sospetti di assenteismo da parte di alcuni dipendenti, furto di identità, oppure sospetto di utilizzo prolungato degli strumenti informatici aziendali per fini personali, ecc… ogni evento informatico presuppone degli interrogativi diversi per capire come agire.
In secondo luogo, è molto importante conoscere le dinamiche della realtà aziendale con la quale ci interfacciamo. Cosa produce, quali sono i beni informatici – intesi come dati – più importanti: nella fattispecie, per un’azienda che produce macchinari saranno più importanti i progetti, mentre per un’azienda di logistica saranno più importanti i report delle consegne effettuate. Vi sono poi dati importanti per qualsiasi tipo di impresa, ad esempio, le anagrafiche clienti e fornitori e tutti i documenti che riguardano l’amministrazione.
È fondamentale capire anche qual è la struttura aziendale: quanti dipendenti vi sono, quante sedi o filiali, la gerarchia e l’organigramma. Questo è molto importante per definire, in maniera precisa, il ruolo delle persone sospettate, o se si può coinvolgere qualcuno nell’indagine come collaboratore oltre alla direzione (ad esempio il responsabile informatico), ecc. Tutto ciò può sembrare superfluo ma è fondamentale per potersi muovere con dimestichezza all’interno del nuovo ambiente nel quale si è chiamati a indagare, ottimizzare i tempi di esecuzione, risultare meno invasivi possibile e migliorare complessivamente il risultato – e quindi la soddisfazione del cliente.
Strumenti informatici
Non sempre è necessario analizzare tutti gli strumenti informatici. Al contrario, è indispensabile concentrarsi sull’hardware che può potenzialmente contenere le informazioni che stiamo cercando, sulla base di una precedente analisi del contesto. Vediamo, di seguito, su quali apparecchiature bisogna lavorare, nei diversi casi di analisi.
Computer fissi e portatili in uso, devono essere analizzati nei seguenti casi:
- Se si ricercano dati informatici che l’utente può aver salvato sul computer stesso.
- se i documenti sono stati scritti, modificati o aperti con il PC.
- se la posta elettronica viene utilizzata in locale o se la posta elettronica è configurata su un programma e-mail come outlook.
- se si sospetta che un dipendente faccia uso del pc per fini non aziendali non autorizzati.
- se si teme che la problematica sia stata causata da accesso non autorizzato (hacker, virus, trojan, ecc).
Smartphone aziendali, CDROM-DVDROM, Pendrive e fotocamere digitali:
- Se lo smartphone può accedere alla rete aziendale o se viene regolarmente utilizzato per accedere a dati aziendali.
- se si pensa che il problema sia stato causato da accesso non autorizzato (hacker, virus, trojan, ecc).
- se i dati erano archiviati in tali dispositivi e in nessun altro luogo (per effettuare confronti).
- se si teme siano state effettuate fotografie per trafugare dati o per creare la problematica (per effettuare confronti, ricavare dati di utilizzo, ecc).
Server Aziendali
- Se si ricercano dati informatici che l’utente può aver salvato su risorse condivise sul server.
- se si utilizza un sistema di condivisione dell’ambiente di lavoro.
- se i documenti sono stati scritti, modificati o aperti da sessioni remote.
- se la posta elettronica viene utilizzata via web in una sessione remota.
- se si teme che la problematica sia stata causata da accesso non autorizzato (hacker, virus, trojan, ecc).
Bisogna sottolineare che, per tutto ciò che riguarda i server, che è necessario identificare esattamente l’hardware in uso, il sistema operativo, la configurazione, la presenza di ambienti virtualizzati, ecc.
Aree in cloud: vanno prese in esame qualora:
- La posta elettronica e i documenti siano ritenuti di interesse;
- L’intero ambiente di lavoro sia in cloud.
Per analizzare aree in cloud, tuttavia, è indispensabile un accesso di tipo amministrativo o, in subordine, la collaborazione del gestore di tali spazi virtuali.
Va ricordato che vi sono dispositivi sui quali non è possibile, se non previa autorizzazione scritta, fare alcun esame, nella fattispecie tutti i dispositivi di proprietà personale delle persone e non aziendali. Allo stesso tempo, non è lecito forzare caselle email o altri spazi di memorizzazione personali senza esplicita autorizzazione scritta del proprietario o dell’autorità competente. In InfoLAB Data siamo in grado d’intervenire in qualsiasi supporto di memorizzazione per fare un’Analisi Forense e ottenere i risultati che il cliente richiede.