Perspectivas
El informe de riesgo global inaugural de J.S. Held examina los posibles riesgos y oportunidades comerciales en 2024
LEER MÁSLa eficiencia, la capacidad de expansión, la velocidad, un mayor ahorro en los costos y una mayor seguridad en los datos extremadamente delicados siguen siendo muy requeridos por los usuarios de los servicios de descubrimiento electrónico. Para satisfacer esa demanda, la tecnología de la nube prometió varios de esos beneficios.
No obstante, la mayor seguridad de los datos depende de cómo un proveedor de servicios de descubrimiento electrónico implemente, mantenga y administre la información delicada de los clientes.
Este problema ha adquirido mayor relevancia, puesto que la mayor parte de la fuerza laboral está dispersa y el hecho de trabajar más a menudo desde entornos hogareños inseguros ha incrementado el uso de servicios en la nube. Este mayor uso de la nube ha posibilitado escenarios de almacenamiento de datos más riesgosos que podrían no ser completamente evidentes para los usuarios de servicios de descubrimiento electrónico. Asimismo, es posible que las firmas que brindan estos servicios no conozcan todos los riesgos inherentes a sus actividades y procesos.
Debido a que la industria ha hecho la transición hacia la conversión de productos y servicios en mercancías en lugar de la personalización, la fuerza laboral de algunos proveedores de descubrimiento electrónico consta principalmente de personal júnior que debería seguir protocolos y procedimientos estrictos en la oficina. Si bien es posible que estas actividades se hayan comprobado y examinado en el entorno de oficina para satisfacer las normas de seguridad mínimas, es probable que la mayoría de los empleados no tenga en cuenta los riesgos de seguridad inherentes a trabajar desde el hogar.
Este documento analiza los riesgos inherentes a la protección de los datos electrónicos del cliente en plataformas en la nube que han surgido con la proliferación de los entornos de trabajo en el hogar. También explica por qué es importante para los usuarios de servicios de descubrimiento electrónico analizar las capacidades técnicas, las prácticas y la experiencia de los profesionales que estarán a cargo de sus datos para asegurarse de que se tomen las precauciones adecuadas.
Recientemente, muchos proveedores de descubrimiento electrónico han migrado los datos de clientes alojados en centros de datos privados a entornos de nube públicos o privados. A medida que aumenta el volumen de datos alojados, también aumentan las complejidades que surgen de la expansión de los recursos físicos requeridos para mantener entornos de alojamiento privado de modo que se cumplan los requisitos de velocidad, eficiencia, redundancia y seguridad de los clientes. En consecuencia, los proveedores de descubrimiento electrónico comenzarán a volver a examinar los riesgos y los costos asociados con sus carteras de alojamiento, y muchos de ellos acudirán a la nube como una solución. No obstante, esta situación también hizo surgir otras cuestiones que posiblemente no se hayan solucionado aún y que la pandemia haya exacerbado.
Seguridad
Es común que los datos más delicados de una organización se encuentren en plataformas de descubrimiento electrónico. A menudo, esos datos incluyen comunicaciones confidenciales, decisiones comerciales estratégicas, información sobre secretos comerciales, comunicaciones personales posiblemente embarazosas y otras comunicaciones confidenciales de sus empleados, directivos y asesores legales. Los servicios de alojamiento en la nube manejados por proveedores de descubrimiento electrónico tienen una amplia gama de capacidades de seguridad que, a menudo, no son examinadas por el usuario de descubrimiento electrónico.
Debido a la mayor sofisticación de los piratas cibernéticos estatales y no estatales, hay un riesgo permanente y creciente de infiltración por parte de actores hostiles. Esto se reflejó en el ataque de SolarWinds de 2020 al gobierno de los EE. UU. En ese escenario, una firma de servicios de tecnología confiable encargada de mantener el entorno de computación de varios de los centros de datos más seguros del mundo brindó un portal para que los piratas informáticos accedan a los datos más delicados del país.
También están los riesgos inherentes a los entornos de trabajo en el hogar que han aumentado debido a la pandemia de COVID-19. Con el avance y la adopción continua de dispositivos de IdC (Internet de las Cosas) y la expansión de servicios de Internet de alto ancho de banda para consumidores residenciales, existen múltiples vías para que servicios hogareños conectados por Wi-Fi en forma de "dispositivos inteligentes" (altavoces, termostatos, sistemas de alarmas, TV y otros equipos inteligentes) queden vulnerados en un entorno que, por lo general, no se monitorea para detectar actividades de red maliciosas. Esto se agrava si los empleados de los proveedores de descubrimiento electrónico no cuentan con experiencia o conocimiento acerca de los riesgos de seguridad en las redes.
Confiabilidad
Los servicios en la nube prometen una confiabilidad inigualable con un tiempo de inactividad limitado para las operaciones de revisión de documentos de los usuarios de descubrimiento electrónico. Si bien es posible que haya ventanas de mantenimiento programado regulares, en ocasiones, se producen interrupciones de emergencia. Por ejemplo, la interrupción de Google de diciembre de 2020. Las interrupciones relacionadas con desastres que afectan a usuarios de servicios de descubrimiento electrónico alojados en la nube pueden afectar seriamente la capacidad de un cliente de respetar los plazos determinados por un tribunal y otros plazos de producción.
Inquietudes relacionadas con la protección de los datos y la privacidad
Las soluciones de alojamiento en la nube pueden (y, a menudo, lo hacen) brindar almacenamiento de datos local a jurisdicciones regionales que requieran la eliminación e identificación de información personal identificable (PII) antes de enviarla a otro país (como los Estados Unidos). Esta situación posibilita que los proveedores de descubrimiento electrónico cuenten con almacenamiento de datos disponible localmente en la región que respete las normativas de privacidad.
No obstante, debido a la gran cantidad de regiones en todo el mundo con normativas de privacidad de los datos, los usuarios de servicios de descubrimiento electrónico no deben asumir que sus datos se están alojando de acuerdo con las normativas locales. Por lo general, los usuarios de descubrimiento electrónico deben confirmar con sus proveedores dónde están ubicados los servidores físicos que alojarán los datos protegidos.
Además, dado que la mayoría del personal de los proveedores de descubrimiento electrónico trabaja desde el hogar debido a la pandemia, puede ser importante preguntar cómo se están abordando de manera consciente las normativas de privacidad de datos mundiales.
Contexto mundial
Se estima que los delitos cibernéticos tuvieron un costo para la economía mundial de casi $1 billón en 2020. Además, se considera cada vez más que el pirateo y las infiltraciones en entidades gubernamentales y comerciales son la mejor herramienta para que naciones enemigas y otras partes maliciosas tengan el mayor impacto en sus objetivos. Esta situación es magnificada por la pandemia, puesto que los entornos de trabajo en el hogar y el mayor uso de ingeniería social en ámbitos generalmente inseguros representan un mayor riesgo para la seguridad de los datos que se están administrando.
¿Cuáles son algunas de las maneras por las que los usuarios de servicios de descubrimiento electrónico en la nube pueden verificar que sus datos se están protegiendo?
Seguridad en la nube
Un paso importante que debe darse es preguntar si la solución de descubrimiento electrónico en la nube cuenta con una certificación conforme a diversas normas de seguridad. Si bien esta no es una garantía de que sus datos no estarán expuestos, brinda algún grado de comodidad debido a que los protocolos de seguridad son examinados regularmente por un tercero imparcial. Entre las certificaciones pertinentes, se encuentran: SOC2 tipo 2, ISO 27001, ISO 27017, ISO 27018, así como certificaciones que indican que el proveedor de alojamiento está al tanto de las normativas de privacidad de los datos y de los requisitos de HIPPA.
Es importante diferenciar las certificaciones que se atribuyen al operador de nube en contraposición a las del proveedor de servicios de alojamiento de datos. Por ejemplo, AWS, Google y Microsoft Azure cuentan con varias certificaciones de seguridad de datos sofisticadas vinculadas con su operación del cliente al servidor del entorno de nube.
No obstante, es importante destacar que una plataforma de descubrimiento electrónico que opera dentro de ese entorno de nube utiliza sus propios protocolos de seguridad para permitirles a los revisores acceder a documentos y, en consecuencia, no hereda todos los controles de seguridad que existen en la capa base de la oferta de la nube. Asegúrese de conocer qué protocolos y certificaciones de seguridad afirma tener la aplicación que elija.
Consideraciones de seguridad vinculadas con el trabajo desde el hogar
Esta situación presenta consideraciones adicionales. Muchos proveedores de descubrimiento electrónico citarán manuales de empleados y documentos con políticas corporativas como respuesta inicial, pero, en esta época sin precedentes, es improbable que esos lineamientos hayan anticipado un escenario en el que la mayor parte de la fuerza laboral tenga que trabajar desde ubicaciones externas, inseguras y dispersas.
Según el entorno técnico disponible en el proveedor de descubrimiento electrónico, pueden tomarse medidas para acercarse a las restricciones de red vigentes en la oficina. Ninguna solución está 100 por ciento libre de riesgos, pero existen buenas prácticas que pueden implementarse para mitigar los riesgos más importantes. Por ejemplo, el proveedor puede optar por un enfoque de seguridad centralizado a través del uso de una conexión a una VPN (red privada virtual) al entorno de la oficina, que restrinja el acceso a redes no esenciales y evite que los empleados usen computadoras no proporcionadas por el trabajo.
También es crucial ser consciente de los distintos niveles de restricciones de seguridad adecuados para los empleados enfocados en distintos aspectos del proceso de descubrimiento electrónico. Por ejemplo, una persona que realice revisión de documentos probablemente requiera menos acceso a datos delicados del cliente que el gerente de proyectos a cargo de organizar la revisión. Es necesario comprender qué procedimientos de seguridad en el hogar está aplicando su proveedor y cómo estos afectan la seguridad y la exposición de sus datos.
Independientemente de los problemas que han surgido, las soluciones de descubrimiento electrónico en la nube les brindan numerosas ventajas a los usuarios para abordar los inusitados desafíos que deben enfrentarse en un mundo post-COVID. A la vez, es igualmente importante que los usuarios sepan y comprendan qué medidas están aplicando los proveedores para proteger sus datos. Las soluciones de almacenamiento en la nube abordan los problemas a los que se enfrenta una infraestructura técnica antigua, y además pueden reforzar la seguridad cibernética y brindarles a los proveedores de descubrimiento electrónico la flexibilidad para operar en un entorno global. El mayor riesgo que surge de trabajar en entornos hogareños debido a la pandemia implica que quienes adquieran estos servicios deben monitorear de cerca las ubicaciones, la protección y los entornos técnicos utilizados por las firmas que se encargan de sus datos delicados.
Mike Gaudet es un director general que presta servicios de Descubrimiento e Investigaciones Digitales en la práctica de Investigaciones Globales de J.S. Held. Ha participado en algunas de las investigaciones de multinacionales de mayor envergadura y ha dado testimonio como perito en las áreas de análisis y restauración de datos electrónicos, mejores prácticas de descubrimiento electrónico y pruebas de software de computadora relacionado. Es experto en eDiscovery (medios de prueba de fuentes electrónicas) y analista de datos. Stephen cuenta con vasta experiencia en importantes investigaciones de fraude y corrupción, incluidas las investigaciones conformes a la FCPA, las investigaciones de esquemas Ponzi y las investigaciones del DOJ y la SEC. Además, tiene experiencia en litigios multijurisdiccionales, presentación de evidencia para respaldar litigios y análisis avanzado de datos.
Puede contactarse con Stephen enviando un correo electrónico a [email protected] o llamando al +1 718 510 5617.
A medida que más aspectos de nuestras vidas y trabajo se digitalizan, la superposición inherente entre la privacidad de los datos y los programas de seguridad cibernética se hace cada vez más evidente. En este artículo, damos una mirada inicial a la relación entre la privacidad de datos y la seguridad cibernética...
Este documento evalúa la aplicación de análisis forenses digitales, los tipos de datos con lo que trabajan los expertos en análisis forenses digitales de datos, el proceso de investigación y algunos escenarios de ejemplo en donde se acude a los expertos en análisis forenses digitales para abordar los impactos de...