miércoles, 11 de febrero de 2009

Admisibilidad legal de la información electrónica

Parece que la evidencia electrónica está en fase de normalización en distintos países. Falta hace porque en general, el área TIC, desconoce cuáles son las garantías necesarias y suficientes para poder aportar un log como prueba en un juicio, y que éste además sea válido como prueba.

En el blog de Julián Inza aparece publicada la noticia de que ya esta disponible la versión 2008 del Bristh Standard BS 10008 “Evidential weight and legal admissibility of electronic information”, cuyo título me he permitido traducir como “Valor probatorio y admisibilidad legal de la información electrónica”. Este estándar contiene los requesitos de de implementación de los sistemas de gestión de la información electrónica. Incluye los relativos al almacenamiento y transferencia de la información y hace referencia a aspectos relacionados con la autenticidad y la integridad de la información como una evidencia electrónica de las acciones gestionadas por los sistemas.

En España, contamos con el trabajo de AEDEL que también está moviéndose en esta línea como ya comenté en un post anterior.

Es habitual cuando estás revisando una declaración de aplicabilidad de un SGSI y llegas al control A.13.2.3 que la gente te mire con cara de pocker sin saber qué decir al respecto. En este sentido, lo que el control busca es claro: si hay problemas o indicios de delito, la Organización debe poder llevarlos hasta sus últimas consecuencias que pueden ser los tribunales. Dado que no para todo podemos evitar un incidente, es necesario que la Organización pueda de alguna manera "transferir" ese tipo de riesgos hacia la "seguridad jurídica" que da el poder esclarecer en un tribunal la inocencia o culpabilidad frente a unos hechos ocurridos en la propia organización así como depurar responsabilidades.

También es necesario que la Sociedad conozca la figura del perito informático, una persona cualificada que ayuda, o bien al Juez o bien a las partes, y que proporciona un informe pericial donde el técnico expresa su opinión profesional sobre la naturaleza de unos hechos y sus circunstancias. Al respecto, creo interesante dar a conocer que los Colegios Profesionales de Ingenieros en Informática han puesto a disposición de Empresas y ciudadanos unos "Cuerpos de Peritos Informáticos" que permiten solucionar en los tribunales todos aquellos asuntos donde el conflicto se presenta o bien por la utilización de sistemas de información o bien por su abuso. Para mostrar la seriedad de estas instituciones, sirva como ejemplo el Reglamento Interno del Cuerpo Oficial de Peritos del Colegio de la Región de Murcia.


Respecto al qué hacer para implantar este control, lo correcto es leerlo y mirar la guía de implantación en la norma ISO 27002 que para eso se elaboró.

Control: Cuando una acción contra una persona u organización después de un incidente de seguridad de la información implique medidas legales (tanto civiles como penales), deberían recopilarse pruebas, que deberían conservarse y presentarse de manera que se ajusten a las normas establecidas en la jurisdicción pertinente con respecto a las pruebas.

Guía de implantación:

Deberían desarrollarse procedimientos internos que deberían seguirse a la hora de recopilar y presentar pruebas con el fin de ejercer una acción disciplinaria dentro de una organización.
Por lo general, las normas para las pruebas abarcan:
a) la admisibilidad de la prueba: si la prueba puede usarse o no ante un tribunal;
b) el peso de la prueba: la calidad y la integridad de la prueba.

Para que la prueba sea admitida, la organización debería asegurarse de que sus sistemas de información cumplan algún estándar publicado o algún código de prácticas para la elaboración de pruebas admisibles.

El peso de la prueba entregada debería cumplir cualquier requisito que le sea aplicable. Para que una prueba tenga peso, un sólido seguimiento de la prueba debería demostrar la calidad y la integridad de los controles utilizados para proteger de forma correcta y coherente la prueba (p. ej. prueba de control del proceso) durante todo el periodo en que la prueba que debía recuperarse estuvo almacenada y fue procesada. Normalmente, un seguimiento será sólido si se establece en las siguientes condiciones:
  • a) Para documentos en papel: el original se guarda de forma segura con un registro de la persona que encontró el documento, de dónde y cuándo lo encontró y de quién presenció dicho descubrimiento. Cualquier investigación debería garantizar que los originales no han sido alterados.

  • b) Para información en medios informáticos: deberían realizarse imágenes o copias exactas (dependiendo de los requisitos aplicables) de cualquier medio extraíble y de la información en discos duros o en la memoria para garantizar su disponibilidad. Debería mantenerse un registro de todas las acciones llevadas a cabo durante el proceso de copia, y el proceso debería ser presenciado por otra persona. Los medios originales y el registro (si esto no es posible, por lo menos una imagen o copia exacta) deberían mantenerse en lugar seguro y no tocarse.


Los trabajos forenses deberían efectuarse exclusivamente en copias del material de prueba. Debería protegerse la integridad de todo el material de prueba. La copia del material de prueba debería estar supervisada por personal digno de confianza y debería registrarse la información acerca de dónde y cuándo se efectuó el proceso de copia, de quién llevó a cabo las actividades de copia y de qué herramientas y programas se utilizaron para ello.

Información adicional
Cuando se detecta por primera vez un evento de seguridad de la información, puede que no resulte evidente si dicho evento tendrá como consecuencia una acción legal. Por este motivo, existe el peligro de que se destruyan de forma intencional o accidental las pruebas necesarias antes de tomar conciencia de la gravedad del incidente. Es recomendable hacer uso de los servicios de un abogado o de la policía en las primeras fases de cualquier acción legal que se esté considerando, así como asesorarse de las pruebas necesarias.
Las pruebas pueden trascender los límites de la organización o la jurisdicción. En estos casos, debería garantizarse que la organización está autorizada a recopilar la información requerida como prueba. También deberían tenerse en cuenta los requisitos de otras jurisdicciones con el fin de maximizar las oportunidades de admisión en todas las jurisdicciones competentes.
 
;