Para el objetivo de este artículo, nos referiremos al término problema como cualquier anomalía o incidente que afecta al funcionamiento normal de los procesos y actividades de la empresa, que la distrae de su actividad principal de negocio, y para el que tiene que dedicar tiempo y esfuerzos para darle una adecuada solución.
No pensemos únicamente en incidentes directamente relacionados con el funcionamiento de los sistemas de información. Para unas empresas, un problema puede ser una fuga o robo de información que ponga en entredicho su servicio y reputación, y que tenga consecuencias en su cotización, como por ejemplo lo sucedido con Facebook en los últimos tiempos. Pero para otras empresas un incidente será, por ejemplo, la falta de servicio de un proveedor que termine afectando en la operativa, el envío de un determinado correo electrónico por un empleado con información crítica, un comentario inapropiado o fake news en las redes sociales, la recepción de un anónimo en el canal de denuncias, un pleito al que dar respuesta por un caso de competencia desleal o de propiedad intelectual, etc.
Y dar una solución adecuada al problema o incidente pasa por tener un plan de acción que sirva de guía para dar los pasos necesarios que mitiguen el impacto del mismo y permitan resolverlo en un plazo razonable de tiempo.
Es aquí donde la componente de servicios de Forensic, tanto financieros como tecnológicos, tiene su encaje.
Gestionemos el riesgo.
No es necesario entrar a explicar la definición y desarrollo de un plan de respuesta ante incidentes, para lo que ya existe una amplia y bien definida documentación, sino que lo relevante es llamar la atención de lo necesario que es contar con el plan para poder afrontar trabajos y decisiones. Una vez identificado el problema, nuestro plan de acción puede ser tan “simple” como determinar que es necesario contar con un experto independiente (consultor, abogado, investigador, perito) e identificar una lista de posibles contactos.
Obviamente, no todos los incidentes son fácilmente predecibles como para ser incluidos en un plan de respuesta. Sobre todo, si pensamos en aquellos relacionados con litigios o procedimientos judiciales. En ese caso, los mejores cortafuegos son los contratos y el asesoramiento legal adecuado. Otro caso diferente es si nuestro negocio necesita para su desarrollo de acuerdos comerciales con terceros, bien por el país donde se realizarían los trabajos o por la necesidad de crear una relación temporal de empresas, tendrá sentido estudiar los posibles riesgos que estas situaciones de negocio pudieran tener, y establecer un plan de respuesta ante posibles incidentes. Por ejemplo, si la resolución de una posible disputa entre las partes va a someterse a un procedimiento de arbitraje, sería conveniente conocer las características básicas de este tipo de procedimientos y establecer los controles internos más adecuados que generen la información de soporte desde el comienzo de la relación contractual.
Perspectiva Forense: Datos accesibles e íntegros.
Un denominador común para dar una respuesta adecuada a cualquier problema o incidente es la información con la que contemos sobre cada uno, y que nos vaya a permitir actuar en consecuencia. Tanto si la respuesta la vamos a canalizar con recursos internos, como si vamos a involucrar a expertos externos, tener alguna pista de lo que ha ocurrido nos abrirá la posibilidad de realizar el análisis pertinente y coordinar nuestros esfuerzos para dar la mejor respuesta.
Además de contar con información/documentación que podamos utilizar para conocer más acerca del incidente, es fundamental que ésta sea accesible (esté preservada en el tiempo) y si se trata de información electrónica (ficheros, mensajes o dispositivos) que sea utilizada con las herramientas adecuadas que preserven su integridad en todo momento.
Hablamos de herramientas, pero también de metodología.
Normalmente, los departamentos de Sistemas de las empresas no cuentan con los conocimientos y las herramientas para realizar un tratamiento de los datos desde una perspectiva técnica-forense. No sería la primera que nos encontramos que, tratando de realizar una contención del incidente, los propios técnicos de la empresa acaban haciendo inservible la información como evidencia o prueba del caso.
Hay situaciones en las que la variación de la fecha de un determinado fichero (algo muy típico en procesos de recuperación de ficheros), hace que el análisis técnico–forense no pueda acreditar que dicho fichero no haya sido modificado con posterioridad y por lo tanto se puedan verter dudas sobre su integridad o incluso su originalidad.
Y qué decir de los correos electrónicos. Elementos que escapan del control de su autor nada más dejar la bandeja de salida. En este caso, el papel fundamental lo juegan los procesos de preservación y control de acceso a las diferentes cuentas de correo de la empresa.
Los datos en la nube: nuevos retos.
Por último, nos gustaría hacer mención a los nuevos retos que para la respuesta a incidentes representa el cada vez más extendido uso de los servicios que se ofrecen en La Nube (Cloud Computing). Si hasta ahora los datos residían, mal que bien, en los activos informáticos de la empresa, y eran gestionados de forma “cercana” por los equipos de soporte de la empresa, con la adopción de servicios en La Nube (desde almacenamiento hasta infraestructuras) perdemos esa relación de “cercanía”, quedando todo o casi todo en manos del proveedor de servicios en La Nube. Y esto, ¿supone un alivio?, porque podemos abstraernos de los costes de gestión y mantenimiento de unos sistemas de información propios (más allá de los PCs de los usuarios), o ¿un problema? porque tenemos que dejarlo todo bien atado en las condiciones de contratación, definiendo claramente qué parte se hace cargo de cada servicio (control de acceso a los datos, medidas de seguridad, copias de seguridad y recuperación). Puede que por la parte de gestión técnica de sistemas se reduzca, pero por el otro lado se incrementan las labores de supervisión y control del proveedor y desde distintos ángulos: usuario – como consumidor de los servicios, sistemas – como supervisor de la asistencia técnica ofrecida por el proveedor, legal – como garante del cumplimiento de las condiciones del contrato.
Lo que queremos llamar la atención es que, técnicamente hablando, se abre un nuevo paradigma en la gestión de los datos que residen en cualquiera de los servicios de La Nube, y que hay que prever que uso van a tener para implementar los controles adecuados de cara a dar una respuesta positiva ante un incidente.
En definitiva, el éxito en la respuesta al problema o incidente dependerá de que la empresa disponga del plan de acción que identifique los actores (internos y externos) y los medios (herramientas y metodología) para su contención y resolución. Y donde la información a analizar es vital que esté identificada de antemano y sea accesible en tiempo y forma, lo que permitirá a la empresa afrontar una solución de forma ágil y proporcionada.
Senior Manager – Forensic Technology & Cyber Investigation
