Red Seguridad 84

Investigaciones internas y protección de datos personales E n las grandes empresas y corpo- raciones hay dos fuerzas presentes muy distinguibles: la necesidad inelu- dible de realizar investigaciones inter- nas tendentes a proteger su negocio y la exigencia e interés de respetar la protección de datos personales de los empleados. Son dos fuerzas que parecen contrapuestas y que aparentemente no son compatibles, pero es muy posible atender las necesidades de investigación inter- na sin contravenir la obligación de proteger los datos de las personas. Además, en nuestra relación con las grandes empresas hemos observado que no solo intentan por todos los medios no invadir esos datos sino que son fuertes defensoras de la pri- vacidad y muestran un gran respeto e interés por que nadie pueda cruzar esa línea en su organización. Los datos personales tienen que mante- nerse estrictamente confidenciales y privados. Sin embargo, día a día se hace más necesario investigar muchos ordenadores y servidores de las orga- nizaciones. Para empezar, el propio Reglamento General de Protección de Datos (RGPD) obliga a que se haga un seguimiento para asegurarse de que no haya en los ordenado- res datos personales –tanto internos como de clientes– no autorizados o innecesarios, a fin de que no puedan ser sustraídos por empleados malin- tencionados o por ciberdelincuentes. Por ello la mayoría de las organi- zaciones han establecido con sus empleados un código de conducta y los trabajadores están advertidos de que los equipos de la empresa pueden ser monitorizados cuando se precise. Durante la investigación Para que estas dos líneas no se crucen, la mejor solución es tender puentes entre ellas, bien temporales o bien permanentes. Estos puentes son las soluciones de investigación informática forense corporativa que permiten realizar las investigaciones protegiendo al mismo tiempo los datos personales. Pero, ¿cómo operar sin tocar los datos personales? El puente se esta- blece instalando un pequeño agente pasivo en los ordenadores en cues- tión. ¿Quién puede instalar estos agentes? Existirá una persona que ejerza de administrador del siste- ma, y el software de agente solo se podrá instalar y usar por parte del investigador que el administrador haya autorizado y durante el tiempo establecido por éste. ¿Que podrá hacer el investigador? El administrador le creará un perfil con asignación granular de permisos para previsualizar lo que sea necesa- rio en la máquina a inspeccionar, en función de los requerimientos de la investigación y del perfil del investi- gador. Por ejemplo: espacio sin asig- nar, análisis de memoria 32/64 bits, análisis de hosts conocidos para sesiones remotas de clientes SSH, RDP, archivos compartidos, cier- tos documentos entre unas fechas determinadas, correos electrónicos de la empresa, archivos borrados, eventos, protocolo SSH, programas instalados y un sinfín de posibilida- des específicas. Cuando sea preciso investigar documentos, se utilizará siempre un sistema de búsqueda ciega por palabras clave que le asignará el administrador. De esta forma se pro- tegen los datos personales, ya que las búsquedas por palabras clave propias de la actividad empresarial solo reportarán los documentos que las contengan y estos serán los 46 red seguridad primer trimestre 2019 Alfredo Ruiz González CEO de Ondata International opinión forense monográfico