En esta entrada (y posteriores entregas) trataremos de pasada algunos casos prácticos de aplicación de análisis forense en entornos corporativos junto con los procedimientos, a nuestro entender, más adecuados para cada caso.
Es preciso mencionar que no existe una normativa regulada y oficial sobre el mejor procedimiento a seguir para la realización de periciales informáticas. Tenemos, por un lado la legislación vigente relativa al Estatuto de los Trabajadores, la Constitución Española y lo que dice la LEC referente a periciales, y por otro, las buenas prácticas aceptadas por la comunidad científico-forense. También hay que valorar la existencia de un protocolo de uso y control de los medios digitales implantado en la compañía y aceptada por los trabajadores. Además de esto, se van sumando diariamente diversas sentencias y autos que van sentando jurisprudencia al respecto (aunque a menudo de forma contradictoria).
<DISCLAIMER>: Este post no pretende ser una guía de aplicación para todos los escenarios. Cada caso es un mundo y tiene sus circunstancias técnicas, legales, económicas, políticas, etc. Lo que aquí comentamos es fruto de la propia experiencia con diferentes clientes y asesores legales con los que hemos colaborado. Por norma general, como siempre, se trata de adoptar las mejores prácticas forenses y legales al caso concreto, y por tanto, la primera recomendación es poner en manos de expertos en este campo la definición de la mejor estrategia a seguir. Lo más importante es mantener una perfecta coordinación entre los asesores legales, los diferentes departamentos involucrados en el asunto (RRHH, Técnico, Dirección, Seguridad Corporativa, etc.), el perito y otros terceros que puedan intervenir (notarios, ISPs, CFSE, etc.).¡Así que, aplíquese con precaución!</DISCLAIMER>
Caso práctico 1: Empleado que ha cometido una irregularidad
Quizá sea el escenario, desde el punto de vista laboral, más complejo. En el caso de que se sospeche o se tenga constancia de que un empleado ha cometido algún tipo de irregularidad mediante el uso de dispositivos digitales, el procedimiento más habitual consiste en una suspensión cautelar de empleo de dicho empleado mientras se realiza la auditoría interna o externa para confirmar las posibles sospechas.
A menudo clientes y asesores legales presionan para emitir directamente una carta de despido en el momento que se conocen las sospechas, pero desde nuestra óptica, es vital que lo que se imputa en la carta esté basado en unas conclusiones probadas y fiables (por lo menos en lo que respecta a las pruebas digitales). Lo contrario es empezar la casa por el tejado y suelen surgir problemas ante la imposibilidad de demostrar mediante técnicas forenses ciertos hechos que, aunque puedan ser ciertos, se han dado como probados cuando no lo son.
El flujo habitual de este caso sigue el siguiente patrón:
Reuniones preliminares
Antes de iniciar cualquier acción, es preciso llevar a cabo una primera etapa de definición de estrategia y planificación de la acciones a llevar a cabo. En esta fase es preciso contar con los siguientes perfiles:
- Asesor legal: Es deseable conocer la legislación vigente en materia laboral y de prueba electrónica, así como plazos legales (prescripción, traslado, conciliación, etc.) antes de ejercitar cualquier acción.
- Dirección de Seguridad Corporativa: Dado que se trata de un incidente que potencialmente ha podido afectar al ámbito de la seguridad lógica corporativa, es esencial contar con el responsable de esta área.
 |
| Típicas caras sonrientes que NO se ven en estas reuniones |
- Dirección de RRHH: Es preciso conocer el estado laboral del empleado para la valoración de potenciales riesgos y conocer si son asumibles los costes asociados a la investigación desde el punto de vista laboral.
- Dirección IT: Dado que se sospecha que la prueba pueda estar alojada en un entorno digital, es imprescindible contar con un perfil técnico que pueda asesorar al resto del equipo a la hora de decidir que medios contienen prueba y por tanto es preciso asegurar, así como guiar al experto forense dentro del mapa tecnológico corporativo.
- Representante de los trabajadores / Comité de empresa: En materia laboral, todas las actuaciones deberían ser conocidas y atestiguadas por el comité de empresa o representante de los trabajadores, según sea el caso. Si no existe, sería deseable la incorporación de un testigo lo más independiente posible, p.e. un trabajador del mismo rango que el afectado.
- Expertos externo: Siempre que se lleve a cabo una investigación es preferible contar con expertos externos independientes para la realización de la misma ya que de esta forma se podrá contar con un informe pericial que podrá utilizarse en un procedimiento legal, si fuera preciso.
- Notario: Hoy por hoy es la figura que da validez legal a todo el procedimiento de recogida de evidencias. En función del caso será preciso valorar el momento y circunstancias de su intervención, pero en el caso general, será en el momento del aseguramiento de la información.
Recogida de evidencias
Aseguramiento de información/prueba, copias forenses/espejo, etc. En este acto se pretende recoger toda la información digital que acredite la comisión de la irregularidad por parte del empleado. Para dotar de la máxima validez legal a la actuación, es preciso notificar la apertura de este procedimiento al afectado.
Esta actuación debe realizarse sin ningún tipo de pre-aviso, para evitar que el empleado pueda alterar o eliminar posibles pruebas digitales asociadas al fraude cometido.
Normalmente, por parte de la empresa se suele entregar al empleado un escrito en el que se le notifica de que existen una serie de sospechas y que se inician una serie de actuaciones para poder verificar si son ciertas. Inmediatamente se procede a la suspensión cautelar de empleo (no de sueldo) hasta la resolución de la investigación (aunque esto dependerá de muchos factores, como por ejemplo el convenio que regule la relación laboral).
Es importante tener en cuenta todas las posibles fuentes de información asociadas al empleado o a la irregularidad detectada. Generalmente será el ordenador corporativo asignado, pero puede extenderse a otros medios (buzón de correo electrónico corporativo, logs de navegación/correo, ordenador portátil, teléfono móvil/tablet, aplicación corporativa, etc.)
En la medida de lo posible, todo el procedimiento debe ser observado por el Notario, (y en su caso el Comité de empresa / Representante de los trabajadores) que dará fe de todo lo acontecido y recogerá en acta cualquier manifestación de las partes involucradas. De forma adicional, conservará en depósito los originales (o copia forense) de los medios digitales asegurados, para facilitar el derecho de defensa del empleado.
Es fundamental que el empleado esté informado de este acto y que se le otorgue el derecho de estar presente en todas las actuaciones, manifestando lo que considere oportuno.
Realización de la investigación
Durante esta fase, que puede dilatarse varias semanas, se analizarán de forma interna o por parte de un experto independiente las fuentes de información digital asociadas al caso, con la finalidad de corroborar o desmentir las sospechas iniciales. Es deseable que durante el desarrollo de esta fase exista comunicación fluida entre los investigadores y los roles que conocen los detalles de la situación fraudulenta, ya que permitirá llegar a los objetivos de forma más ágil y eficaz.
La intervención del asesor legal también es fundamental para definir claramente el alcance de la investigación y valorar los indicios que se vayan obteniendo.
Conclusión de la investigación/Informe pericial
Como resultado final de la investigación, se emitirán las conclusiones de la misma, que deberán ser valoradas por los diferentes perfiles involucrados en la investigación. En caso de contar con expertos externos, esta fase se traduce en la emisión de un informe pericial.
Resolución
En función de las conclusiones, se entregará al empleado afectado un escrito que generalmente será una carta de despido (en la que se viertan las conclusiones de la investigación junto con otras imputaciones de las que se tenga constancia) o la readmisión en caso de no existir indicios que justifiquen el despido.
Ratificación en juicio
En caso de que se inicie un procedimiento legal como respuesta al despido o porque el fraude tiene implicaciones civiles, mercantiles o incluso penales más allá del ámbito laboral, se podrá aportar como prueba el informe pericial obtenido y éste deberá ser ratificado por el perito cualificado que lo haya emitido.
Aunque esta etapa suele llegar varios meses o años después de efectuar la investigación, es tan o más importante como el resto del trabajo. Aquí es donde realmente se pone a prueba el trabajo realizado y la metodología empleada, que serán valorados por las partes y el juez que lleve el asunto.
Pues bien, hasta aquí llega el caso práctico. Si tenéis dudas, ¡dejad un comentario!
Seguiremos en próximas entregas...
No hay comentarios:
Publicar un comentario