Ciertamente una Auditoría Forense puede resolver incógnitas que surgen como resultado de Incidentes de Seguridad. Pero un análisis forense de TI requiere que las organizaciones piensen también en esta actividad de manera previa, estableciendo los mecanismos necesarios para salvaguardar evidencia que pueda ser utilizada posteriormente de una manera explícita, que no deje dudas sobre las conclusiones alcanzadas y que no esconda, sobrescriba o borre bitácoras importantes para el análisis forense. Una de las principales cosas que debe de realizar una Unidad de Informática cuando quiere tener capacidades forenses ampliadas, es la activación o creación de bitácoras que muestren la actividad que se desarrolla en la plataforma tecnológica. Las bitácoras son un elemento básico, que permite reconstruir con suma precisión las actividades que ha desarrollado un usuario. Desde que ingresa a su equipo, los sitios que ha consultado, los intentos de conexión a sistemas o equipos, la información que ha borrado, que ha modificado o simplemente consultado. Lo principal, cuando se quiere tener capacidad forense, es el análisis de los puntos importantes de control que deben de ser registrados en bitácora. En muchas empresas observo dos cosas:

1. Con sistemas desarrollados internamente no se generan bitácoras o si existen, registran información muy básica de la actividad realizada por los usuarios.

2. Con sistemas adquiridos, las bitácoras disponibles no se activan. Aquí distingo dos comportamientos. Uno es que ni siquiera se conoce la capacidad de registro de las bitácoras. El segundo es que se decide no usarlos para no saturar el sistema.

Aunque las restricciones de tamaño de las bitácoras siempre son una excusa para no usarlas, lo cierto es que debemos de valorar qué es lo que se protege y decidir si el costo de algunos gigabytes más de disco vale la pena para tener capacidad de análisis forense cuando se presenten incidentes de seguridad. Si la decisión es usarlas, el simple hecho de activarlas es parte de la solución. Lo siguiente es el procedimiento de Administración de las Bitácoras. Estos archivos crecerán y en algún momento habrá que eliminar registros del ambiente productivo para dar espacio al registro de nuevos eventos. Pero la eliminación más bien debe de ser un traslado a un almacenamiento debidamente catalogado, que permita en el futuro su consulta sin mayores esfuerzos. Gran parte del éxito de un sistema de bitácoras para el análisis forense, es su capacidad para mantenerse transparentes al usuario. Es decir, quién está siendo monitoreado a través de este medio, no debe conocer de su existencia, ni mucho menos conocer su ubicación y tener acceso a ellas. Se conoce, que cuando un atacante conocedor realiza una acción, al menos tratará de borrar sus huellas para evitar que se conozca su actividad y hasta incluso el ser rastreado e identificado. Con esta pequeña discusión se puede apreciar que la capacidad de análisis forense en TI debe de ser construida desde el diseño de la plataforma. Esto no ha sido la costumbre, ni los profesionales en informática han sido entrenados para incluir un enfoque integral de la seguridad de la información dentro de los criterios de diseño. Pero esto es algo que tendrá que ir cambiando en la medida que las necesidades de seguridad se identifiquen como un requerimiento más del diseño tecnológico.