Model de Referència per a la Descoberta Electrònica en Microsoft 365
Juan Antonio Calles
EDRM proporciona un marc normatiu àmpliament acceptat per gestionar de forma estructurada l'evidència digital durant auditories, litigis o investigacions internes. Aquest model defineix nou fases clau que asseguren la traçabilitat i validesa de la informació electrònica: Govern de la Informació, Identificació, Preservació, Recollida, Processament, Revisió, Anàlisi, Producció i Presentació.
Microsoft ha integrat aquestes etapes dins de la seva solució Purview eDiscovery, permetent a equips legals i perits forenses executar tot el cicle de vida de la investigació sense sortir de l'entorn Microsoft 365. Aquesta integració redueix riscos, manté la cadena de custòdia intacta i aporta una traçabilitat exhaustiva.
Investigació forense pas a pas
1. Creació del cas i identificació de custodis
Tot comença amb l'obertura d'un “cas” a Purview, una unitat lògica que agrupa activitats, evidències i usuaris relacionats. A continuació, s'identifiquen els custodis, és a dir, els empleats les comunicacions o arxius dels quals han de ser analitzats.
2. Retenció legal: activant el “Legal Hold”
Amb el “Legal Hold”, les dades dels custodis queden congelades en el seu estat original, evitant la seva modificació o eliminació, fins i tot si l'usuari intenta alterar el contingut. Aquesta acció es documenta automàticament, garantint traçabilitat.
3. Recollida intel·ligent de dades
eDiscovery permet emprar filtres avançats i llenguatge KQL per seleccionar informació rellevant segons paraules clau, dates, remitent o patrons específics.
4. Processament i deduplicació
Purview Premium ofereix funcionalitats avançades per reduir el volum de dades mitjançant deduplicació, facilitant així l'anàlisi posterior.
5. Revisió legal i anàlisi forense
Les dades poden ser etiquetades, filtrades i analitzades amb eines com email threading i anàlisi d'entitats per identificar relacions clau.
6. Exportació i documentació
L'evidència s'exporta en formats com PST o EML, amb un manifest d'integritat (hashes, metadades, logs) que garanteix la cadena de custòdia.
7. Presentació en seu judicial o auditoria
Purview facilita informes tècnics i legals que poden usar-se com a evidència en judici, reforçant la seva validesa probatòria.
Llicenciament
Quines diferències hi ha entre eDiscovery Standard i Premium?
- eDiscovery (Standard): Més orientat a investigacions bàsiques. Inclou cerques, retenció legal i exportació limitada.
- eDiscovery (Premium): Inclou processament massiu, revisió avançada, anàlisi intel·ligent i control del flux legal.
Amb Purview, no cal exportar per analitzar: tot passa en una arquitectura segura i traçada, sense comprometre la integritat de l'evidència. Microsoft actua com un tercer de confiança, garantint que les dades es mantenen intactes fins a la seva exportació formal.
Conclusió
Microsoft Purview eDiscovery (Premium) representa un canvi de paradigma en l'anàlisi forense al núvol. Gràcies a la seva alineació amb el model EDRM, permet treballar amb eficiència tècnica i solidesa jurídica. Per a pèrits digitals i organitzacions subjectes a regulació, aquesta eina s'ha convertit en un estàndard imprescindible.
Si vols aprendre més sobre el tema et recomano el meu nou llibre (gratuït), Anàlisi Forense de Correus Electrònics a Office 365, el qual pots descarregar des d'aquest enllaç.
Salutacions!
