Procedimientos de investigación forense ¿Dentro o fuera de la organización?

Buenas,

Este mes, concretamente el pasado día 5, IBM lanzó una solución para la gestión de Electronic Discovery (eDiscovery) dentro de las organizaciones que licencien el software. El producto está especialmente pensado para dar cumplimiento a las reglas norteamericanas descritas en las Federal Rules of Civil Procedure, sobre funcionamiento general de procesos civiles en los tribunales de justicia, aunque como es obvio, es una solución no sólo legal, sino técnica, y puede abastecer a otros procesos de investigación forense.

El Electronic Discovery, o Ediscovery, es un conjunto de procesos que persiguen la localización, clasificación y recogida de información digital de un modo seguro, confiable y que respete la integridad y validez de los datos, para ser usados posteriormente como evidencias admisibles y válidas en procesos judiciales, civiles y/o criminales, o litigios internos en las organizaciones. La máxima de estos procesos es siempre recoger evidencias válidas e irrefutables que permitan sostener un proceso de investigación útil para la parte denunciante, empleando para ello datos que no vulneren los derechos de los inculpados y cumpliendo a lo largo del proceso con el resto de la legislación vigente que sea de aplicación.

Desde mi punto, los procedimientos forenses aislados, y de carácter post-mortem, es decir, efectuados bajo demanda tras la sospecha o confirmación de un incidente, son poco costosos, y suelen estar concentrados en un evento o eventos específicos sujetos a investigación. El problema lo tenemos cuando queremos implantar un esquema de recolección automático de evidencias de carácter preventivo y general. En un sistema con millones de transacciones por día, miles de máquinas, mútiples entornos diferenciados e infinidad de fuentes de riesgos potenciales candidatas a control, generar inteligencia para almacenar evidencias válidas no es sencillo, e implica costes elevados, no sólo en términos de almacenamiento, sino de procesamiento. Los MIPS siguen costando mucho, y bucear en millones de líneas de registro, cuesta también mucho dinero.

Es importante considerar que la relación técnico-legal que hemos descrito anteriormente es precisamente la que otorga mayor complejidad a los procesos forenses. Recoger pruebas válidas sin dañar los derechos de nadie no es fácil, y esto viene dado por la legislación en materia de privacidad, presente en la mayoría de jurisdicciones. Técnicamente, una cabecera de un correo es y suele ser una evidencia clara, pero tener acceso a un buzón de un empleado no es algo inmediato, por las connotaciones que tiene en la privacidad de los sujetos a los que se investiga. La complejidad de estos procesos hace que, con frecuencia, se externalicen las investigaciones, contratando para ello a expertos independientes con la suficiente cualificación, como por ejemplo, los peritos informáticos. Otro dato que añade complejidad es la especialización, ya que la legislación no suele ser homogénea en este tipo de procesos, con lo que el conocimiento legal se torna habitualmente en un requisito imprescindible de un equipo forense cualificado. Cuando se recogen evidencias o se investiga sin mirar en paralelo la legislación, actuamos en un peligroso modo llanero solitario similar al que en otras ocasiones he denunciado, consistente en auditar o efectuar consultoría sin tener ni idea de cómo funciona la empresa: cuando no se sabe a dónde se quiere llegar, lo más normal es no llegar a ningún lado. Son muchos los casos donde, tras una brillante ejecución técnica forense, las evidencias se han caído una por una en el tribunal, bien por no ser admisibles, bien por haber sido recolectadas sin tener en cuenta que recoger evidencias forenses no es recoger huevos en un gallinero: hay que seguir una metodología y hay que ser respetuosos con las prescripciones legales en materia de adquisición, conservación y tratamiento de la información digital.

Por otro lado, mantener en plantilla a peritos informáticos o expertos en informática forense no siempre es rentable, lo que apoya la tendencia de la externalización de estos servicios. Las empresas con capacidad financiera para mantener expertos forenses en plantilla son las que menos, pero aún así suponen un nicho de mercado suficientemente amplio, donde tienen cabida los productos como el que hemos comentado. Además, estos especialistas pueden dar soporte a litigios y disputas internas, con lo que, con la suficiente masa crítica, rentabilizar al personal en plantilla y los costes operacionales de la implementación de software especializado puede ser una opción viable para muchos.

Discernir por tanto si estos servicios deben ser o no parte de la organización es complicado. En los casos extremos suele estar meridianamente claro, ya que las pequeñas y medianas empresas no suelen rentabilizar la presencia in house de estos servicios, y las grandes compañías suelen tener la masa crítica y presupuesto suficientes. El problema son las empresas de un tamaño intermedio entre las PYMES y las grandes corporaciones, donde dilucidar la rentabilidad de la inversión y la pertinencia de la ejecución en casa de estos procedimientos entraña dificultades máximas a la hora de decantarse por las distintas opciones.

Mi opinión personal es que la tendencia es muy creciente en cuanto a uso de las TI en las empresas, con lo que los eventos, reclamos, disputas y procedimientos relacionados con los medios digitales serán igualmente crecientes en todos los segmentos empresariales. La competencia entre proveedores de software será cada vez mayor, y se producirán abaratamientos en los costes de operación de las soluciones forenses, ya sean licenciadas, ya sean gratuítas. En resumen, parece claro que tendemos a un ensanchamiento de la banda donde ahora sólo se mueven las grandes corporaciones, con una más que razonada previsión de que las soluciones corporate se extiendan a empresas de menor tamaño. Este ensanchamiento puede convertir que lo que hoy no es rentable, lo sea mañana.

Sea como fuere, tomar decisiones en este campo es complicado, y seguirá siendo complicado. Son demasiadas las condiciones de contorno las que determinan cómo implementar adecuadamente estos esquemas forenses en las organizaciones.

Un saludo,