Ir a Yoigo Negocios y Empresas
Blog
Inicio > Tecnología e internet > Tecnología en empresas > La importancia de la evidencia electrónica en el Compliance de la empresa

La importancia de la evidencia electrónica en el Compliance de la empresa

28 Enero 2021 18:04

Lo que para algunas empresas ha supuesto el paso del velcro al cordón, para otras tantas está implicando un profundo cambio de paradigma. Frente a la digitalización de la casi totalidad de la actividad económica, tanto las compañías como los bufetes de abogados y otros profesionales del sector necesitaban trasladar las garantías legales del papel, a un ecosistema vendido como utopía de libertad.

No bastaba con sustituir la pieza jurídica básica heredada del sistema romano-canónico y germánico. El contrato digital, para ser contrato, necesita de un marco y un argumento defendido por las instituciones —y por ende el pueblo— para tener validez legal.

A principios de los años 90, la red era un espacio alternativo de pensamiento, un reducto de escape para una realidad analógica. Era un verdadero campo sin puertas que ni poseía ni necesitaba reglas.

Con la llegada del nuevo siglo, las empresas comenzaron a darse cuenta del potencial que poseía Internet. Nacían las llamadas “gigantes tecnológicas”, anticipando la llegada del resto de empresas a esta dimensión. Sin embargo, a ese proceso no eran capaz de subirse los gobiernos. Equipados con sistemas mastodónticos, las instituciones veían como sus reglas de juego eran sobrepasadas por la transformación digital.

En la actualidad, este gap ha dejado a las empresas indefensas, invalidando el poder jurídico del derecho mercantil. ¿Cómo responder a un improperio verbalizado en alemán siendo inglés? El terreno de juego está delimitado por las reglas del fútbol, pero en él se están desarrollando partidos de Fornite, League of Legends o Rust.

Hasta hace poco menos de dos décadas, para diferenciar los bienes de las empresas en la cuenta de resultados basta con colocarlos en activos y pasivos. Unos u otros, independientemente de su papel en las finanzas de los negocios, ahondaban en lo físico. Las deudas, las inversiones, los retornos; todo provenía del mundo material en el que se han movido las sociedades desde hace más de cuatro siglos.

Actualmente, sin embargo, el activo de mayor valor para las multinacionales es un inefable para lo físico tan ambiguo y líquido como la información. Una que ha dejado de estar atada al papel para navegar los hilos infinitos de la red. De esta nacen, y en ella terminan, las operaciones empresariales más importantes que mueven a las economías de todo el mundo.

Por ello no extraña que en 2020 se produjeron más de 450 millones de ciberataques en busca de robar, manipular o capitalizar la información. Durante la primera ola de la COVID-19 estas agresiones propiciadas por hackers instituyeron la tercera preocupación más importante para las empresas. En Reino Unido, por ejemplo, la inversión en startups dedicadas a la ciberseguridad creció un 940% en poco más de doce meses.

Para responder a tal agresión, de consecuencias mil millonarias, los Estados han creado reglas, normativas y hasta leyes que tratan de guiar la actuación de las empresas en cuestiones de índole digital.

Ahora el principal reto de estas en materia de seguridad es asimilarlas y dominarlas; entender que la información ya no es un simple papel, y que los bytes también pueden ofrecer recursos legales de valor.

Evidencias electrónicas: el Santo Grial derecho digital

Para responder a un delito digital se necesita pruebas digitales. Eso es en esencia lo que constituyen las evidencias electrónicas, una suerte de testimonios objetivos recopilados y procesados que sirven como instrumentos legales en causas originadas en el espectro cibernético.

Para INCIBE, las evidencias electrónicas son “datos, que de manera digital se encuentran almacenados o fueron transmitidos mediante equipos informáticos y que son recolectados mediante herramientas técnicas especializadas empleados por un perito en una investigación informática”.

Ahora bien, lo que las dota de validez legal no es ni el valor aportado por el trabajo, ni los sistemas de identificación y análisis de la información. Lo que realmente les profiere la estima práctica en un juzgado es la contención del formato. Es decir, el almacenamiento en un “pincho” o cualquier otro hardware externo, que adhiere a los datos el valor como prueba física.

Así, cualquier información publicada o almacenada en Internet es susceptible de convertirse en evidencia electrónica en caso de ocupar un papel vehicular en el procesamiento de un caso. Para poder contar con estas pruebas en una defensa o una acusación, la empresa implicada debe haber realizado con anterioridad un ejercicio de prevención continuado.

Es lo que Oscar López Rodríguez, Presidente del Grupo de Regulación Autelsi, entiende por Compliance. Esto es, el cumplimiento de unos deberes legales y morales —para la propia empresa— dentro del marco digital, la necesidad de gestionar la seguridad de la información como una prolongación más de los procesos y métodos que sigue la organización para proteger sus activos.

Se trata de que las compañías empiecen a plantearse cuestiones como: ¿disponemos de evidencias suficientes para acreditar el cumplimiento de las obligaciones a las que la empresa se encuentra sometida?”, elabora. Para responder a esa pregunta se deben identificar dos aspectos:

  1. La realización de un análisis para identificar los recursos capaces de generar evidencias electrónicas.
  2. El cumplimiento de obligaciones que afecten a la compañía.

Más allá de construir aparatos reactivos de respuesta frente a futuros problemas legales, consiste, por tanto, en ejercer un esfuerzo manifiesto para crear una cultura de prevención que aliente a la empresa a trabajar siempre pensando en futuribles riesgos y amenazas:

  • Fuga de información.
  • Ransomware o extorsión.
  • Phishing.
  • Suplantación de identidad.
  • Hacking.
  • Cracking.
  • Amenaza Persistente Avanzada (ATP).
  • Pérdida de know-how empresarial.
  • Ataque DDOS.
  • Estafas y fraudes.

La respuesta de choque frente a todos ellos es la mencionada evidencia electrónica, pero no como objetivo último. Las pruebas electrónicas son solo producto de todo un sistema de pensamiento y actuación holístico que empapa desde las decisiones de dirección, hasta los procesos básicos diarios.

Por la ley y para la ley

El esfuerzo de la empresa ha de estar depositado en el desarrollo de una cultura de ciberseguridad basada en el riesgo. En educar con planes de formación, establecer políticas y protocolos de actuación, adoptar una responsabilidad proactiva. Así como en la dotación se seguridad en los sistemas.

Hablamos de la disponibilidad de infraestructuras de la información robustas —frente al dinamismo del suburbano ciberdelincuente, y resiliente de cara a afrontar crisis con picos de incidencias y amenazas con el provocado por la pandemia del coronavirus— y de un Sistema de Seguridad de la Información (SGI) amoldado a necesidades, conocimientos y objetivos.

No hay que olvidar que el trabajo de la organización en este frente deriva de la necesidad de encajar en un marco normativo y legal. “Normativa como la protección de datos de carácter personal, que nos exige tener unas metodologías basadas en la gestión del riesgo y una metodología de prevención de los activos de información relacionada con los datos personales”, apunta López.

En lo que a leyes se refiere, tras su reforma, la Ley Orgánica 5/2010 es quizás la que más importancia tiene en cuestión de Compliance electrónico. Esta habría venido a “reforzar la necesidad de disponer de sistemas de control cuya efectiva implantación pueda ser acreditada ante terceros y muy especialmente ante los tribunales de justicia”.

La prueba electrónica tiene cabida incluso en las normas ISO. Concretamente, la UNE 71505-1:2013, donde se tiene la precaución de diferenciar con claridad lo que es una evidencia y lo que es una evidencia electrónica (EE).

  • Evidencia: cualquier dato o información que puede ser utilizado para determinar o no la existencia o no de un hecho.
  • Evidencia electrónica: información en forma electrónica de cualquier naturaleza, identificable y susceptible de ser tratada de manera diferenciada y generada, tratada, gestionada y/o almacenada de manera que quede asegurada su confidencialidad y valor probatorio.

Mientras evoluciona y se perfecciona, el marco legal está sirviendo como aliciente de interés para aquellas organizaciones que, por falta de recursos o de conocimientos transversales, ignoraban la importancia de las evidencias electrónicas y del cumplimiento en su definición más amplia.

La negación frente a una tendencia con bases empíricas puede significar el desastre tanto económico como reputacional de la empresa.

Y es que, la creciente dependencia de las TIC, el incremento en el uso delictivo de la tecnología y el empleo masivo de dispositivos digitales no hace sino remarcar el valor de las marcas en el espacio digital, y la responsabilidad civil o penal adquirida ipso facto por su actividad. La respuesta para López es mucho más sintética. ¿Por qué debo tener en cuenta las evidencias?

Por un lado para “preservar mis derechos para poder defenderme cuando me ataca el ciberdelincuente”, y por otro lado, para cuando “alguien dice que no he cumplido con mis expectativas o mis responsabilidades, tener una posibilidad que me permita acreditar este hecho”, destaca.

Si estoy cumpliendo legislación aplicable, o compromisos adquiridos necesito poseer una carga de prueba para defenderme en caso de que alguien me impute un incumplimiento de norma”. O, por ejemplo, “si estoy perfeccionando un contrato por medios electrónicos, la carga de la prueba puede estar de mi lado cuando quiera defender mis derechos”.

¿De dónde se obtienen las evidencias electrónicas?

Las evidencias electrónicas son importantes para la seguridad y los derechos de la empresa, las leyes guían la responsabilidad de las organizaciones, y el contexto digital invita a ser preventivo. Un negocio posicionado en esta fase de planificación está en disposición de realizar una gestión adecuada de la seguridad de la información. Eso sí, no sin antes entender que:

  • Los terminales registran toda la actividad que se realiza en la red.
  • La evidencia digital es sensible al cambio: es susceptible a alteraciones, daños o destrucciones sencillas.
  • La información puede estar latente: a través de huellas digitales o incluso de ADN.
  • Los registros o loggs son vitales en las investigaciones informáticas: siempre que no hayan sido manipulados.
  • Las EE pueden ser recopiladas por un perito en un proceso de investigación.

Las pruebas electrónicas son siempre producto de una interpretación sesgada e interesada de la empresa: será prueba aquello que se requiera como tal, y cumpla unas condiciones específicas. Ello no ignora el hecho de que estas evidencias provienen de fuentes muy distintas.

  • 87% de la navegación.
  • 80% del correo electrónico.
  • 67% de aplicaciones.
  • 60% de sistemas de ficheros.
  • 57% de bases de datos.
  • 47% de equipos ofimáticos personales.

(En porcentajes asociados caso por caso, cuando se ha de identificar la evidencia requerida).

Son los cuerpos de seguridad del estado especializados en ciberdelincuencia los que, con herramientas determinadas y peritos altamente formados, logran encontrar rastros y huellas en terminales y soportes, independientemente del estado de los mismos: quemados, reseteados, o incluso destruidos.

Con todo es importante saber que no todas las evidencias, por el mero hecho de serlas, tienen validez legal. “Uno de los elementos que tenemos que auditar y revisar con carácter previo es si esa prueba es nula, o si es o no legal”, apostilla. Esto es así, porque hay determinadas evidencias que vulneran derechos fundamentales de terceros.

Una cosa es poder rastrear toda la actividad de un usuario, y otra muy distinta utilizar esa información como prueba en un juicio. Así mismo lo ha atestiguado en varias ocasiones el Tribunal Superior de Justicia, y así lo recoge la Ley de Protección de Datos.

¿Cómo protegerse con evidencias electrónicas?

Atendiendo a la vertiente normativa, a la conducta de previsión y a la validez legal de las pruebas en casos prácticos, toda información recabada debe seguir tres principios básicos: confidencialidad, disponibilidad y autenticación. Es decir, que la empresa esté siempre preparada, que no vulnere los derechos de los usuarios y que se ciña a los requisitos formales de almacenamiento.

Con todo ello, una organización ya estaría lista para enfrentarse a los riesgos de la actividad digital, sin preocuparse por la vulneración de sus derechos como sociedad. Ahora bien, no es lo mismo protegerse que defenderse. Para esto último es importante ir un paso más allá y saber gestionar correctamente las evidencias electrónicas.

Para una labor eficaz en esta cuestión se requiere “identificación y generación, cadena de custodia y uso (presentación), veracidad y exactitud”, explica López. Este se refiere a las preguntas de responsabilidad mínima que ha de hacerse la empresa cuando está recabando la información.

  • Integridad: ¿cómo mantener la de la evidencia? “Cómo voy a demostrar ante un juez o ante un tercero que esa prueba no ha sido manipulada”. Sin veracidad no hay validez ninguna.
  • Completitud: “Cuando estoy relatando un hecho, la evidencia tiene que ser capaz de demostrarlo al completo”. De nada sirve una prueba con capacidad sesgada o referente a partes concretas que el tercero puede considerar interesadas para la defensa. En ese caso, sería incluso válido el uso de varias evidencias, para completar el significado de la demostración.
  • Autenticidad: “Está relacionado con la identificación del usuario, que es el que ha entrado en el sistema y ha generado esa evidencia”. Esta propiedad es básica para que el órgano competente determine la fiabilidad de la prueba y su adecuación a la acusación o la defensa.

Consejos para gestionar las EE correctamente

A partir de los principios anteriores López extiende una serie de consejos, que abarcan desde la planificación previa, pasando por el procesamiento, la contextualización, la preparación y la actuación respaldada por la evidencia en cuestión.

1 – Establecer una metodología de gestión

Acudir a la norma UNE-ISO 71505 para adoptar el ciclo de mejora continúa y aplicarlo al que debe ser el ciclo de vida de la evidencia. Cada organización incluye aspectos diferenciales en esta fase, pero todas ellas suelen acudir a estadios o procesos similares, para la recolección y el procesamiento de las pruebas.

  • Generación: qué pruebas necesito y qué riesgos inherentes presenta el trámite.
  • Almacenamiento: responder a ‘dónde’ y ‘cómo’ para concretar si la información podrá ser manipulada o cedida por y de terceros. Para ello se emplea la firma electrónica.
  • Transmisión: cuándo debe hacerse. Por ejemplo, cuando hay que comunicarla a un sistema o entorno, o cuando hay que completarla con otra prueba para darle validez. Se requieren controles.
  • Recuperación: la obtención de la evidencia para su uso. Cómo se exporta y se custodia —no destructiva y documentada— en concordancia con la metodología y las normas.
  • Tratamiento: la agregación o correlación. Es decir, la completitud con otros datos de sistemas asociados.
  • Comunicación: la presentación frente a terceros. Establecer las formas y el lenguaje para evitar la nulidad de la prueba.

2 – Identificar necesidades en base a procesos y actividades

Una vez se cuenta con el entorno seguro para las evidencias, la empresa necesita entender cuáles son los posibles daños de las agresiones y vulneraciones. Para lo cual se ha de acudir a un catálogo de evidencias; un documento actualizable y dinámico que se realiza en conjunción con el CISO, la figura con mayor entendimiento del “entorno de gestión y seguridad de la organización”.

El objetivo pasa, en cualquier caso, por defender los intereses propios teniendo en cuenta a todos los stakeholders, tanto internos como externos. O lo que es lo mismo, actuar alineado con las relaciones laborales, las responsabilidades penales corporativas, las relaciones comerciales, con la Administración Pública y con el resto de socios de la organización.

3 – Analizar requisitos legales y la posible vulneración de derechos

Una evidencia puede terminar careciendo de valor si, teniendo una custodia adecuada y siendo íntegra en su almacenamiento, vulnera algún tipo de derecho recogido en la Ley de Protección de Datos o cualquier otra normativa fundamental. Esto es aplicable a “toda acción u inacción que debamos acreditar porque la carga de prueba recaiga sobre nosotros”, recuerda López.

Las empresas tienen que ser capaz de garantizar la licitud, la legalidad, la proporcionalidad, la necesidad, la idoneidad, la pertinencia y la admisibilidad de cada una de las evidencias electrónicas. La ley reconoce el uso de medios electrónicos a efectos de prueba, pero siempre y cuando no intercedan con el ordenamiento jurídico establecido.

4 – Identificar roles de responsabilidades

El interés de la organización en las pruebas es general y común, sin embargo eso no significa que todos los recursos deban ser volcados a su generación, almacenamiento y ejecución. La empresa cuenta para eso con un organigrama definido, y con puestos y profesionales especializados en materia de seguridad de la información.

Lo primero que debe hacer cualquier sociedad a la hora de plantearse la gestión de las evidencias es precisamente esto mismo: la definición de los responsables que dotarán de garantías y experiencia al proceso. Pueden ser los CEO y administradores, el CIO, el CISO, o cualquier otro puesto de relevancia. Incluso es posible delegarlo en una asesoría legal externa.

5 – Establecer las medidas de seguridad para preservar la cadena de custodia de las evidencias

Los encargados de la organización tienen obligatoriamente que ser conscientes de la complejidad de la cadena de custodia, de su duración y de los matices que la rodean. Solo así, frente a cualquier imprevisto, la afectada podría defenderse acudiendo a evidencias que poseen todas las garantías de validez frente a un juez.

Este concepto, aunque se tiende a mencionar de forma general, está formado por una serie de medidas concretas, distribuidas a lo largo de todo el proceso de gestión de las pruebas:

  • Aseguramiento de la identidad.
  • Logs.
  • Cifrado.
  • Segregación de funciones.
  • Certificado de firma electrónica.

La interesada debe tener en consideración toda aquella tecnología o herramienta que garantice la protección y cobertura de los datos, hasta su utilización final. El límite solo lo marca la ley, y por tanto existe un margen amplio de actuación.

En Yoigo Negocios estamos comprometidos con la viabilidad de la actividad empresarial en el entorno digital, y por eso ponemos el foco de interés en cuestiones de gran proyección, como lo son las evidencias electrónicas. Si quieres seguir en contacto con materias de igual valor, entra en nuestra web o llama al 900 676 535.

transformación digital

RELACIONADOS

Card image

Finanzas y bolsa

Y Google asalta la banca: Google Plex irrumpe en la industria
Card image

Recomendaciones (cine,libros,etc...)

5 ejemplos inspiradores de campañas de e-Mail Marketing
Card image

Casos de éxito

Tetra-brik: El gran éxito comercial de la geometría