Drugi dio članka sa savjetima o tome Å¡to činiti u slučaju zloupotrebe računala ili mreže u poduzeću – no, opći postupak je isti i u slučaju mogućih zloupotreba osobnih računala, prijenosnih računala, palmtop računala, mobilnih telefona i ostale računalne i telekomunikacijske opreme.

Osvrnut ćemo se na to što bi trebalo učiniti kako bi se osigurala lakša analiza opreme forenzičkim istražiteljima ili vještacima  po njihovom angažmanu.

1. Vrlo rijetko potrebno je djelovati odmah, naime, računalni i komunikacijski sustavi uglavnom zadržavaju “dokaze” na sebi duže vrijeme, tako da ima dovoljno vremena da se na miru napravi akcijski plan. Koga obavijestiti unutar poduzeća? Da li je prekrÅ¡en zakon? Da li je potrebno kontaktirati policiju? Da li je potrebno kontaktirati odvjetnički ured? Da li se može provesti interna istraga?
2. Potrebno je identificirati moguće izvore dokaze u terminima korištene i moguće kompromitirane računalne opreme u fizičkom smislu i popisati ih
3. Isto kao pod točkom 2. napraviti s mogućim medijima – diskete, CD/DVD optički mediji, tvrdi diskovi, USB diskovi, vanjske USB memorije, memorijske kartice, digitalne foto kamere
4. Da li su zlouporabljivana i druga računala, npr. “zajednički” terminali, računala suradnika iz ureda ili poduzeća, mobilni telefoni, palm računala, elektronski organizatori?
5. Koji servisi i baze podataka su možda kompromitirani i gdje se oni nalaze, da li su interni ili vanjski (distribuirani)?
6. Identificirati trake i medije na koje je izvršen zadnji funkcionalni backup (pohrana) podataka i *ne vršiti* povrat podataka s njih prije nego što računalni forenzičak izuzme dokaze
7. Identificirati i spremiti postojeće dnevnike (logove) pristupa koji su pohranjeni na računalima, mrežnoj opremi, serverskim sustavima, telefonskim centralama i faks uređajima. Oni mogu biti od velikog interesa i pomoći forenzičaru, odnosno vještaku
8. Da li je dio zlouporabe računalnog sustava poduzeća vršen preko računala koje se nalazi van poduzeća, npr. osobno kućno ili prijenosno računalo osobe na koju se sumnja? Na kojoj lokaciji se nalazi to računalo i da li će biti od interesa u istražnim radnjama?

Bitno je sačuvati korištene računalne sustave od promjene.

1. Ukoliko je računalo isključeno, neka ostane isključeno, pošto se ponovnim uključenjem mogu pobrisati važni tragovi
2. Ukoliko se radi o mobilnom telefonu, fiksnom bežičnom telefonu ili palmtop uređaju, spojiti ga na izvor električne struje kako se po pražnjenju baterije računalo ne bi ponovo startalo i kako se ne bi uslijed dubinskog pražnjenja izgubili mogući tragovi
3. Ukoliko je suspektno računalo uključeno, neka ostane uključeno do dolaska računalnog forenzičara i izuzimanja tragova i mogućih dokaza
4. Računalo treba isključiti (fizičkim uklanjanjem kabela) iz računalne i telefonske mreže, kako bi se spriječio možebitni daljinski pristup računalu i uklanjanje dokaza
5. Po zajedničkom dogovoru odgovornih, koordinirati sa rukovoditeljem informatičke službe promjenu glavnih lozinki za korištenje sustava te isključivanje mogućnosti korištenja računalnog sustava i sustava elektroničke pošte osobama koje su mogući počinitelji zlouporabe, no samo ako je procijenjeno da je to od interesa za istragu
6. Sve izuzete dokaze treba spremiti na sigurno mjesto i osigurati ključem, te popisati i pohraniti tijek poduzetih koraka s potpisima odgovornih osoba. Po potrebi, u ovaj proces moguće je uključiti javne bilježnike

Naposlijetku, najbolji savjet bio bi imati uspostavljen preliminarni kontakt s računalnim forenzičarem, odnosno vještakom, osobito u slučaju većih organizacija koje koriste kompleksne računalne sustave, kako bi se osigurao pravovremeni odgovor i reakcija u ovakvim situacijama.