Forensic readiness: la importancia de anticiparse a los sucesos no deseados

La mayoría de organizaciones, incluso las que tienen una mínima estructura TIC, generan en sus operaciones diarias una gran cantidad de datos digitales y de registros. Como señala Dauda Sule en su artículo The Importance of Forensic Readiness, una parte importante de éstos se hallan almacenados y preservados en los planes de recuperación de desastres y en los planes de continuidad de negocio, así como en las políticas de retención de documentos. Igualmente, pueden encontrarse en archivos de back-up o en registros de monitoreo (p.e. grabaciones de CCTV). No obstante, hay muchos otros que inicialmente puede parecer que no son relevantes, pero pueden convertirse en cruciales en caso de producirse un incidente no deseado. Estas evidencias digitales pueden hallarse en correos electrónicos, en servicios internos de mensajería, dispositivos móviles, etc.

En efecto, este conjunto de datos digitales y registros pueden convertirse en críticos cuando la organización se enfrenta, entre otros, a alguno de los siguientes escenarios:

• Disputas comerciales
• Procedimientos penales
• Procedimientos disciplinarios laborales
• Infracciones de los derechos de la propiedad intelectual o industrial
• Infracciones de la LOPD
• Mostrar el cumplimiento legal
• Evitar demandas por negligencia o incumplimiento contractual
• Apoyar la investigaciones policiales
• Apoyar el cobro de indemnizaciones en caso de siniestro

No obstante, la actuación reactiva, es decir, cuando ya se ha producido el suceso que genera la necesidad de recabar evidencias electrónicas puede ocasionar serios problemas que incluso pueden comprometer la validez de las mismas. En primer lugar, la volatilidad de las evidencias digitales es muy elevada, así las posibilidades de eliminación o alteración de las mismas ya sea de forma voluntaria o involuntaria son muy altas. Por otra parte, la falta de preparación o concienciación del personal puede poner en peligro su efectiva recopilación. El elevado coste de una investigación digital forense también es otro de los factores a tener en cuenta. Se estima que para investigar una hora de operaciones en un sistema, un experto precisa una media de veinticuatros horas, y los honorarios de estos profesionales suelen ser muy elevados.

Todos estos elementos – que pueden frustrar la obtención de evidencias electrónicas, y por tanto, las opciones de defensa jurídica de la organización– son los que han originado la necesidad de establecer un enfoque completamente distinto al de una investigación forense tradicional ex post. De este modo, surge la disciplina que se conoce como Forensic Readiness (preparación forense), la cual tiene como objetivo principal anticiparse al suceso problemático y garantizar la admisión como prueba en un procedimiento de las evidencias electrónicas.

Para profundizar en este concepto podemos traer a colación la Good Practice Guide No. 18, Forensic Readiness elaborada por el CESG (Communications-Electronics Security Group) del gobierno británico la cual, poniendo el acento en las capacidades de la organización, define a la Forensic Readiness como:

“El logro por parte de una organización de un nivel de competencia (capacity) adecuado para ser capaz de recoger, preservar, proteger y analizar pruebas digitales, las cuales se puedan utilizar de manera efectiva en cualquier asunto jurídico, en materia disciplinaria,  en un tribunal laboral o en cualquier tribunal de justicia “.

Igualmente, Robert Rowlingson en su artículo ”A Ten Step Process for Forensic Readiness,” (2004) ha definido la Forensic Readiness como “la capacidad de maximizar el uso de evidencias digitales minimizando el coste.”

Un plan de Forensic Readiness, según el autor que se acaba de citar, debe tener los siguientes objetivos:

• Almacenar evidencias digitales admisibles en juicio sin interferir en los procesos de negocio.
• Almacenar evidencias orientadas a potenciales delitos o disputas que puedan tener un impacto adverso en la organización.
• Llevar a cabo investigaciones con costes proporcionales al incidente.
• Minimizar la interrupción de las operaciones a causa de las investigaciones.
• Asegurarse que la evidencia tiene un impacto positivo en el resultado de cualquier acción legal.

Los beneficios de llevar a cabo un plan de Forensic Readiness serían:

• Preparar a la organización ante la necesidad potencial de evidencias electrónicas.
• Minimizar el coste de las investigaciones.
• Evitar que personal con objetivos maliciosos dentro de la organización pueda borrar sus rastros.
• Reducir los costes de una posible sanción o condena judicial por la revelación de datos.
• Mostrar diligencia debida, buen gobierno corporativo y compliance regulatorio.
• Detectar de manera temprana la existencia de incidentes graves.

Para lograr los objetivos y beneficios que acabamos de señalar es necesario que se produzca una aproximación integral y holística, en la que todos los departamentos implicados participen en la planificación de la Forensic Readiness. No obstante, la participación del departamento jurídico es crucial pues debe asegurarse desde el primer momento que las evidencias electrónicas van a ser admitidas en un tribunal.

En primer lugar, se deben definir todos aquellos ámbitos u operaciones de la organización que pudieran requerir evidencias digitales. Se trata, por tanto, de hacer un esfuerzo para identificar cuáles son las amenazas de carácter jurídico de la organización y concretar dónde se producen. Una vez que hayamos seleccionado esos ámbitos hay que identificar, a su vez, las potenciales fuentes de prueba y clasificarlas. A partir de ese momento, el departamento jurídico debe establecer cuáles son los requerimientos legales para su almacenamiento. En este sentido, se debe asegurar la licitud, la autenticidad y la integridad de las evidencias. Para los dos últimos requerimientos será necesario aplicar técnicas forenses en su almacenamiento que garanticen la seguridad de la información de las mismas. Como vemos, se trata de asegurarse ex ante de que se cumple con la cadena de custodia propia de la investigación digital forense sobre sucesos ya ocurridos. (Ver post de Laura Giménez Béjar Pericia informática en este blog)

Por otra parte, una vez que se han seleccionado las evidencias digitales, y se cumplen todos los requerimientos legales y de seguridad de la información, la organización debe monitorear las mismas para detectar y evitar cualquier incidente grave. En este sentido, se deberá establecer un protocolo de actuación para determinar cuándo es necesario activar una investigación digital forense o cuándo nos hallamos ante un incidente menor. Nuevamente, la intervención del departamento legal será crucial en aquellas circunstancias que se hayan definido con un nivel elevado de gravedad.

Sin embargo, tal planificación sería infructuosa o no produciría todos los efectos deseados si no hay una adecuada formación y concienciación del personal de la organización. El mismo debe tener capacidad para evaluar la importancia de cualquier incidente, comprender los requerimientos legales muy estrictos que se exigen en la recopilación de las evidencias electrónicas, y tener definidos los niveles de escalabilidad. Por último, se debe llevar a cabo una documentación muy rigurosa para garantizar la validez de la evidencia digital.

En conclusión, la Forensic Readiness no hace más que poner de relieve la importancia en el mundo de digital de adelantarse a los hechos y, en ese sentido, el abogado digital debe impregnarse de un “espíritu preventivo”, no sólo en el campo de las evidencias electrónicas, sino en otros como la privacidad, comercio electrónico, etc.

Fuente: Abogacia.es