RESPUESTAS SIC - Evidencias electrónicas > Crónica
 
  Madrid: 17 de marzo de 2009
Hotel NH Eurobuilding

Barcelona: 18 de marzo de 2009
Hotel Rey Juan Carlos I
RESPUESTAS SIC - Evidencias electrónicas
Cerca de 400 profesionales se dieron cita en las sesiones de Madrid y Barcelona, patrocinadas por AlienVault, Logalty, Telefónica y Symantec

La décima edición de Respuestas SIC indagó en la problemática de la gestión de las evidencias electrónicas

Bajo el título “Evidencias electrónicas y pruebas: Guardarse las espaldas”, la revista SIC celebró los pasados 17 y 18 de marzo en Madrid y Barcelona, respectivamente, una sesión monográfica sobre la trascendencia de una correcta gestión de evidencias electrónicas ante el imparable auge del uso de la informática y el medio telemático, que hace augurar un incremento de conflictos y de la litigiosidad en todas las jurisdicciones. Los asistentes debatieron, entre otras cosas, sobre la conveniencia o no de contar con una tercera parte de confianza en transacciones telemáticas, la necesidad de disponer de un sistema robusto y fiable para el análisis y la gestión de logs y la correlación de eventos en el que se puedan desplegar capacidades forenses, la necesidad de que las funcionalidades de seguridad puedan fijarse en el mismo momento del diseño de las aplicaciones, y del reforzamiento de la gestión de identidades y de la calidad de la autenticación de usuarios.

Este Respuestas SIC, primero de este año 2009, reunió entre ambas sesiones a casi 400 profesionales. Bajo el tema propuesto “Evidencias electrónicas y pruebas: Guardarse las espaldas”, los asistentes debatieron sobre la necesidad de una prevención de riesgos ajustada en este frente, que afecta a las áreas de TI, asesoría jurídica, auditoría, cumplimiento normativo y todas las orientadas al control. Bien mediante la implantación de soluciones tecnológicas específicas, bien gracias a la contratación de servicios de terceros de confianza, o recurriendo a un uso combinado de ambos enfoques, los asistentes estuvieron de acuerdo en que resulta imprescindible saber qué está pasando en el sistema de información, además, y estar en disposición de poder probarlo ante terceros, si fuera necesario.


Sesión de Madrid


Sesión de Barcelona

Claves para decidir

El primer bloque del acto corrió de la mano de Paloma Llaneza, abogada socia de Llaneza A+A y Presidenta de AEDEL (Asociación Española de Evidencias Electrónicas), y de Rafael Ortega, socio director de T&SRS de Ernst & Young.

Llaneza resaltó la importancia de manejar correctamente los conceptos ligados a este escenario, e insistió en la transcendencia de que la evidencia electrónica (prueba sólo si así lo determinada el juez) sea obtenida en España de manera segura y conforme a los principios legales españoles –recomendando obviar algunos apartados de las metodologías más populares, al estar diseñadas en consonancia con sistemas legales de otros países–. La Presidenta de AEDEL destacó igualmente la importancia de las buenas prácticas; de un diseño capaz de colaborar con el registro de la evidencia; y de las ventajas asociadas a la independencia que proporciona contar con un Tercero de Confianza. A efectos de normalización, destacó también el hecho de que AENOR trabaje en la actualidad en la definición de una norma de gestión de evidencias y otra sobre el análisis forense.

Por su parte, Rafael Ortega, que dedicó parte de su conferencia a hablar de la casuística y de las medidas a adoptar en este escenario, subrayó la necesidad de “subir de la capa de infraestructura a la capa de desarrollo”, puesto que, en su opinión, muchos de los casos de fraude están relacionados con problemas en el diseño de las aplicaciones y no tanto con deficiencias técnicas, “...por eso, tenemos que hacer seguros los diseños propios y robustecer los adquiridos, con una adecuada seguridad del ciclo de vida de desarrollo (SCVD)”.

En el turno de preguntas, Llaneza insistió en el peligro de una posible vulneración de los derechos de los trabajadores en los casos de uso de sondas; y ambos ponentes coincidieron en la necesidad de reuniones multidisciplinares donde se impliquen todos los departamentos de la compañía.



Tecnología y servicios

Seguidamente, cuatro compañías de la industria y los servicios presentaron sus propuestas: Alient Vault, compañía de SIEM, representada por su Director de Operaciones, Victorino Martín; Logalty, tercero de confianza en transacciones telemáticas, representada por su Consejero Delegado, José María Anguiano; Telefónica, cuyo Director Asociado de Servicios y Soluciones de Seguridad en la Unidad de Grandes Empresas de Telefónica España, presentó en la sesión de Madrid, los servicios de Mediador de Confianza de su compañía, en tanto que Alfonso Calvo, Gerente de Seguridad de la Unidad, hizo lo propio en Barcelona; y Symantec, representada por Alfredo Reino, Consultor Senior de Seguridad, que expuso las líneas de oferta de su compañía para ayudar a los frentes implicados en el análisis forense y la gestión de evidencias.

En el debate posterior, se plantearon cuestiones sobre la justificación en tiempo de crisis de estos servicios, la necesidad de mayor sincronía y comunicación entre el departamento de TI y el legal, y la problemática de gestión que acarrea el registro acumulativo de logs y las trazas de evidencias. Particularmente, y en su calidad de letrado, Anguiano indicó que “No tenemos ningún tipo de seguridad jurídica en el ámbito electrónico”, y que, en su opinión, y especialmente en el ámbito laboral, la actual prevalencia del derecho a la intimidad provoca que se infravaloren otros (derecho fundamental de las organizaciones a la propiedad y a una tutela judicial efectiva). El abogado, además de reconocer que existe cierta reticencia por parte de los jueces y magistrados a valorar evidencias electrónicas, fue además taxativo con la firma electrónica: “No se engañen, no tenemos firma electrónica; tenemos sello electrónico. No existe una vinculación entre firmante y firmado, algo que sólo se regularía con biometría”. Una afirmación, sin duda, polémica.



Mesa redonda: La opinión de los usuarios

El bloque final de la jornada, en forma de mesa redonda, contó con la visión y las expertas opiniones de Xavier Serrano, Director de Seguridad Tecnológica del Banco Sabadell; Julio San José, Gerente de Seguridad Informática de Bankinter; y Joaquín Álvarez, Subdirector de Normativa y Coordinador de Seguridad Informática Corporativo de Endesa; compartieron con los asistentes su reivindicación de una legislación más esclarecedora y aplicable de gestión de evidencias electrónicas, que marque el camino sobre el que avanzar en el futuro. Álvarez, además, hizo hincapié en la problemática de su compañía: “Endesa -manifestó- es una multinacional que opera en varios países con legislaciones diversas, lo cual dificulta mucho la gestión de evidencias”.

Por su parte, Serrano animó a tener implantada en la entidad un proceso de gestión de evidencias, y manifestó que éstas no deben custodiarse enteramente por la entidad, algo que podría mermar la credibilidad de la misma. “Para ciertas líneas –dijo-, Banco Sabadell dispone de un servicio de tercera parte de confianza”.

Al hilo de una de las preguntas formuladas por los asistentes, los contertulios se mostraron proclives a la construcción de sistemas y aplicaciones que, por su mismo desarrollo, sean capaces de evidenciarse a sí mismos, es decir, de generar evidencias de su propio funcionamiento, lo que simplificaría enormemente la gestión de las mismas, tal y como sostuvo San José, quien recordó que “La gran ventaja de las aplicaciones bancarias es que siempre se han diseñado para ser autoevidenciables, siempre ha habido trazabilidad”.



SIC

<volver