Llegamos a ustedes gracias a:



Reportajes y análisis

¿E-discovery en la nube? No es tan fácil

[16/03/2012] Su empresa está inmersa en un pleito, y el abogado general ha llegado a TI buscando ayuda para hacer e-discovery en un lote de datos. Puede reunir fácilmente parte de la información de los almacenes en el centro de datos, pero parte de ellos están en la nube. Es bastante fácil, piensa, conseguir esos datos también.
Puede estar a punto de tener un rudo despertar.
Muchos abogados y personal de TI "asumen que si se ponen los datos en la nube van a estar al alcance de sus manos, es decir inherentemente visibles", señala Barry Murphy, co-fundador y analista principal de EDJ Group Inc., una firma consultora especializada en e-discovery. "Ese no es necesariamente el caso".
La nube ha ampliado de forma espectacular el número de lugares donde la información almacenada electrónicamente (ESI, por sus siglas en inglés) puede vivir. Bajo las reglas federales de procedimiento civil (PDF, por sus siglas en inglés), se espera que una parte de los litigantes preserve y sea capaz de producir de producir ESI que están en su "posesión, custodia o control".
Con la nube, esos deberes están divididos -el ESI técnicamente no puede estar en su posesión, y sin embargo esté presumiblemente bajo su control, señala James M. Kunick, director y presidente de la propiedad intelectual y la práctica de la tecnología en la firma de abogados Much Shelist P.C.
Debido a que esta área es muy nueva, las ramificaciones legales de almacenar los datos en la nube siguen siendo turbias. Entre los pocos casos de la jurisprudencia está Gordon, Partners v Blumenthal, que encontró que si una empresa tiene "acceso a los documentos para hacer negocios, (entonces) está en posesión, custodia y control de los documentos con fines de descubrimiento", según Murphy.
Esto podría plantear un problema significativo. Dependiendo de la relación que tienen con su proveedor de la nube, las empresas no pueden saber exactamente dónde se encuentran sus datos. Incluso si lo hacen, la información en la nube puede ser de difícil acceso en el formato correcto y en el momento oportuno.
Y existe el peligro de que las empresas puedan perder el control sobre el acceso a los datos -los abogados del lado contrario, por ejemplo, podrían citar no solo a su empresa, sino también a su proveedor de la nube. "Hay que asegurarse de que su contrato con el proveedor le permita controlar lo que sucede si tienen una orden de comparecencia", advierte Kunick.
Qué queremos decir con e-discovery en la nube
"E-discovery en la nube" puede ser tan confuso como todas las demás cosas relacionadas con la nube. Esto significa diferentes cosas para diferentes personas. Este artículo se centra en la detección electrónica de datos que han sido almacenados en la nube para fines generales. (Categoría tres, más adelante). Sin embargo, los vendedores ofrecen una variedad de herramientas relacionadas con el e-discovery y la nube. Así es como Christine Taylor, analista de Taneja Group, delinea el mercado:
SaaS de E-discovery: El uso de la nube para entregar software de aplicación e-discovery. Estos paquetes SaaS suelen cubrir uno de los varios procesos de e-discovery, como la recolección, preservación u opinión.
E-discovery basado en la nube: El uso de un proveedor de hosting para ejecutar los procesos de e-discovery de los datos archivados en la nube. Este viene en dos formas. En primer lugar, un cliente puede archivar los datos en un proveedor de hosting con el entendimiento específico de que el proveedor de servicio puede hacer y hará e-discovery en los datos si lo amerita el caso. En segundo lugar, el cliente mantiene sus archivos en casa, pero en el caso de problemas legales, recoge los datos pertinentes y los envía a un proveedor de la nube con el propósito específico de los servicios de e-discovery.
E-discovery de los datos almacenados en la nube: El uso de un proveedor de la nube para almacenar datos en la nube, sin disposiciones especiales o consideraciones acerca de e-discovery. Ésta es por lejos la opción más arriesgada de las tres, señala Taylor. "Incluso cuando el proveedor de la nube es de confianza, como Google o Amazon, las garantías de nivel de servicio para la empresa son muy pobres", escribió en un informe reciente. "Y estos servicios también tienen pocos mecanismos en marcha para informar sobre la ubicación de datos físicos a sus clientes, que pueden ser una seria cuestión defendible".
Conozca los posibles problemas
Y, sin embargo, la mayoría de las empresas son felizmente inconscientes de los problemas potenciales con el e-discovery, indica Murphy. En una reciente encuesta de profesionales del derecho y de TI que utilizan servicios en la nube, Murphy encontró que menos del 16% de los 172 encuestados había establecido un plan de e-discovery apropiado antes de pasar los datos a la nube. Aún más alarmante, indica, casi el 60% de los encuestados no sabía si tenían un plan de e-discovery apropiado o no.
En otra encuesta, realizada el año pasado por Clearwell Systems Inc. (un proveedor de e-discovery adquirido por Symantec el año pasado) y la consultora Enterprise Strategy Group (ESG) Inc., casi el 60% de más de cien empresas y agencias del gobierno Fortune 2000, dijeron que esperaban que sus aplicaciones basadas en la nube estén "al alcance" de e-discovery.
En la misma encuesta, sin embargo, solo el 26% se consideró a sí mismo poco o muy preparado para este tipo de peticiones de e-discovery. En otras palabras, señala Katey Wood, analista de ESG "dijeron que sí, que creen que tendrán litigios, pero que no estaban preparados para ello".
Murphy cree que los abogados pueden incluso comenzar a dirigirse a las fuentes de información basadas en la nube con la esperanza de atrapar oponentes desprevenidos. Un abogado oponente astuto podría, por ejemplo, pedir el descubrimiento de los datos de Salesforce.com, a sabiendas de que la mayoría de las empresas no tienen experiencia con la realización de recolecciones de esa fuente de datos en particular.
"Hasta que no tengamos una anécdota exitosa en la que alguien que está demandando haya ejecutado con éxito su búsqueda de datos en la nube, hasta que en realidad lo hayan hecho a la velocidad y la escala, no sabremos" qué tan preparadas están las empresas para el e-discovery en la nube, indica.
Tom Conophy, CIO de InterContinental Hotels Group, es un ejecutivo que cree que tiene sus bases cubiertas. Entre las muchas iniciativas cloud de la compañía hotelera de 18 mil millones de dólares, está un proyecto para mover su sistema global de reservas, que actualmente está en un mainframe, hacia la nube.
IHG está en el proceso de elegir un proveedor de la nube y en sus contratos, la compañía está siendo "muy cuidadosa en asegurarse de que nuestra propiedad intelectual y nuestro contenido sea nuestro, y que en un momento dado tengamos la capacidad de acceder a ella, exportarla, apagarla -lo que sea que tengamos que hacer con ella", señala Conophy. "No es diferente a que si se estuviera ejecutando en nuestro propio centro de datos".
Sea consciente del correo electrónico, los medios sociales
Los problemas potenciales de e-discovery varían dependiendo del tipo de proveedor de la nube y del contrato, dicen los observadores. Como el correo ha sido objeto de e-discovery por un tiempo, muchos proveedores de alojamiento de correo electrónico han resuelto esto en sus contratos. Y los grandes fabricantes de nubes que generalmente sirven a las compañías Fortune 500, son propensos a prestar más atención a la exhibición de datos.
Con otros proveedores de nube, la zona puede ser turbia. "Muchos se negocia sobre la base de proveedor a proveedor en este momento", indica Wood. (Para obtener instrucciones, consulte las preguntas sobre e-discovery que le debe hacer a su proveedor de nube).
Algunos proveedores de SaaS hacen que se puedan obtener los datos de sus sistemas de un modo más fácil que otros. Salesforce.com, por ejemplo, "no es un sistema fácil de búsqueda -porque no es un sistema de gestión de contenido por sí mismo- y sin embargo la gente está almacenando información allí", señala Murphy.
Los medios sociales representan uno de los mayores desafíos. Sitios como Facebook, LinkedIn y Twitter se basan en los términos estándar de contratos de servicios con los usuarios, incluidas las empresas que utilizan los servicios para la comercialización y la conexión con los clientes. Pero, ¿qué pasa si una empresa necesita descubrir lo que un ex empleado ha publicado en Facebook? Dado que es la cuenta del ex empleado, la empresa no tiene derecho a acceder a esa información.
Eso significa que las empresas tienen que considerar la posibilidad de recoger constantemente el contenido que publican sus empleados como una medida de salvaguardia. Algunas empresas reguladas de servicios financieros -tales como corredores/agentes- ya lo hacen, señala Murphy.
Si una empresa no puede encontrar el modo de hacerlo deberán recuperar los datos sociales. Aunque las compañías de medios sociales dicen que cualquier persona puede escribir a su API abierta para obtener los datos que necesitan, "los cambios de accesibilidad cambian de forma regular así como las API de los proveedores", señala Murphy.
Además, ¿cuánto tiempo se tarda en descargar todos los datos? Murphy señala que la mayoría de los sitios "estrangulan a sus API", lo que podría ralentizar las descargas o los resultados de búsqueda. Algunos proveedores de servicios de e-discovery, señala, han comenzado a atacar este problema. "Ellos pagan mucho dinero para estar en estos programas de la API", indica. "Ellos están básicamente comprando menos regulación".
Conozca la ubicación de sus datos
Cualquiera sea el tipo de nube con la que está tratando, es importante saber exactamente dónde residen sus datos. En algunos casos, un proveedor de nube los puede estar almacenando en un centro de datos en un país diferente, donde los datos y las reglas de privacidad y de e-discovery se aplican de forma diferente.
E incluso si ha contratado un proveedor de nube, ¿sabe si la empresa está utilizando subcontratistas? Esto es frecuentemente el caso, señala Kunick. "Es más que probable que sus datos se encuentran en varios lugares". Incluso si tiene un contrato blindado con su proveedor de nube, ¿ese proveedor puede llegar a los datos de una manera rápida y defendible desde sus subcontratistas?
Antes de que hubiera nube, las empresas contrataban a grandes proveedores de servicios gestionados y explicaban la mayor parte de estas disposiciones en contratos largos y detallados, indica Kunick. Pero la mayoría de los contratos de prestación de nube no cubren esos detalles. "Con los proveedores de servicios en la nube, los contratos no suelen exceder de 10 páginas".
Tenga cuidado con las unidades renegadas de negocios
Incluso si los contratos cubren cada detalle, las actividades de TI ocultas dentro de las empresas pueden ser el origen de otros problemas de e-discovery. Charles Skamser, presidente y CEO de la firma consultora eDiscovery Solutions Group, pasó los últimos meses entrevistando a unos 60 proveedores de servicios de nube. La mayoría le dijo que sus clientes no preguntan sobre el e-discovery. De hecho, "algunos de los proveedores de servicios cloud llegan a decir, '¿Qué es e-discovery?'", indica Skamser.
Más revelador aun, tal vez, la investigación de Skamser indica que un alto porcentaje de la base de clientes de estos proveedores son unidades de negocio "renegadas" de las grandes corporaciones que buscan hacer un final de carrera en torno a lo que perciben como organizaciones irresponsables con las TI internas.
Esto podría ser una receta para el desastre. Cuando una gran empresa es demandada y se le pide una solicitud de e-discovery, el consejo general probablemente vaya al departamento de TI para pedir ayuda. El consejo general no preguntará por un administrador de la unidad de negocio en particular, e incluso si lo hace, el gerente no sabrá cómo cumplir y, probablemente, no cuente con disposiciones de e-discovery en su contrato con el proveedor de nube, explica Skamser.
Desarrolle un plan integral
Lo más importante para una empresa es tener un comprensivo plan de gobierno y descubrimiento que abarque todas las fuentes de datos, incluyendo la nube, señala Murphy.
El plan debe proporcionar no solo la forma de realizar el e-discovery de los datos almacenados en la nube, sino también la forma de revisar que los datos junto con los datos que residen en otros lugares. "La gente va a almacenar la información en todo tipo de lugares", señala. "Hay que aplicar la misma disciplina en todas las fuentes de datos".
No es demasiado tarde para prepararse sobre el e-discovery en los datos basados en la nube, indica Murphy. "Las mejores prácticas están empezando a surgir, y la buena noticia es que las empresas tienen la oportunidad de salir adelante de la curva", escribió en un informe reciente.
"La clave es tratar a las fuentes de datos basadas en nube como a cualquier otra fuente de datos", concluye Murphy. "Inclúyalo en los mapas de datos, tenga un plan para su recolección y preservación, sepa cómo manejar la cadena de custodia, y entienda cuándo disponer de los datos de forma que no supongan ningún riesgo de e-discovery".
Tam Harbert, Computerworld (EE.UU.)