La pandemia del coronavirus ha multiplicado los ataques cibernéticos a empresas e instituciones. Un experto como es Francisco José Pérez Bes, nos ayuda a dibujar este escenario online donde la prevención resulta fundamental.
En su opinión, los despachos de abogados deben, tras realizar la correspondiente auditoria externa de riesgos, definir una serie de medidas que les ayude a reducir ese impacto del ciberataque.
El conocimiento de la ciberseguridad requiere de requiere un estudio multidisciplinar del derecho y de conocimientos técnicos “Hablamos de una materia transversal y, por tanto, debe conocerse para aplicarse a todos los aspectos del derecho tradicional: derecho penal, derecho del seguro, responsabilidad civil, protección de datos, derecho laboral, derecho mercantil, derecho público, transparencia y buen gobierno, etc”, aclara.
Su perfil:
Es uno de los abogados pioneros y más activos en el estudio y fomento del Derecho digital, lleva más de veinte años vinculado a los aspectos jurídicos de Internet. Con responsabilidades en departamentos jurídicos de empresas privadas de Barcelona, en 2007 se traslada a Madrid para potenciar el sector de la autorregulación, primero, y ser uno de los primeros compliance officer españoles, después.
Tras ello, el Gobierno le nombra Secretario General del INTECO, que luego pasa a denominarse Instituto Nacional de Ciberseguridad de España (INCIBE), desde donde sitúa al derecho de la ciberseguridad en una materia de obligado conocimiento entre la abogacía.
Las aportaciones al sector durante esos años, y la creación del Máster de Derecho de la Ciberseguridad y entorno digital en la Universidad de León, le valió la medalla al mérito de la abogacía impuesta por el Consejo de la Abogacía de Castilla y León, así como el reconocimiento del sector y de la propia ciudad de León.
Es autor de numerosas obras sobre esta materia, de entre las cuales destacamos el libro infantil “cuentos de ciberseguridad”. Ha sido elegido como el mejor abogado español en ciberseguridad en 2020, año en el que se incorporó a Ecix Group como socio de Digital Law.
¿Le sorprende el peso específico que la ciberseguridad ha cogido en nuestra sociedad en estos últimos años?
Me sorprende que haya costado tanto, ya que es una preocupación que circula entre los técnicos desde hace mucho tiempo (se calcula que desde 1988). Pero, desgraciadamente, es una preocupación que no ha comenzado a generalizarse entre la ciudadanía hasta hace relativamente poco.
Ahora es un aspecto del que todo el mundo habla, gracias a la rápida expansión de internet y a las labores de sensibilización que se han venido haciendo. Y así seguirá durante los próximos años, en los que el internet de las cosas va a predominar.
Sin embargo, todavía queda mucho camino por recorrer para poder afirmar que la sociedad esté formada y concienciada en un nivel aceptable. De ahí que no podamos relajar nuestros esfuerzos (los de todos) en concienciar a los más jóvenes sobre las amenazas a las que se enfrentarán en su vida digital.
Nuestro país ha traspuesto recientemente la directiva NIS ¿Qué aspectos le llaman la atención de dicha transposición que puedan afectar al mundo jurídico?
La Directiva NIS centra sus esfuerzos en establecer un marco dentro del cual los operadores esenciales deben desarrollar una cultura de seguridad de la información. Y, entre otras medidas, lo hace a través de un mandato para los estados miembros de desarrollar estrategias nacionales de ciberseguridad.
Estas políticas pueden incluir previsiones de gran calado jurídico como ocurrió con la primera estrategia española de 2013, que incluyó nuestra propuesta de promover aspectos relacionados con las medidas de defensa jurídica ante ciberdelitos, o destacaba el papel de la abogacía en el desarrollo de la ciberseguridad.
También la regulación que incluye la Directiva sobre los CSIRT es un elemento que puede tener un impacto considerable en las relaciones jurídicas. No sólo en lo que se refiere a la protección de los despachos de abogados, sino en lo que respecta al régimen de la responsabilidad legal y deontológica de las personas.
Ahora la UE anuncia algunas sanciones en materia de ciberseguridad a empresas chinas y a la propia inteligencia rusa ¿Es un buen camino ponerse a sancionar este tipo de conductas?
Las sanciones recientemente publicadas responden a las facultades que se reservó la Unión Europea a través de una norma con la que se pretende disuadir a terceros de realizar ciberataques contra los estados miembros y sus infraestructuras.
Aunque las sanciones puedan no parecer suficientes, sí es -a mi juicio- una muestra más de la relevancia que tiene la ciberseguridad para Europa, y de exigencia de respeto a la soberanía digital europea. No resuelve el problema, pero no prever sanciones no es, desde luego, una opción.
¿Cómo ha afectado la pandemia del coronavirus al mundo de la ciberseguridad? Según colegas suyos se han incrementado determinados ciberataques
Hace pocos días, Interpol publicaba un informe donde concluía que, por culpa del coronavirus, había aumentado el número de incidentes de seguridad. Es lógico que así sea, ya que el confinamiento ha provocado un incremento de las conexiones domésticas; y un sistema de teletrabajo precipitado (de trabajo en remoto, más bien) ha expuesto la fragilidad de la seguridad de las conexiones y los sistemas de muchas organizaciones.
Si combinamos estos aspectos más técnicos con, en general, la insuficiente capacitación y concienciación de los empleados, no podíamos esperar otra cosa.
Lo importante ahora es que aprendamos de esta experiencia, y trabajemos para que no se repita si, tal y como se viene hablando, el teletrabajo es una fórmula que se quiere mantener en el futuro.
La ciberseguridad como tal ha generado que profesionales del mundo de la seguridad y abogados se hayan especializado en dicha práctica ¿Estamos ante un nicho de mercado?
Yo no me atrevería a calificarlo de este modo. Al haberse convertido la ciberseguridad en un tema muy relevante, resulta evidente que va a traer consigo controversias de naturaleza jurídica.
Pero mi concepción de esta materia es de que es transversal y, por tanto, debe conocerse para aplicarse a todos los aspectos del derecho tradicional: derecho penal, derecho del seguro, responsabilidad civil, protección de datos, derecho laboral, derecho mercantil, derecho público, transparencia y buen gobierno, etc.
La cuestión es que el conocimiento de la ciberseguridad requiere un estudio multidisciplinar del derecho y de conocimientos técnicos, que -además- están en constante evolución. Aunque animo a los más jóvenes a profundizar en este campo, también les digo que en este sector no te acuestas una noche sabiendo de protección de datos y te despiertas siendo experto en ciberseguridad, sino que estamos ante un ámbito mucho más extenso.
Usted ha sido el autor del Código de Derecho de Ciberseguridad desde 2016, me imagino que supondrá un trabajo constante su actualización, ¿verdad?
Crear un código como ese me pareció una oportunidad, pero también una responsabilidad, que debía asumir aprovechando mi cargo en el Incibe.
Y aunque me encontré con la oposición de gente que, como suele ocurrir, no siempre entienden las necesidades que existen en el sector, el tiempo me ha dado la razón, y mucha gente me felicita por una iniciativa que, aunque sea simplemente de compilación, le ha facilitado el estudio, la investigación y el trabajo (que es de lo que se trataba).
Una vez hecho el gran esfuerzo, actualizarlo no cuesta tanto, gracias a la gran labor que hacen desde la editorial del BOE.
Pero el objetivo no terminaba ahí, sino que el fin último del código era que sirviera de base para que otros compañeros pudieran construir sobre él nueva doctrina con la que enriquecer esta importante materia y hacerla crecer. Y así está siendo.
¿Qué medidas clave debe implantar un despacho de abogados para protegerse de un ciberataque o minimizar el impacto del mismo?
En primer lugar, todo despacho debería comenzar por analizar su actividad, y auditar sus sistemas, para poder conocer dónde y cómo se trata la información, y cuáles son los riesgos y vulnerabilidades que le afectan.
Una vez hecho este ejercicio, estará en disposición implementar medidas para mitigar dichos riesgos, y de decidir cuáles son las medidas preventivas y reactivas que mejor se adaptan a su tamaño y a su actividad. Todo ese ejercicio, y las medidas que va implementando, deberían recogerse en un plan director de ciberseguridad.
En el fondo, la ciberseguridad también es una obligación deontológica, y en caso de sufrir un incidente deberemos estar en disposición de acreditar qué medidas adoptamos para prevenir y minimizar sus efectos, lo que afectará al grado de responsabilidad al que nos enfrentaremos.
¿En este contexto son realmente útiles los llamados ciberseguros que están emergiendo con fuerza estos años?
Sobre el papel sí, porque es una medida adecuada para gestionar un riesgo empresarial, el cual se traslada a un tercero. Y eso es considerado (incluido por el RGPD) una buena práctica con la que demostrar diligencia en la custodia de la información por parte de nuestra organización.
Ahora bien, en la práctica el problema es que no siempre se contrata el seguro que mejor se adapta a las necesidades de la entidad, por lo que, en ocasiones, los principales riesgos quedan sin cubrir.
Y cuando sufrimos el incidente, nos damos cuenta de que la póliza contratada no era la que necesitábamos o la que creíamos tener (pasa con la póliza de cyber y la de crime, que muchas veces son distintas y se deben contratar por separado).
En otros casos, la cobertura de según qué riesgos todavía es muy cara, por lo que muchas empresas prefieren invertir ese dinero en diseñar estructuras internas y contar con asesoramiento externo especializado.
Por @LuisjaSanchez, Periodista Jurídico.