11 de diciembre de 2008

Laboratorio Forense

Parece que nuestros Análisis Forenses están más de moda que nunca, publica El País un par de artículos relacionados con evidencias electrónicas y el lío que muchas veces se hacen los propios magistrados a la hora de obtenerlas, que si debe hacerse en el juzgado, que si tiene que haber alguien mirando (que no se enterará de nada claro), etc.

Todo ello nos lleva a la cuestión que ya existe en otras disciplinas, Metodología, Regularización, Normativa, etc. ¿Acaso para levantar un cadáver no es preciso que un juez se presente siempre en la escena del crimen? Evidentemente no digo que este caso sea similar, habrá que seguir el procedimiento correcto. Esto está bien pero, ¿cuál es? En el artículo se puede ver que AENOR está trabajando ya en algo, también descubro la existencia de una asociación española de evidencias electrónicas (AEDEL), cosa que a uno le produce un… ¡ya está bien!, ¡la gente comienza a preocuparse!

La ISO 17025:2005 arroja un poquito de luz en nuestros análisis forenses. Habla largo y tendido de cómo debe ser un laboratorio, cómo calibrar, etiquetar, que procedimientos seguir. Como estamos en una época mitad de vacaciones, mitad de arduo trabajo, aprovecharé algunos de los párrafos que escribí en mi PFM de Análisis Forense para introduciros en esta ISO desconocida para la mayoría, y de paso no dejar muy parado el blog:

***************************

La ISO / IEC 17025:2005, también conocida como “Requisitos generales para la competencia de los laboratorios de ensayo y de calibración” puede parecer a simple vista bastante lejana a la Informática Forense, nada más lejos de la realidad, resulta lógico la necesidad de un laboratorio para poder investigar y trabajar con elementos que muy posiblemente estén implicados en asuntos legales, todo debe estar controlado al milímetro para evitar manipulaciones, errores no deseados y negligencias. Esta norma establece los requisitos generales para la competencia en la realización de ensayos o pruebas, calibraciones y muestreos, ya sea utilizando métodos normalizados, métodos no normalizados o métodos desarrollados por el propio laboratorio. La misma comienza hablando del factor más importante a la hora de ponerse a trabajar:

Gestión del laboratorio
Para llevar a cabo la gestión de un laboratorio de Análisis Forense es principal que el laboratorio tenga responsabilidad legal como un todo o como parte de la organización a la que pertenece. Siendo imperativo que se definan las responsabilidades y el sistema de gestión del mismo tanto dentro como fuera de sus instalaciones –habrá ocasiones en las que tendremos que trabajar fuera-, por ello el laboratorio debe disponer de personal directivo y técnico que independientemente de otras responsabilidades esté encargado de disponer, establecer, implementar y mantener las políticas y procedimientos que aseguren la protección de la información confidencial y los derechos de propiedad de sus clientes así como procedimientos para la protección del almacenamiento y la transmisión electrónica de los resultados. Mención aparte merecen las políticas de sistema de gestión concernientes a la calidad, incluida una declaración de la política de la calidad definida en su manual correspondiente, esta política y las anteriores debe ser emitida bajo la autoridad de la alta dirección, incluyendo como mínimo el compromiso de la dirección del laboratorio con la buena práctica profesional, el propósito de que todo personal será conocedor y estará familiarizado con la documentación del laboratorio y el compromiso de la dirección de cumplir la Norma Internacional y mejorar continuamente la eficacia del sistema de gestión.

La normativa define muchas otras actividades de control de cambios, revisión de pedidos y ofertas, contratos, etc. Que alargarían en demasía este documento, seguiremos centrándonos en las partes más relevantes a nuestros intereses, ya se sabe que la misma está disponible y resultará mejor, en caso de querer un análisis más exhaustivo acudir a la misma fuente.

Control de registros
Registrar, apuntar, clasificar, evaluar, todas estas palabras dan una idea de la cantidad de control y organización necesaria en el laboratorio. Este debe establecer y mantener procedimientos para la identificación, la recopilación, la codificación, el acceso, el archivo, el almacenamiento, el mantenimiento y la disposición de los registros de la calidad y los registros técnicos. Los registros de calidad incluirán informes de las auditorías internas así como las revisiones de la dirección con acciones preventivas y correctivas.
Los registros técnicos deben ser conservados un tiempo prudencial, los registros de las observaciones originales, de los datos derivados y de información suficiente para establecer un protocolo de control que, pasado un tiempo de la realización de una investigación nos permita saber que personal realizó la investigación, que material usó, fechas concretas así como cualquier dato relevante a la investigación en concreto.

Requisitos técnicos de personal y de instalaciones
Al realizar un análisis resulta crucial el concepto de “repetibilidad” es decir, que si habíamos realizado un procedimiento que nos llevó a un descubrimiento, al esclarecimiento de un caso, podamos volver a hacerlo obteniendo los mismos resultados, este factor es determinante para poder presentar ante un juez una determinada prueba en el informe de un perito judicial.

En alas de preservar esa repetibilidad nuestro laboratorio forense deberá presentar unas características particulares que determinen la exactitud y confiabilidad de los ensayos o de las calibraciones realizados. Los factores influyentes pueden venir de:

- Factores humanos.
- Instalaciones y condiciones ambientales.
- De los métodos y la validación de los mismos.
- De los equipos.
- De la trazabilidad de las investigaciones.
- De la manipulación de los objetos de investigación.

Por todo ello resulta comprensible que la dirección del laboratorio asegure la competencia del personal que opera con los equipos, evalúa los resultados y firma los informes. Ni que decir tiene que si se emplea personal en formación el mismo debe tener una supervisión apropiada, para el resto de personal se le exigirá una base de educación, formación, experiencia apropiada y habilidades demostradas según sea requerido.

En cuanto a las instalaciones deben poseer las condiciones idóneas de energía, iluminación y condiciones ambientales que faciliten la realización correcta de las investigaciones, asegurándose en todo momento que dichas condiciones no invaliden los resultados ni comprometan la calidad requerida de las mediciones. Esto puede parecer utópico pero a poco que imaginemos un laboratorio forense, aislado del resto de departamentos, en el cual no se controla la humedad adecuadamente y un dispositivo de almacenamiento magnético pierde información vital para la investigación que puede dar al traste con cientos de horas de trabajo y con el proyecto. No se trata de ponernos en el peor caso, se trata de estar preparados para lo esperable y para lo que no lo es, en la medida en que se pueda. Por ello estas condiciones ambientales deberán ser especificadas, aplicarse los métodos y procedimientos correspondientes para que nunca puedan influir en la calidad de los resultados. Presentándose especial cuidado en:

- Esterilidad biológica.
- Polvo.
- Interferencia electromagnética.
- Humedad.
- Suministro eléctrico.
- Temperatura.
- Ruido y vibración.

Todo ello en función de las actividades técnicas en cuestión, es muy importante adaptar la normativa a nuestras necesidades, para ello es redactada de forma general, según definamos el alcance que nuestras investigaciones forenses tendrán, así se definirán y aplicarán los métodos y procedimientos acordes, todo ello sin olvidar el punto de vista del cliente, de forma que se satisfagan sus necesidades y conforme a los criterios de calidad internos y que la normativa internacional tiene vigentes.

Control de datos y equipos

Hasta ahora parece que todo sigue la lógica que la importancia y privacidad de nuestro trabajo requiere, se trata de trabajar sistemáticamente, minimizando las fuentes de riesgos detectadas, pero para hacer esto nos falta la presencia de los necesarios controles que garantizan el cumplimiento de la norma y los procedimientos establecidos. Estos controles cuando hablamos de datos se refieren a que el cálculo la transferencia de los mismos deben estar sujetos a verificaciones llevadas a cabo de forma metódica. El laboratorio debe asegurarse que el software desarrollado por el usuario esté documentado con el suficiente nivel de detalle y que ha sido validado convenientemente. A su vez deben implementarse procedimientos para proteger los datos preservando la integridad y confiabilidad así como garantizando su almacenamiento transmisión y procesamiento. Algo similar ocurre con los ordenadores y equipos automatizados, los mismas deben llevar el mantenimiento que asegure que funcionan adecuadamente así como que se encuentran en las condiciones ambientales y de operación necesarias para preservar la integridad de los datos con los que trabajan.

En ayuda de todo esto conviene el establecimiento y redacción de un inventario que clasifique unívocamente todos los activos, tal como establece la ISO 17799 un inventario de activos ayuda a garantizar la vigencia de una protección eficaz de los recursos siendo, además, la base de los procesos de gestión de riesgos, ya que a partir de éste se asignarán niveles de protección proporcionales al valor e importancia de los activos. De igual manera, un inventario de activos es un factor crítico de éxito para un gran número de proyectos de seguridad. Por ello se considera de suma importancia conocer con exactitud los activos presentes en una entidad (en este caso concreto hablamos del laboratorio, pero esto debe extenderse a toda organización), así como su correcta clasificación. Este conocimiento debe comprender desde los sistemas para el tratamiento de información, hasta la información propiamente dicha, incluyendo todos los soportes no informáticos como pudiera ser el papel.

Informe de resultados

Llegado este punto nuestro laboratorio dispone de las directrices generales para comenzar a trabajar según la norma, ahora bien, ¿qué ocurre con los resultados de nuestra investigación? Si estamos trabajando como peritos informáticos, deberemos adaptar nuestro informe al de un dictamen pericial, si nuestro cliente es privado trabajaremos de acorde al contrato que se llegó y a lo que el esperaba obtener de nuestros servicios, sea la prueba del incumplimiento de la normativa interna de un empleado, o cualquier otro. En todo caso resulta imprescindible recordar que todos los resultados deben ser informados de forma exacta, no ambigua y objetiva, sobretodo al hablar de peritaje, es el llamado código deontológico del perito. Estos resultados incluirán toda la información requerida por el cliente y necesaria para la interpretación de los resultados de la investigación, aquella que no sea necesaria para el cliente deberá ser almacenada internamente y estar accesible para un futuro. Toda esta información, archivada por nosotros deberá contener al menos los siguientes puntos:

- Nombre y dirección del laboratorio.
- Identificación única del informe de ensayo.
- Nombre y dirección del cliente.
- Identificación del método utilizado.
- Descripción, condición e identificación unívoca de los objetos analizados o utilizados.
- Fecha de recepción de los objetos sometidos a investigación cuando ésta sea esencial para la validez y la aplicación de los resultados.
- Los resultados de las investigaciones.
- El nombre, funciones y firmas o identificación equivalente de las personas que autorizan el análisis forense.
- Cuando corresponda una declaración de que los resultados sólo están relacionados con los objetos analizados.

***************************

Especialmente interesante el concepto de "repitibilidad". Esto es todo por hoy, espero que os haya gustado.

¡Salu2!

3 comentarios:

neofito dijo...

Sin duda muy buenas noticias :-)

Saludos

des dijo...

¡Muy interesante GigA!

GigA ~~ dijo...

@neofito

Pues la verdad que sí, esperemos que el 2009 nos documento de AENOR que nos ayude a regular el análisis forense.

@des

danke! Esperemos que se relaje un poco el trabajo y podamos seguir añadiendo cositas / experimentos de interes.

Salu2!