Servicios Tecnológicos sector empresarial

La protección y custodia de evidencias

Escrito por Eliseo Martín | 16-jul-2019 7:19:00

En el mundo que nos ha tocado vivir es tan importante hacer las cosas bien, como tener la capacidad de demostrarlo. Sin lo segundo, lo primero casi carece de valor.

Existen muchos ámbitos y dispares, como los que enunciamos a continuación, que requieren de sistemas de almacenamiento y custodia de evidencias, de forma que estas tengan toda la validez exigida para su acreditación ante terceros.

Algunos ejemplos de estos ámbitos y necesidades pueden ser los siguientes:

  • Creaciones Intelectuales: Acreditar fecha y autoría de creaciones.
  • Cumplimiento: Acreditar las medidas implantadas de prevención del delito.
  • Tramitación de expedientes: Transparencia en la gestión pública, especialmente en compras y tramitación de licencias.
  • Juntas y Comités: Transparencia en las decisiones de los órganos de gobierno de las empresas.
  • Medios de Comunicación: Acreditación de los contenidos publicados (radio, tv, prensa).

¿Qué se le debería exigir a un sistema general de protección y custodia de evidencias?

Qué requisitos se exigen a una plataforma fiable

Para que un sistema pueda constituirse como plataforma fiable de “custodia segura de evidencias”, hemos identificado las nueve funciones más relevantes que deberían ser exigidas:

  1. Identificación de la persona física o jurídica responsable

La identificación de las personas que realizan actos de registro documental, debe realizarse por una entidad acreditada que asigne los token o certificados de uso exclusivo a esas personas. Cada acto de registro de contenidos debe ir asociado a una persona identificada plenamente.

  1. Almacenamiento del contenido

Esta funcionalidad de custodia del contenido de un documento/fichero permitiría disponer de una copia completa del documento, con el que proporcionar un servicio de consulta y/o de verificación segura.

  1. Recuperación del contenido

Sólo en el caso de custodia completa de contenidos, se aportaría un gestor de permisos de acceso y un componente de visionado del contenido.

  1. Protección del contenido

Este requisito implica a su vez tres aspectos:

  • Impedir manipulaciones: Incluir mecanismos para evitar/detectar que el contenido no ha sido manipulado.
  • Impedir su consulta no autorizada: Garantizar que el acceso al contenido está autorizado por el que ha realizado su registro.
  • Impedir su uso: Incluso aunque se acceda al contenido de forma no autorizada, el contenido no debe ser legible.
  1. Trazabilidad de los accesos

Los contenidos tendrán un control de acceso que dejará un rastro que será custodiado de forma segura y no manipulable. Si es un contenido privado, su consulta debería exigir además una autorización previa.

  1. Búsquedas por atributos específicos para cada evidencia

Se debería disponer de una herramienta de búsqueda por los atributos del contenido, que ayude a facilitar su consulta o simplemente su identificación y características.

  1. Hipercontenido

En algunos casos es relevante que además del registro de los resultados de un acto, pongamos que hablamos de una tramitación de expedientes, pudiéramos ver el flujo de autorización exacto que ha seguido su tramitación. Esto exigiría que con el registro de este contenido se incluya un fichero adicional con esta información en el formato convenido que facilite su representación.

  1. Integración

Dado que muchas organizaciones ya cuentan con sistemas automatizados, no tiene sentido que el proceso de registro se realice manualmente, por lo que ésta debería una característica  relevante para minimizar la intervención manual.

  1. Informes de uso

En general convendrá disponer de un sistema de apoyo al reporting para una mejora continua de la gestión así como para la detección de comportamientos anómalos.

Conclusiones acerca de la custodia de evidencias

Comenzábamos este artículo con una frase muy dura, que de forma resumida decía: “Si no tienes evidencias que puedan demostrar algo, ese algo no existe o no ha sido realizado”.

Para evitar ese problema, desde Cibernos queremos dotar a nuestros clientes de un servicio específico orientado a la custodia y protección de evidencias. Un servicio que incluya las nueve características descritas que les aporten la seguridad necesaria para que las actividades desarrolladas cuenten con el adecuado respaldo ante incidencias que requieran su aportación.

Para los inquietos, adelantamos que este servicio no se basa en los últimos experimentos de la NASA o de la ESA, por tenerla más cerca, sino en un conjunto de tecnologías, muchas de ellas ya tradicionales, como son los certificados digitales, el cifrado de ficheros o los sellos de tiempo,  a las que incorporamos BlockChain que nos aporta entre otras una característica muy relevante: la inmutabilidad.

En próximos artículos os contaremos más detalles.