En las grandes empresas y corporaciones hay dos fuerzas presentes muy distinguibles: la necesidad ineludible de realizar investigaciones internas tendentes a proteger su negocio y la exigencia e interés de respetar la protección de datos personales de los empleados. Son dos fuerzas que parecen contrapuestas y que aparentemente no son compatibles, pero es muy posible atender las necesidades de investigación interna sin contravenir la obligación de proteger los datos de las personas. Además, en nuestra relación con las grandes empresas hemos observado que no solo intentan por todos los medios no invadir esos datos sino que son fuertes defensoras de la privacidad y muestran un gran respeto e interés por que nadie pueda cruzar esa línea en su organización. Los datos personales tienen que mantenerse estrictamente confidenciales y privados.
Sin embargo, día a día se hace más necesario investigar muchos ordenadores y servidores de las organizaciones. Para empezar, el propio Reglamento General de Protección de Datos (RGPD) obliga a que se haga un seguimiento para asegurarse de que no haya en los ordenadores datos personales –tanto internos como de clientes– no autorizados o innecesarios, a fin de que no puedan ser sustraídos por empleados malintencionados o por ciberdelincuentes. Por ello la mayoría de las organizaciones han establecido con sus empleados un código de conducta y los trabajadores están advertidos de que los equipos de la empresa pueden ser monitorizados cuando se precise.
Durante la investigación
Para que estas dos líneas no se crucen, la mejor solución es tender puentes entre ellas, bien temporales o bien permanentes. Estos puentes son las soluciones de investigación informática forense corporativa que permiten realizar las investigaciones protegiendo al mismo tiempo los datos personales.
Pero, ¿cómo operar sin tocar los datos personales? El puente se establece instalando un pequeño agente pasivo en los ordenadores en cuestión. ¿Quién puede instalar estos agentes? Existirá una persona que ejerza de administrador del sistema, y el software de agente solo se podrá instalar y usar por parte del investigador que el administrador haya autorizado y durante el tiempo establecido por éste.
¿Que podrá hacer el investigador? El administrador le creará un perfil con asignación granular de permisos para previsualizar lo que sea necesario en la máquina a inspeccionar, en función de los requerimientos de la investigación y del perfil del investigador. Por ejemplo: espacio sin asignar, análisis de memoria 32/64 bits, análisis de hosts conocidos para sesiones remotas de clientes SSH, RDP, archivos compartidos, ciertos documentos entre unas fechas determinadas, correos electrónicos de la empresa, archivos borrados, eventos, protocolo SSH, programas instalados y un sinfín de posibilidades específicas.
Utilizando soluciones forenses de investigación remota se pueden realizar actuaciones preventivas de protección de datos y de seguridad.
Cuando sea preciso investigar documentos, se utilizará siempre un sistema de búsqueda ciega por palabras clave que le asignará el administrador. De esta forma se protegen los datos personales, ya que las búsquedas por palabras clave propias de la actividad empresarial solo reportarán los documentos que las contengan y estos serán los únicos a los que tendrá acceso el investigador: los de uso empresarial específicos.
Para garantizar la privacidad, el sistema de investigación forense grabará en un contenedor inviolable todo el historial (logs) de la actividad que haya realizado el investigador. Es un seguro para que no se invadan los datos personales y, al mismo tiempo, una garantía para el investigador, ya que puede demostrar que él no ha realizado ninguna actividad delictiva ni ha instalado nada en el ordenador en cuestión. El investigador podrá descargarse las evidencias encontradas relativas al caso, manteniendo la ruta de los documentos. Este proceso es forense, lo cual significa que siempre que se efectúe dará el mismo resultado y que se garantiza la no modificación de los documentos y de todos los contenidos del ordenador.
Mucho más que investigación
Este sistema de investigación remota será muy útil para tareas de cumplimiento RGPD, ya que podremos hacer búsqueda de documentos específicos que contienen datos personales mediante búsqueda de patrones de tarjetas de crédito, DNI, números de seguridad social, etc., para así descubrir si hay alojada en las maquinas información de datos personales donde no debiera estar. Se puede implementar un proceso de Information Governance a todos los niveles y lograr que la empresa funcione con garantías de que la información sensible está alojada solamente en los contenedores adecuados con acceso de las personas autorizadas. Para investigaciones internas de auditoría, Risk Management y recursos humanos, el proceso será similar y podremos utilizar el mismo agente.
De igual manera, el agente nos va a ayudar a detectar trazas de malware analizando si hay alguna actividad desconocida en la memoria temporal y a buscar en los ordenadores el hash de un malware que se haya localizado en alguna máquina, a fin de eliminarlo de cualquier otra máquina del sistema que lo contenga. Algunas soluciones nos van a permitir localizar y borrar también malware polimórfico. Particularmente interesante es la función de análisis online de la memoria RAM o la descarga de la misma de una o todas las máquinas las veces que lo necesitemos; los equipos de ciberseguridad agradecen poder analizar el contenido de la RAM para ver y localizar comportamientos maliciosos.
Sin interrupciones
¿Se molesta al usuario con las investigaciones? Este es un problema grave que hace que hoy día muchas empresas no pongan en marcha procesos de investigación. La grata respuesta es: no. No se molesta a los usuarios con estas soluciones forenses de investigación remota.
Las investigaciones por medios tradicionales con intervenciones in situ acaban por ser muy visibles y provocan situaciones embarazosas para los usuarios investigados, que se ven señalados como posibles «delincuentes» cuando en la mayoría de los casos no tienen ningún mal comportamiento en absoluto. Los agentes de software van a realizar una función muy discreta dentro de cada ordenador, son imperceptibles tanto para el usuario como para sus compañeros. La mayoría de las investigaciones remotas tampoco conllevan gran uso de la red, solo es preciso descargarse las evidencias relevantes, que suelen consistir en un número limitado de archivos o documentos específicos.
En resumen, utilizando las soluciones forenses de investigación remota corporativa por fin se pueden realizar actuaciones preventivas de protección de datos y de seguridad informática, así como actuaciones posteriores de respuesta a incidentes o de investigación de delitos. Se podrá realizar investigación local o global de forma remota, sin molestar a los usuarios, siempre con el componente de eficacia y profundidad características de la tecnología forense y asegurando la debida protección de los datos personales de los usuarios.
