EDRM proporciona un marco normativo ampliamente aceptado para gestionar de forma estructurada la evidencia digital durante auditorías, litigios o investigaciones internas. Este modelo define nueve fases clave que aseguran la trazabilidad y validez de la información electrónica: Gobierno de la Información, Identificación, Preservación, Recolección, Procesamiento, Revisión, Análisis, Producción y Presentación.
Microsoft ha integrado estas etapas dentro de su solución Purview eDiscovery, permitiendo a equipos legales y peritos forenses ejecutar todo el ciclo de vida de la investigación sin salir del entorno Microsoft 365. Esta integración reduce riesgos, mantiene la cadena de custodia intacta y aporta una trazabilidad exhaustiva.
Investigación forense paso a paso
1. Creación del caso e identificación de custodios
Todo comienza con la apertura de un “caso” en Purview, una unidad lógica que agrupa actividades, evidencias y usuarios relacionados. A continuación, se identifican los custodios, es decir, los empleados cuyas comunicaciones o archivos deben ser analizados.
2. Retención legal: activando el “Legal Hold”
Con el “Legal Hold”, los datos de los custodios quedan congelados en su estado original, evitando su modificación o eliminación, incluso si el usuario intenta alterar el contenido. Esta acción se documenta automáticamente, garantizando trazabilidad.
3. Recolección inteligente de datos
eDiscovery permite emplear filtros avanzados y lenguaje KQL para seleccionar información relevante según palabras clave, fechas, remitentes o patrones específicos.
4. Procesamiento y deduplicación
Purview Premium ofrece funcionalidades avanzadas para reducir el volumen de datos mediante deduplicación, facilitando así el análisis posterior.
5. Revisión legal y análisis forense
Los datos pueden ser etiquetados, filtrados y analizados con herramientas como email threading y análisis de entidades para identificar relaciones clave.
6. Exportación y documentación
La evidencia se exporta en formatos como PST o EML, con un manifiesto de integridad (hashes, metadatos, logs) que garantiza la cadena de custodia.
7. Presentación en sede judicial o auditoría
Purview facilita informes técnicos y legales que pueden usarse como evidencia en juicio, reforzando su validez probatoria.
Licenciamiento
¿Qué diferencias hay entre eDiscovery Standard y Premium?
- eDiscovery (Standard): Mas orientado a investigaciones básicas. Incluye búsquedas, retención legal y exportación limitada.
- eDiscovery (Premium): Incluye procesamiento masivo, revisión avanzada, análisis inteligente y control del flujo legal.
Con Purview, no es necesario exportar para analizar: todo ocurre en una arquitectura segura y trazada, sin comprometer la integridad de la evidencia. Microsoft actúa como un tercero confiable, garantizando que los datos se mantienen intactos hasta su exportación formal.
Conclusión
Microsoft Purview eDiscovery (Premium) representa un cambio de paradigma en el análisis forense en la nube. Gracias a su alineación con el modelo EDRM, permite trabajar con eficiencia técnica y solidez jurídica. Para peritos digitales y organizaciones sujetas a regulación, esta herramienta se ha convertido en un estándar imprescindible.
Si quieres aprender mas sobre el tema te recomiendo mi nuevo libro (gratuito), Análisis Forense de Correos Electrónicos en Office 365, el cual puedes descargar desde este enlace.
¡Saludos!