[Cybernews] Christopher Wall, HayStackID: «Las leyes de privacidad esperan que las organizaciones sepan qué datos tienen»

en flag
nl flag
fr flag
de flag
pt flag
es flag
uk flag

Nota del editor: Como empresa líder de servicios de eDiscovery con un fuerte enfoque en el descubrimiento cibernético, el gobierno de la información y el descubrimiento legal, HayStackID es destacada regularmente por expertos y publicaciones del sector debido a su enfoque innovador y su profunda experiencia en la resolución de desafíos centrados en datos para corporaciones, bufetes de abogados y departamentos gubernamentales. Este artículo publicado recientemente, que destaca la experiencia en privacidad y cumplimiento de HayStackID y presenta a Chris Wall de HayStackID, se proporciona a continuación y puede ser beneficioso para los profesionales de descubrimiento cibernético, de datos y legal que buscan abordar los desafíos de privacidad, seguridad y cumplimiento.

Por Anna Zhadan y publicado por Cybernews*

Los archivadores de documentos son probablemente cosa del pasado, pero se podría argumentar que la digitalización de los datos trajo consigo más desafíos de privacidad, seguridad y recuperación que las carpetas tradicionales de manila.

La cantidad de información que hay que examinar cuando se buscan datos en procedimientos judiciales es enorme. El proceso a menudo incluye riesgos de que los datos se cambien, se filtren, se eliminen o se pongan en peligro. El control de acceso autorizado, la capacitación y el cumplimiento de las leyes de privacidad pueden ser parte de la solución a este problema, pero siempre hay más cosas que considerar a la hora de proteger y manejar los datos.

Cybernews contactó a Christopher Wall, quien es el Asesor Especial de Privacidad Global, Análisis Forense y Oficial de Protección de Datos en HayStackID. Hablamos de los complicados procesos de recuperación de datos digitales sensibles necesarios para las investigaciones legales, así como del papel de la tecnología en el campo legal.

¿Cómo surgió la idea de HayStackID? ¿Cómo ha sido tu viaje desde entonces?

Mi viaje ha sido un enfoque largo y no tradicional de las investigaciones forenses. Brindé mi primer asesoramiento legal a un cliente de tecnología en 1998, una semana después de pasar el examen, a cambio de una capacitación en MCSE, y luego pasé a ejercer la abogacía en BigLaw y finalmente dejé la práctica legal tradicional para unirme a las filas de la consultoría tecnológica. Ha sido un viaje fascinante, emocionante e increíblemente divertido, pero probablemente no uno que pudiera haber planeado al principio de mi carrera.

En HayStackID, te especializas en una práctica llamada eDiscovery. ¿Puedes explicar brevemente cómo funciona?

Gran parte de lo que hacemos en HayStackID ciertamente implica eDiscovery, que es el componente de recopilación e intercambio de información del litigio. Pero quizás para ser más exactos, diría que en HayStackID nos especializamos en pruebas electrónicas y análisis forense electrónico. Nuestro trabajo diario incluye la preservación forense, la recopilación, la extracción, la búsqueda y la revisión de datos electrónicos en litigios, así como en otros contextos, como violaciones de datos y otras investigaciones cibernéticas, investigaciones laborales internas y procedimientos regulatorios. El enfoque que adoptamos en términos de cadena de custodia, aplicación de principios sólidos de análisis forense, etc., es el mismo en eDiscovery o en algún otro contexto, pero los casos de uso de nuestro trabajo pueden adoptar muchas formas diferentes. Una parte que a menudo no se anuncia de lo que hacemos está en el lado de la prevención de la ecuación.

Si bien a menudo se nos conoce por el trabajo de cribado de datos que hacemos, gran parte de lo que hacemos es ayudar a nuestros clientes a reducir los costos y los riesgos que podrían enfrentar antes de llegar a un litigio o al punto en el que tengan que realizar descubrimientos o algún tipo de investigación. Como sabemos dónde están los puntos débiles y los peligros potencialmente costosos en el futuro, estamos en una buena posición para ayudar a nuestros clientes a implementar planes proactivos y preventivos de gobierno de la información (IG), privacidad y seguridad e higiene de datos para que puedan mitigar algunos de esos riesgos antes de que aparezcan. .

¿Qué tecnología utiliza para seleccionar información valiosa de grandes cantidades de datos?

No es raro que se le pida a HayStackID que recopile, procese, analice y revise terabytes de datos lo más rápido posible. Nuestras herramientas de recolección forense incluyen Cellebrite, XRY y EnCase. También utilizamos una combinación de herramientas, según la necesidad, para examinar los datos recopilados y encontrar los relativamente pocos archivos que nuestros clientes realmente necesitan. Herramientas como Nuix, Reveal (Brainspace) y Relativity, entre otras, nos ayudan con el análisis y la revisión. Si tiene sentido según el volumen de datos y la naturaleza del caso, podemos aplicar herramientas de inteligencia artificial, aprendizaje automático y análisis para ayudar a analizar los datos. Pero esas son solo las herramientas de nuestra caja de herramientas. El verdadero valor proviene de las personas increíblemente inteligentes y talentosas de nuestro equipo que saben cómo usar esas herramientas.

¿Cómo afectó la pandemia a la industria legal? ¿Había algún desafío nuevo al que tuvieras que adaptarte?

HayStackID estaba bien posicionado para la pandemia, ya que la empresa ha estado invirtiendo fuertemente en el desarrollo e implementación de equipos de revisión remota de documentos 100% virtuales, infraestructura y personal de tecnología durante la última década. El tema del trabajo remoto no era nuevo y, en muchos sentidos, para los empleados de HayStackID, la pandemia y los confinamientos significaron que todo seguía igual.

Los abogados tradicionalmente adoran su tiempo cara a cara (interacción real cara a cara con los clientes, no necesariamente la aplicación). La industria legal se basa en la confianza y, sobre esa base, el elemento humano en persona de la industria legal nunca va a desaparecer por completo. Sin embargo, la pandemia creó una oportunidad para que la profesión legal y la industria legal en general crecieran más allá de los modelos antiguos. Las reuniones virtuales sustituyeron a muchas de las reuniones físicas de las salas de conferencias, y un aspecto positivo de la oscura nube pandémica fue que hizo que muchos en la industria analizaran la eficiencia de las reuniones presenciales en comparación con las reuniones virtuales. En ese sentido, el ejercicio virtual probablemente ayudó a que el regreso eventual a las reuniones presenciales fuera más eficiente y efectivo. Por supuesto, también hay compensaciones con la productividad. Al igual que en muchas otras industrias, sin desplazamientos y menos tiempo de enfriador de agua, la industria legal experimentó un aumento de la productividad en muchos aspectos, incluso cuando los profesionales encontraron nuevas formas de equilibrar las demandas personales mientras trabajaban desde casa.

En cuanto a algunos de los otros desafíos que presenta la pandemia, como la mayoría de los demás sectores, el sector legal tuvo que encontrar formas de ser más eficiente al mover e interactuar con los datos. Trabajar de forma remota presentaba desafíos logísticos, técnicos y de seguridad. Antes de la pandemia, por ejemplo, gran parte de nuestro trabajo forense informático se realizaba en un laboratorio físico. La necesidad de esos servicios forenses ciertamente no disminuyó durante la pandemia. La pandemia nos hizo encontrar formas de realizar muchas de las mismas tareas defendibles técnica y legalmente desde ubicaciones remotas en lugar de hacerlo en un laboratorio centralizado.

Teníamos que averiguar cómo asegurarnos de que todos tuvieran el hardware y el software que necesitaban en su entorno remoto, que pudieran usar esas herramientas en su entorno remoto y que pudieran hacerlo de forma segura. La industria legal se ocupa de una gran cantidad de información sensible, confidencial y, a menudo, privilegiada. Durante la pandemia, necesitábamos encontrar una manera de mantener la seguridad de esa información mientras nuestros profesionales trabajaban con esa información en la mesa de la cocina. En retrospectiva, era lo que me gusta llamar una «probletunidad». Lo que aprendimos y los métodos que desarrollamos durante la pandemia hicieron que muchos en la industria fueran más conscientes de la seguridad de la información y nos posicionaron para prestar un mejor servicio a los clientes en el futuro, después de la pandemia.

¿El reciente aumento de las soluciones en la nube complica el eDiscovery de alguna manera?

La mayoría de los profesionales de TI estarán de acuerdo en que las soluciones en la nube presentan muchos beneficios importantes. Entre otras cosas, pueden ser mucho más potentes que las soluciones locales. Pueden ayudar a reducir los costos de TI. Pueden optimizar la administración de TI para muchas empresas. Pueden hacer lo mismo para eDiscovery. Durante la pandemia, por ejemplo, las soluciones en la nube fueron parte integral de los proveedores de servicios de eDiscovery, ya que permitían una forma muy eficiente de proporcionar servicios de eDiscovery. Antes de la pandemia, la oferta principal de HayStackID abordaba casos de uso tanto en las instalaciones como en la nube, por lo que supuso un poco menos de cambio para nosotros, pero para el sector en general, el cambio a la nube era vital.

Sin embargo, las soluciones en la nube también crean nuevos riesgos y complicaciones. Una de las grandes ventajas de los servicios en la nube es que permiten que los datos se muevan libremente a cualquier lugar del mundo donde los usuarios los necesiten. Pero la fuerza de la nube también es su factor de complicación. No todas las nubes son iguales y, desde el punto de vista de la protección de datos, tampoco todas las jurisdicciones en las que se aloja cada nube son iguales. Hoy en día somos mucho más conscientes de la privacidad individual, y mucho más del eDiscovery actual es de naturaleza transfronteriza. Por lo tanto, cuando realizamos eDiscovery con recursos en la nube, ahora tenemos que considerar qué datos van a ir a la nube, la naturaleza de esos datos y dónde se encuentran esa nube y sus copias de seguridad en todo el mundo. Puede ser un análisis complicado y, una vez realizado el análisis, debemos asegurarnos de que tenemos en vigor las normas legales o las cláusulas contractuales adecuadas y evaluar si los datos deben trasladarse a un entorno de nube en particular y de qué manera.

Según su experiencia, ¿cuáles son las razones más comunes por las que una organización podría optar por eDiscovery?

Casi todos los negocios de hoy en día se llevan a cabo electrónicamente, y eso significa que cuando hay una pregunta de hecho, o cuando se necesita responder quién, qué, cuándo, por qué o cómo ocurrió algo en el lugar de trabajo, recurrimos a los datos de una organización para obtener respuestas. Por eso, probablemente no haya muchas organizaciones que se den el lujo de elegir entre hacer eDiscovery hoy en día. Desafortunadamente, en el mundo cada vez más litigioso en el que vivimos, la detección electrónica se ve obligada a imponer a una organización, le guste o no. La detección electrónica puede ser costosa, y cuando una organización se enfrenta a la detección electrónica relacionada con un litigio (o generalmente en cualquier otro contexto), debe decidir si la respuesta proporcional implica la realización de eDiscovery. Como muchas cosas en la industria legal, es una prueba de equilibrio. Por ejemplo, si la carga o el gasto de eDiscovery supera su beneficio probable, teniendo en cuenta lo que está en juego en el caso, la cantidad de dinero en controversia, los recursos que tiene la organización para participar en el eDiscovery o la importancia esperada del eDiscovery para resolver los problemas, entonces una organización puede decidir llegar a un acuerdo o buscar un resultado negociado.

En su opinión, ¿cuáles son algunos de los mayores errores que la gente suele cometer cuando se trata de gestionar datos confidenciales?

Hay muchas cosas que pueden salir mal cuando se manejan datos confidenciales, pero inmediatamente me vienen a la mente el expolio y la privacidad. El expolio se produce cuando se modifican o eliminan los datos que se supone que deben conservarse. Esto no es bueno durante un litigio o una investigación cuando la integridad de los datos (incluidos todos los metadatos) es primordial. Lo vemos a menudo: un acto inocente, como mover archivos de una carpeta a otra con buenas intenciones o con el deseo de ayudar, podría cambiar los metadatos de un archivo en particular. Ese simple acto podría resultar en cuestionar la autenticidad y, por lo tanto, la utilidad de ese archivo. Existen métodos probados y verdaderos que muchos profesionales cibernéticos utilizan para evitar el expolio, pero creo que todos ellos dan fe del hecho de que esos métodos no siempre se aplican como deberían.

El mayor error que vemos, especialmente en los últimos años, es no contar con políticas y prácticas de privacidad y seguridad eficaces. Desde el punto de vista de la seguridad, las contraseñas y el almacenamiento portátil pueden presentar problemas, que no deberían sorprender a la mayoría de los ciberprofesionales. Los empleados tienden automáticamente a usar contraseñas débiles, usan la misma contraseña en todas las aplicaciones y servicios o, cuando usan contraseñas únicas, las graban y las almacenan en lugares obvios. El almacenamiento portátil presenta problemas porque el personal a menudo pierde esos dispositivos y es posible que la empresa no sepa si el dispositivo perdido contenía información confidencial. En otros casos, cuando el personal utiliza dispositivos emitidos por la organización con seguridad integrada, los usuarios se frustran con la seguridad y la deshabilitan por conveniencia.

Eso me lleva a la privacidad. Desde el punto de vista de la privacidad, California y la UE parecen recibir toda la atención, pero hay un número creciente de jurisdicciones en los Estados Unidos y en todo el mundo en las que los lapsos de seguridad que acabo de describir podrían llevar a un grave riesgo financiero y de reputación. Los datos confidenciales desde el punto de vista de la privacidad a menudo incluyen información personal, información que pertenece a las personas y no a la organización. En muchas jurisdicciones, las personas tienen derecho a hacer ciertas cosas con esa información, incluso si los datos asociados a ella residen en lo profundo de una base de datos Oracle de 20 años de antigüedad o se encuentran en una cinta de respaldo de correo electrónico de Pegasus en un armario polvoriento en algún lugar. No poder responder al ejercicio de sus derechos de privacidad por parte de esas personas puede dar lugar a las grandes multas de la UE de las que todo el mundo habla. Este tipo de infracción por parte de una organización podría dar lugar a una multa del 4% de la facturación anual o 20 millones de euros, lo que sea mayor. Las organizaciones necesitan saber qué datos tienen. Eso incluye los datos de hace 20 años, que, por cierto, es de esperar que la empresa tenga una muy buena razón en virtud de su política de IG para seguir existiendo. Muchas de las leyes de privacidad emergentes en todo el mundo esperan que las organizaciones sepan qué datos tienen, que sepan dónde se almacenan físicamente y que puedan identificar la información personal de las personas que poseen. Esto significa que la organización ha llevado a cabo una evaluación de privacidad estrechamente vinculada a su política de IG. Las políticas de privacidad y seguridad eficaces que cuenten con un fuerte apoyo ejecutivo, acompañadas de prácticas supervisadas y capacitación regular, son fundamentales si una organización quiere mitigar los riesgos de seguridad y privacidad y evitar los «grandes» errores.

Además del descubrimiento de datos, ¿qué otras soluciones legales digitales cree que pronto se convertirán en algo común?

Veo que la IA y el aprendizaje automático siguen avanzando en la industria legal. Esa tecnología tiene el potencial de reducir significativamente los costos de eDiscovery y, eventualmente, permitir que las organizaciones clasifiquen y organicen los documentos en el inicio, reduciendo así el riesgo institucional asociado con las políticas o prácticas de IG ineficaces.

La extracción de datos estructurados, además de o en combinación con fuentes no estructuradas, como el correo electrónico, se volverá más común a medida que las organizaciones buscan poder presentar un panorama fáctico más completo utilizando todos los datos disponibles para ellas. Hemos escuchado a personas hablar sobre el uso de big data durante lo que parece una eternidad, pero el verdadero avance será unir los datos almacenados en filas y columnas (incluidos todos los datos que tenemos en los dispositivos móviles guardados en nuestros bolsillos) con el correo electrónico y los documentos comerciales que hemos analizado casi exclusivamente para largo. Unir ambos va a ser cada vez más común, no solo en el espacio de eDiscovery y cumplimiento, y no solo en la industria legal, sino también en el mundo empresarial en general. Tener un panorama holístico de la actividad de una organización le permitirá tomar decisiones comerciales mejores, más informadas y potencialmente más oportunas.

Por último, está la privacidad. Las evaluaciones de protección de datos ya han despegado a medida que las organizaciones son cada vez más conscientes de sus obligaciones legales de privacidad y seguridad, y cada vez más los clientes de la organización lo esperan. Por lo tanto, junto con las auditorías de privacidad y seguridad cada vez más comunes, el resultado natural de esas evaluaciones incluirá requisitos de contraseñas más estrictos en todos los ámbitos, la anonimización de los datos (o la desidentificación de los datos personales cuando sea posible) y un análisis más detallado de los subcontratistas de una organización prácticas de privacidad y seguridad. Veremos que cada vez más personas ejercen sus derechos sobre su información personal solicitando el acceso, la eliminación o la corrección de la información personal que una organización pueda tener.

Comparte con nosotros, ¿qué sigue para HayStackID?

HayStackID comenzó como una empresa de investigación cibernética y forense informática, y los principios y prácticas forenses establecidos para hacer ese trabajo siempre serán fundamentales para lo que hacemos. Pero a medida que miramos hacia el futuro, HayStackID trabaja para transformar la forma en que los profesionales de la ciberseguridad, la IG y el descubrimiento electrónico piensan sobre la evidencia electrónica. Estamos ampliando los límites en el uso de la IA, la ciencia de datos y el aprendizaje automático, y combinando esas tecnologías con revisores humanos capacitados para ofrecer a las organizaciones información procesable de forma más rápida y rentable que nunca.

Quizás lo más emocionante sea lo que estamos haciendo en el frente de la privacidad y la protección de datos. Para ayudar a nuestros clientes a analizar los datos en busca de información confidencial, desde PII y PHI hasta anomalías en el código de violación de datos, estamos implementando Protect Analytics de HayStackID. Cuando combinamos eso con la oferta ReviewRight Protect de HayStackID, podemos aprovechar el poder de la tecnología y la revisión humana y señalarlos directamente a la detección, identificación, revisión y notificación de brechas y anomalías relacionadas con datos confidenciales.

Si bien la evidencia electrónica y el descubrimiento electrónico siempre serán nuestro pan y mantequilla, estamos entusiasmados con lo que estamos aportando a la industria para que sea más eficaz, eficiente y rentable para nuestros clientes.

Lea el artículo original.

*Compartido con permiso.

Acerca de HayStackID®

HayStackID es una firma de servicios de eDiscovery especializada que ayuda a las corporaciones y bufetes de abogados a encontrar, comprender y aprender de los datos de forma segura cuando se enfrentan a investigaciones y litigios complejos y con uso intensivo de datos. HayStackID moviliza servicios de descubrimiento cibernético, soluciones empresariales y ofertas de descubrimiento legal líderes del sector para prestar servicio a más de 500 de las principales empresas y bufetes de abogados del mundo en Norteamérica y Europa. Al servicio de casi la mitad de las empresas de Fortune 100, HayStackID es un proveedor alternativo de servicios legales y cibernéticos que combina experiencia y excelencia técnica con una cultura de servicio al cliente de guante blanco. Además de ser calificada constantemente por Chambers USA, la empresa fue nombrada recientemente líder mundial en servicios de eDiscovery por IDC MarketScape y proveedor representativo en la Guía de mercado de soluciones de descubrimiento electrónico de Gartner. Además, HayStackID ha obtenido la certificación SOC 2 Tipo II en las cinco áreas de servicios de confianza: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Para obtener más información sobre su conjunto de servicios, incluidos programas y soluciones para necesidades empresariales legales únicas, visita Haystackid.com.