3.1.2 Mengumpulkan Data

Setelah mengidentifikasi sumber data yang potensial, analis harus memperoleh data dari sumber itu. Didapatnya data harus dilakukan dengan menggunakan proses tiga langkah: mengembangkan suatu rencana untuk memperoleh data, memperoleh data dan pembuktian integritas dari data yang diperoleh. Walaupun materi berikut menyediakan suatu ikhtisar yang menyangkut ketiga langkah tersebut, detil dari spesifik yang ada di langkah-langkah 2 dan 3 dapat ditukar - tukar berdasarkan atas jenis data yang sedang diperoleh. Bagian 4.2, 5.2, 6.3 dan 7.3 menyediakan lebih terperinci penjelasan dalam memperoleh dan membuktikan secara berturut-turut tentang integritas file data, sistem operasi data network traffic data dan data aplikasi.

1. Mengembangkan suatu rencana untuk memperoleh data. Mengembangkan suatu rencana adalah suatu langkah pertama yang penting dalam banyak kasus sebab ada berbagai sumber data yang berpotensi. Analis perlu menciptakan suatu rencana tentang sumber yang diprioritaskan, menetapkan pesanan di mana data harus diperoleh. Faktor penting untuk prioritisasi meliputi yang berikut ini:

a. Nilai yang Mungkin. Didasarkan pada pemahaman para analis akan situasi dan pengalaman sebelumnya di dalam situasi yang serupa, analis harus bisa menaksir nilai yang mungkin bersifat relatif dari tiap sumber data yang potensial.

b. Volatility. Data yang bersifat volatile mengacu pada data dalam suatu tempat yang berada pada sistem dimana data tersebut akan hilang setelah komputer dimatikan. Data volatile juga dapat hilang dalam kaitan dengan tindakan lain yang dilakukan terhadap sistem tersebut. Dalam banyak kasus, perolehan data yang bersifat volatile harus diberikan prioritas daripada data yang non volatile. Bagaimanapun, data yang non volatile juga dapat bersifat agak dinamis secara alami, seperti log files dimana akan melakukan overwritten dari ketika peristiwa baru terjadi.

c. Jumlah usaha yang diperlukan. Jumlah usaha yang diperlukan untuk memperoleh sumber data berbeda yang dapat bertukar-tukar secara luas. Usaha melibatkan tidak hanya waktu yang digunakan oleh orang yang lain dan analis di dalam organisasi ( termasuk penasehat hukum), tetapi juga meliputi biaya jasa dan peralatan ( seperti., tenaga ahli dari luar). Sebagai contoh, memperoleh data dari suatu network router mungkin akan memerlukan sangat sedikit usaha dibanding memperoleh data dari suatu ISP.

Dengan mempertimbangkan tiga faktor ini untuk masing-masing sumber data yang potensial, analis dapat membuat keputusan yang diberitahukan mengenai prioritisasi didapatnya sumber data, seperti halnya menentukan sumber data yang mana untuk memperoleh. Dalam beberapa hal, sangat banyak sumber data yang mungkin tidak praktis untuk memperoleh semua data tersebut. Organisasi perlu secara hati-hati mempertimbangkan kompleksitas dalam memprioritaskan didapatnya sumber data dan mengembangkan rencana tertulis, petunjuk dan prosedur yang dapat membantu analis di dalam menyelenggarakan prioritisasi secara efektif.

2. Memperoleh data. Jika data belum diperoleh oleh security tools, analysis tools atau alat- alat lain, proses yang umum untuk memperoleh data melibatkan penggunaan suatu toolkit dipercayai untuk mengumpulkan data volatile dan menyalin sumber data non-volatile untuk dapat mengumpulkan data tersebut. Didapatnya data dapat dilakukan yang manapun di tempat itu atau pada suatu jaringan. Walaupun umumnya disepakati untuk lebih baik memperoleh data di tempat itu sebab ada kendali lebih besar atas data dan sistem, pengumpulan data lokal tidaklah selalu mungkin (seperti, sistem dalam ruang yang dikunci, sistem di dalam lokasi yang lain ). Manakala memperoleh data yang ada pada suatu jaringan, keputusan harus dibuat berdasarkan jenis data yang akan dikumpulkan dan jumlah usaha yang digunakan. Sebagai contoh, hal tersebut mungkin saja diperlukan untuk memperoleh data dari beberapa sistem melalui koneksi jaringan berbeda atau hal tersebut cukup untuk mengcopy suatu volume yang logis hanya dari satu sistem.

3. Memverifikasi integritas dari data. Setelah data telah diperoleh, integritasnya harus dibuktikan. Verifikasi integritas data secara khusus terdiri dari penggunaan tools untuk 3. Memverifikasi integritas dari data. Setelah data telah diperoleh, integritasnya harus dibuktikan. Verifikasi integritas data secara khusus terdiri dari penggunaan tools untuk

Sebelum analis memulai untuk memperoleh data manapun, suatu keputusan harus dibuat oleh manajemen atau analis ( sesuai dengan kebijakan organisasi dan penasehat hukum) atas kebutuhan untuk memperoleh dan memelihara bukti dengan cara yang mendukung penggunaannya dalam cara bekerja teratur pada pihak internal atau legal pada masa depan. Dalam situasi yang sedemikian, prosedur jaringan dan komputer forensik harus diikuti sebagai ganti semakin sedikitnya prosedur analisa data formal dibahas di dalam pemandu ini.

Untuk membantu analis dengan acquisition, sumber daya yang perlu harus disiapkan terlebih dahulu, seperti analyst workstations, backup devices, dan media kosong.