La abogada Susana González comenzó a especializarse a principios de los 2.000 en Derecho Tecnológico y, en la actualidad, trabaja como manager del área de Riesgos Tecnológicos, Privacidad, Compliance, Ciberseguridad e Innovación en ECIJA, un bufete de abogados que cuenta con presencia en Zaragoza desde 2018.
La experta en ciberseguridad, que apareció en la lista ‘Top 50 European Women in Cybersecurity’ de la revista SC Magazine UK en 2019, explica en una entrevista a Go Aragón cómo la intensidad normativa obliga a las empresas a tener los riesgos bajo control. Formadora y ponente en congresos, y asidua colaboradora en diversas publicaciones de referencia en el sector legal tecnológico y de seguridad de la información, González subraya la importancia de la prevención para evitar las consecuencias de un ciberataque, no solo económicas, sino también reputacionales.
El ámbito del derecho es muy amplio, ¿cómo comenzó a especializarse en riesgos corporativos, ciberseguridad y tecnología?
Me especialicé más a menos por el 2005 y 2006, con el auge de las redes sociales, porque siempre he sido muy tecnológica, y entonces ya llevaba protección de datos. Teniendo en cuenta que la Ley de protección de datos de esos momentos era del año 1999, al final, lo que veníamos era a estudiar el tratamiento de los datos de esa forma que entonces llamaban automatizada y que a partir de ese momento volcábamos en las tecnologías.
También estoy especializada en marketing y comunicación, y hago muchas formaciones. Me llamaron para intervenir en varios congresos y allí te vas visualizando en un entorno en el que le acercas a la gente el mensaje de: “Cuidado con los datos, que esto no es solamente para divertirnos; cuidado con tu información”.
De ahí empecé a especializarme y a certificarme en sistemas de gestión de compliance o en la ISO 27001, que es la de Seguridad de la Información. Y es así cómo me fui especializando, llevando asuntos de consultoría tecnológica, y dejando más de lado lo que era el ejercicio más tradicional de la profesión.
En este ámbito, ¿qué servicios prestáis a las empresas desde Ecija?
Justo en la rama de la que soy manager llevamos ciberseguridad con consultoría y asesoramiento. Por ejemplo, si han ciberatacado una empresa y necesitan saber cómo reaccionar, a quién acudir, cómo documentarlo o qué tener que reportar a las autoridades de control. Además de esas consultas concretas, realizamos desde por ejemplo auditorías del estado de la seguridad de la información o un plan de acción para poner controles para mitigar esos riesgos detectados, hasta implantar completamente la ISO 27001, que es un estándar de gestión de seguridad de la información en la empresa.
En esta misma área llevamos toda la parte de compliance. Entre los años 2010 y 2015 cambió el Código Penal en España y a partir de ese momento las personas jurídicas tienen responsabilidad penal. Hasta entonces, si en una empresa se cometía una estafa podía ser responsable el administrador, pero no la empresa en sí. Pero con este cambio ya se prevén sanciones, multas y hasta el cierre de la empresa. Entonces, lo que dice el Código Penal es que aquellas empresas que tengan un sistema de gestión del cumplimiento normativo que minimice esos riesgos penales que han podido ser detectados (hay 45 delitos que la empresa puede potencialmente cometer), si se llega a cometer un delito en su seno pueden tener una eximente o una atenuante. Esta es un poco la esencia, pero sí que es verdad que estos sistemas permiten controlar los riesgos corporativos con un paraguas enorme.
Ahora, con la superregulación que hay para el sector empresarial, la empresa que forma parte de un sistema de compliance ya lo tiene.
Es un poco la tendencia: tener las cosas organizadas y controladas. Es decir, hay delitos, como puede ser el de revelación de secretos, el de violación de la intimidad o el de daños informáticos, que tienen mucho que ver con ciberseguridad, pero si tienes la ISO 27001 y la protección de datos, ya te hace controlar ese delito. Es como un sistema paraguas para los riesgos generales de la empresa, pero a la vez muy específico; son proyectos muy a medidas.
Ahora que menciona los riesgos, hablemos de ciberriesgos, ¿cuáles son los retos de las empresas para estar más protegidas?
Tengo una afrenta personal con esto (ríe). Así que yo distinguiría, ya que las empresas que nosotros llevamos están francamente bien, a pesar de lo cual nada les exime de que en un momento determinado, por un descuido, un trabajador pinche en un correo fishing con un enlace, sufran un ciberataque y les encripten todos los archivos.
La seguridad cien por cien no existe, pero cuantas más medidas de control se ponen, mejor.
Para las empresas que no tienen este tipo de sistemas, lo primero que recomendaría es que identifiquen bien qué riesgos tienen, porque normalmente tendemos a contratar empresas de informática que lo que nos van a decir es si necesitamos un firewall o un antivirus para los dispositivos; está muy bien, pero no sabes cuál es el mapa de exposición. No sabes hasta qué punto una impresora puede tener un puerto libre por el que acceden al correo electrónico, por el que se está compartiendo información confidencial o incluso secretos empresariales. Y que pongan medidas de control para mitigar los riesgos, al menos, los más críticos.
Y la segunda recomendación es que formen al personal, que sepan muy bien identificar esos riesgos y qué es lo que no debe hacer, tanto para la empresa, como en su casa.
De hecho, muchos ciberataques después de la pandemia y el incremento del teletrabajo han venido motivados porque aunque la empresa tenga muy bien las medidas de seguridad, la wifi de casa no está protegida.
¿Y con las instituciones?
Con las administraciones públicas la guerra va por otra parte. Ahora mismo hay infinidad de ciberataques muy importantes como al Consejo del Poder Judicial o a la propia Hacienda, en los que el objetivo es robar toda esa información y venderla en Deep Web a ciberatacantes. Es con un carácter comercial y, de hecho, no dejamos de recibir llamadas.
La información puede ser muy sensible, como la de Hacienda o de un hospital, y el problema que tenemos es que las Administraciones, por más que digan que están bien, no lo están. (…)
Incide sobre todo en la prevención, ¿cuáles son las consecuencias de no estar bien protegido?
Ahora mismo el top de los ciberataques está en el ransomware, que generalmente entra por un correo electrónico o por SMS y te llevan a una página suplantada en la que te piden introducir determinada información personal con la que acceden y cifran archivos de la empresa. La mayoría de las empresas a las que les sucede esto se quedan sin acceder a la información y, hoy en día, la consecuencia inmediata es paralizar la producción.
Esa es una primera consecuencia, pero las demás son multas, sanciones, indemnizaciones… Imagínate una empresa que tiene la producción paralizada y tiene que cumplir sus contratos de pedidos. Todo ello acarrea una serie de consecuencias más allá de la reputacional, que aunque cada vez menos porque todos podemos ser objeto de un ciberataque, pero no dejamos de pensar que nuestros datos pueden estar por ahí perdidos (…).
Frente a esto, la prevención es lo mejor porque una vez que sucede, de no ser que sea una gran trama internacional que esté siendo investigada, no se suele conseguir nada.
Además, hay cantidad de situaciones en las que se puede producir una transferencia económica, por ejemplo, el “virus del CEO”: el viernes por la tarde llega un correo suplantando al director financiero que dice que está en una operación confidencial, incluso los estudian con ingeniería social y saben cómo se comunican. Pide que le pasen una cantidad de dinero a una cuenta y, si eso se produce porque dentro de la empresa no tienen los procedimientos de pago muy bien estructurados como para no hacer esto a la ligera, ese dinero es francamente complicado de recuperar. (…)
Es tan difícil dar con el autor real que se quedan sin recuperar el dinero muchas veces y es bastante doloroso.
Con lo cual, frente a eso, la prevención: identificar dónde tenemos nuestro riesgo, controlarlo y, sobre todo, formar a la gente para que eviten esos descuidos, que es lo que hoy en día más está llevándonos a sufrir estos ciberataques.
Para concluir, el panorama tecnológico avanza a un nivel frenético, ¿se está adaptando bien a la legislación?
Yo no soy muy proclive a la superregulación, creo más en la autorregulación. Ahora tenemos ya el reglamento de protección de datos europeo de 2016 y que entró en aplicación en 2018. Y ya viene a prever mucho de esto: se están poniendo sanciones muy importantes a las empresas y se supone que también obliga a las administraciones; siempre es desde el punto de vista de darle la protección al usuario y de sus derechos en cuanto al uso de la información. Y yo creo que es una regulación suficiente porque obliga a las empresas a hacer esa evaluación de impacto o análisis de riesgos cada vez que utilizan una nueva tecnología.
Me enfocaría más en toda la parte de la seguridad en el metaverso y todo lo que tiene que ver con Machine Learning, Big Data e Inteligencia Artificial, que no dejan de ser herramientas que la mayoría de la gente está descubriendo ahora con ChatGTP, que yo creo que, por mucho que se intente paralizar, es innovación. Están aquí para quedarse y para continuar innovando y creciendo. Lo importante es concienciar a los usuarios.
Y, en la parte de regulación, la ética. Es decir, incorporar a nivel prohibición un límite mínimo, pero no ya no porque nos vayan a quitar puestos de trabajo, sino simplemente, para que haya partes muy esenciales en relación con la regulación de los derechos humanos, cuyos límites no se traspasen. A partir de allí, ¡innovación!
[…] Leer artículo completo en GoAragon […]