Al hilo de este estupendo paper sobre eDiscovery, voy a aprovechar la ocasión para hablar un poco del tema.
Los orígenes del eDiscovery surgen en un típico entorno organizativo donde hay toneladas de información digital conservada de múltiples maneras: email, documentos ofimáticos, sistemas EDI, PIMs, etc. Esta información, como es obvio, debe ser conservada de modo que la privacidad y la confidencialidad, no sólo de la empresa, sino también de sus trabajadores, sea máxima.
Hasta aquí nada nuevo. Es una cuestión más lógica que legal. Si conservamos información, ésta debe conservarse con garantías de que ningún acceso no autorizado sea posible, y que en caso de producirse, se vele por la privacidad de los elementos afectados.
Vamos a dar un giro de tuerca adicional. Imaginemos que cumplimos con las prescripciones legales sobre retención de información y datos, y que nuestra organización vela por la privacidad de su know-how y sobre todo, por la confidencialidad de la información electrónica cuyos protagonistas sean los empleados. Esto ya sería, al menos en España, un logro importante, teniendo en cuenta que del orden de 8 de cada 10 empresas no cumple con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Imaginemos que a ese segmento del 15 o 20% de empresas que sí cumplen con la Ley les decimos algo así como lo siguiente:
Muy bien, usted trata los datos y la información acorde a la Ley, protege la confidencialidad y la privacidad de los usuarios del sistema. Pero es que además, Usted tiene no sólo que cumplir con esto, sino además, asegurarse de que en caso de litigio, la información tiene que estar lo suficientemente ordenada para que esté disponible con una inmediatez máxima. Caso contrario, se le sancionará.
Es decir, en caso de necesitarse, por motivos judiciales, acceso a la información protegida, debe garantizarse que la extracción de la información sea posible de una manera rápida y acorde a unas directrices de conservación aséptica, de modo que los hipotéticos procesos judiciales que requieran la información no se vean entorpecidos, propiciando además garantías de que la información se extrae del sistema conservando plenamente su integridad. Este escenario, que en España sería de ciencia y ficción, existe y se aplica en otros marcos legislativos más avanzados que el nuestro.
Este es el objetivo del Electronic Discovery o eDiscovery. Proporcionar herramientas para que la gestión de la conservación implique además la gestión de la extracción de la información, tal y como se ha explicado.
La proliferación de los Sistemas de la Información y de la dependencia de los mismos ha ocasionado que recientemente, y hablo de Estados Unidos, se hayan acordado sanciones muy fuertes a las compañías que no respondan rápida y efectivamente a las peticiones de extracción de información. Pese a que en principio el despliegue de conformidad es brutal, ya que aquí hablamos de una gestión en la que diseñan abogados judiciales, abogados de la corporación especializados en seguridad corporativa, especialistas en propiedad intelectual, especialistas en seguridad de la información, auditores, consultores TI y las directivas de las empresas, la idea no es descabellada.
¿Y por qué no exigir que las empresas tengan políticas y procedimientos específicos de retención de información? Los empresarios verán esto como una traba y sobre todo, como otra fuente de gasto. Los usuarios del sistema se verán, por el contrario, ampliamente beneficiados, ya que tienen un marco normativo respaldándolos plenamente no sólo en la conservación, sino en la puesta a disposición de las autoridades competentes de la información que les afecta. Evidentemente, si mejoramos los extremos, mejoramos el intermedio de la cadena, ya que al gestionar adecuadamente los procesos de extracción, mejoramos la adquisición y el tratamiento.
Me consta que el eDiscovery, al menos en EEUU, se está aplicando de un modo particularmente específico a las directrices relativas a información médica personal HIPAA (National Standards to Protect the Privacy of Personal Health Information), a las prescripciones OSHA de seguridad en el trabajo, y a las regulaciones SEC, orientadas a la protección de los inversores, la integridad de mercados financieros y a formación de capital.
¿El siguiente paso a la Protección de Datos? Quizás veamos en España cosas parecidas en 10 o 15 años. Es una pena, pero creo que no estamos preparados para algo así. Si la LOPD es una cruz para muchos, ¿qué cabría esperar de la exigencia por legislación de que las empresas tengan este tipo de procedimientos claramente operativos?
Una evidencia más de que estamos, al menos en lo referente a la Gestión TI, a años luz de otros países. Lo peor es que este tipo de actuaciones debería servir para que hiciéramos un poco de benchmarking y tomásemos nota de lo que es probable que tengamos que hacer en un futuro, viendo cómo evolucionan las TI. Sin embargo, sobre estas cuestiones, no existe movimiento alguno en la actualidad. Tiene toda la pinta de que volveremos a apagar el incendio cuando nos estemos quemando, en vez de ser precavidos y evitar que las llamas tan siquiera se acerquen.
Espero equivocarme.
Creo que lo que ocurre en España es que tenemos un problema de mentalidad.
En priner lugar, la inmesa mayoría de directivos carecen de conocimientos tecnológicos suficientes. De esa inmensa mayoría, casi todos creen que la tecnología informática es infalible y perfecta, casi como el microondas, y que funciona día y noche de forma autónoma, sin necesidad de atención.
Por otro lado, existe la cultura del mínimo esfuerzo, sin tener en cuenta los resultados: políticas para centralizar y gestionar la información, la conservación segura de datos y el acceso a sistemas, recuperación de desastres, formación, etc. No podría decir cuántas empresas pequeñas y medianas he visto que siguen procedimientos manuales para inventariar, que no saben dónde están almacenados ciertos datos, que utilizan miles de hojas Excel y bases de datos Access, en lugar de un repositorio consolidado, que adolecen de medidas de seguridad física, y menos aún disponen de un plan de contingencia.
El problema de estas empresas es que ven siempre gastos, nunca inversiones destinadas a mitigar riesgos, aumentar la productividad o mejorar la situación laboral y satisfacción de los empleados. Preguntan «¿cuánto me va a costar hacer X?» en lugar de preguntar «¿cuánto me va a costar que un riesgo se materialice si no implemento X?».
Felipe,
Tengo que estar de acuerdo contigo en tus argumentaciones. efecitvamente, las gerencias son las primeras que no están preparadas, cuando son las primeras que deben impulsar este tipo de hábitos. No lo están no porque no quieran, sino porque carecen de tiempo para atender todas las cuestiones que requieren atención en la empresa y porque tampoco saben delegar en personas que sí son capaces. El compromiso de la gerencia es parte imprescindible a la hora de implementar sistemas de gestión, sean del tipo que sean. Es el primer punto de fallo y el que generalmente, coarta al resto de la cadena.
No menos frecuente es pensar que todo son gastos y no inversiones en seguridad. Es cierto. Pienso que esto es imputable a las responsabilidades de la gerencia.
Pero hay un factor que no has citado que también es crucial: las Administraciones Públicas no hacen mucho por la labor tampoco. Hay políticas de incentivos, sí, hay sistemas de gestión propios, sí, pero no son la cabeza visible de ninguna revolución tecnológica. Y mientras el principal espejo esté manchado, nadie se va a peinar como Dios manda :)
Un saludo !
Gracias por aclarar en tan pocas y claras palabras de qué va esto del e-Discovery. Ahora me pondré a buscar herramientas y cómo funcionan en detalle, pero lo primero es saber qué es, para qué y por qué.
Gracias.
Hola es un post antiguo pero queria aprovechar para decir que en OnRetrieval «empresa de recuepracion de datos / Forensic Informatico» proporcionamos las herramientas y procedimientos para un correcto proceso de E-Discovery.
Gracias.