Pemeriksa forensik komputer bertanggung jawab atas ketajaman teknis, pengetahuan tentang hukum, dan objektivitas selama penyelidikan. Keberhasilan berprinsip pada hasil yang dilaporkan dan dapat diverifikasi berulang yang mewakili bukti langsung dari dugaan melakukan kesalahan atau potensi eksonerasi. Artikel ini menetapkan serangkaian praktik terbaik untuk praktisi forensik komputer, yang mewakili bukti terbaik untuk solusi yang dapat dipertahankan di lapangan. Praktik terbaik itu sendiri dimaksudkan untuk menangkap proses-proses yang telah berulang kali terbukti berhasil dalam penggunaannya. Ini bukan buku masak. Praktik terbaik dimaksudkan untuk ditinjau dan diterapkan berdasarkan kebutuhan spesifik organisasi, kasus, dan pengaturan kasus.
Pemeriksa hanya dapat diinformasikan ketika mereka masuk ke pengaturan lapangan. Dalam banyak kasus, klien atau perwakilan klien akan memberikan beberapa informasi tentang berapa banyak sistem yang dipertanyakan, spesifikasinya, dan statusnya saat ini. Dan sama seringnya, mereka salah secara kritis. Ini terutama benar dalam hal ukuran hard drive, komputer laptop yang retak, peretasan kata sandi, dan antarmuka perangkat. Penyitaan yang membawa peralatan kembali ke lab harus selalu menjadi garis pertahanan pertama, memberikan fleksibilitas maksimum. Jika Anda harus tampil di tempat, buatlah daftar informasi kerja yang lengkap untuk dikumpulkan sebelum Anda terjun ke lapangan. Daftar tersebut harus terdiri dari langkah-langkah kecil dengan kotak centang untuk setiap langkah. Pemeriksa harus diberi tahu sepenuhnya tentang langkah mereka selanjutnya dan tidak harus “berpikir sendiri”.
Melebih-lebihkan upaya setidaknya dengan faktor dua jumlah waktu yang Anda perlukan untuk menyelesaikan pekerjaan. Ini termasuk mengakses perangkat, memulai akuisisi forensik dengan strategi pemblokiran tulis yang tepat, mengisi dokumen yang sesuai dan dokumentasi lacak balak, menyalin file yang diperoleh ke perangkat lain dan memulihkan perangkat keras ke keadaan awalnya. Ingatlah bahwa Anda mungkin memerlukan manual toko untuk mengarahkan Anda dalam membongkar perangkat kecil untuk mengakses drive, menciptakan lebih banyak kesulitan dalam menyelesaikan akuisisi dan pemulihan perangkat keras. Hidup dengan Hukum Murphy. Sesuatu akan selalu menantang Anda dan membutuhkan lebih banyak waktu daripada yang diantisipasi — bahkan jika Anda telah melakukannya berkali-kali.