LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 07:11:40

LegalToday

Por y para profesionales del Derecho

ANTONIO MARTÍNEZ, RESPONSABLE DEL DEPARTAMENTO DE SEGURIDAD TIC DE AUDEA

“La seguridad de la información tiene que ser parte de nuestra vida”

Legal Today

En Legal Today hemos tenido en placer de hablar e intercambiar impresiones profesionales con Antonio Martínez, responsable del departamento de seguridad TIC de AUDEA. Gracias a esta conversación hemos ampliado un poquito más nuestro concepto de qué es la privacidad, la intimidad y darnos cuenta de cómo en el mundo en el que nos desenvolvemos más se comparte pero más estamos expuestos a peligros que se pueden prever y de los que podemos protegernos.

Antonio Martínez

¿Qué es Seguridad de la Información en un mundo como el nuestro, que lo hace ya casi todo "a puertas abiertas"?

En nuestra opinión la seguridad de la información es equiparable a nuestra intimidad. Nadie pone en duda  bajar una persiana, correr una cortina, cerrar una puerta para evitar ser observados, pero, ¿hacemos lo mismo con nuestra información? La seguridad de la información tiene que ser parte de nuestra vida, parte del todo en una sociedad cada vez mas globalizada. Subir una foto o un video a Facebook,  agregar a cualquier desconocido, supone que en alguna parte del mundo puedan ser vistas si no aplicamos los controles de seguridad adecuados.  Día tras día, aparecen nuevos dispositivos, nuevas tecnologías que nos permiten estar mas comunicados si cabe, pero ¿a que precio?.

Si observamos cualquier aplicación para móvil, podemos observar que en la mayoría de los casos es indispensable otorgarle permisos sobre todo nuestro dispositivo, (correos, sms, fotos, videos, archivos…) pero nadie se pregunta para qué una aplicación  meteorológica quiere esos datos? Y aun más….qué va a hacer con ello. Simplemente marcamos la opción permitir.

Las nuevas tecnologías abren nuevas puertas a la hora de hacer negocios, de relacionarse, de comprar y vender…..pero en la mayoría de los casos dichos avances no van en concordancia con el conocimiento en seguridad, lo cual supone un alto precio a pagar.

Tanto las empresas como cualquier individuo debería ser formado y concienciado en seguridad. Nuevas amenazas requieren nuevos controles. La información es poder y ahora mas que nunca debemos protegerla.


¿Hay cultura de privacidad en España?

Es una cuestión opinable. En comparación, considero que hay mucha más preocupación por la privacidad en el mundo analógico que en el digital.

En el mundo analógico todo el mundo suele llevar sus pertenencias y su intimidad relativamente bien protegidas. Puede considerarse que sí hay cultura de privacidad en este aspecto.

Sin embargo, en el mundo digital, la protección de la intimidad exige un cierto esfuerzo y autocontrol por parte del propio usuario para proteger y configurar debidamente los dispositivos, aplicaciones, redes sociales, etc. Y esto va en detrimento de la experiencia del usuario, el divertimento o la facilidad de uso.

Mientras no dejen de sorprender los servicios digitales, el usuario no alcanzará un nivel de madurez que le permita priorizar la seguridad de su información sobre otras cuestiones.


¿Es la privacidad un filón de negocio para los Abogados?

Personalmente, no lo considero como un filón de negocio. Al fin y al cabo, se trata de un derecho fundamental y no creo que se deba mercantilizar de esta forma.

Tampoco creo que sea algo específico de los abogados. Es cierto que la falta de cultura de privacidad en el mundo digital está empujando a los poderes públicos a elaborar normas muy estrictas y complejas que requieren de la ayuda de abogados para su cumplimiento.

Pero no es el único factor que influye en la protección de la intimidad, de los datos personales o de la seguridad de la información; de hecho tanto la legislación española en materia de protección de datos como los estándares internacionales de seguridad de la información exigen metodológicas y tecnológicas que a menudo exceden de las competencias básicas de un licenciado en derecho.

¿Cómo inciden en la privacidad las actividades de la Agencia Española de Protección de Datos?

Lamentablemente, la Agencia Española de Protección de Datos no tiene entre sus funciones, recogidas en el artículo 37 de la Ley Orgánica de Protección de Datos, la concienciación ni la sensibilización de los responsables de los ficheros de datos personales.

Sin perjuicio de ello, sí es cierto que lleva a cabo ciertas actividades de divulgación, como el mantenimiento de la página web, la presencia en redes sociales, la jornada anual abierta, la publicación de algunas notas de prensa, o la producción de pequeños contenidos multimedia. Sin embargo, esta labor queda empequeñecida frente a lo que es más conocido por el grueso de la sociedad: el ejercicio de la potestad sancionadora.

Es por ello que en la mayor parte de los casos, las empresas se preocupan por cumplir con la ley por miedo a las sanciones económicas, y no por la conciencia de garantizar un derecho fundamental.

No obstante, algunas agencias autonómicas de protección de datos quizá hayan acertado mejor en la forma de realizar estas actividades de concienciación y sensibilización, aunque alguna ya ha sido extinguida y otras están en peligro de extinción.

¿Es la protección de datos el punto más débil actualmente de la Seguridad de la Información?

 "La información es poder" : partiendo de esta afirmación podemos asegurar que el la protección de datos es el punto mas débil de la seguridad dela información.

Siempre se ha considerado a la prensa el cuarrto poder y el núcleo de ese poder es la información: información que puede derrocar gobiernos, alzarlos, hundir mercados y empresas o afectar directamente a  personas.

La protección de datos es ahora, en un mundo globalizado, el factor X de la seguridad de la información. Nuevas tecnologías son una nueva fuente de amenazas, icloud, BYOD, son dos ejemplos de nuevas plataformas de trabajo que conllevan nuevos riesgos y por tanto debemos aplicarles nuevos controles para mitigarlos. Es por ello que debemos ver la seguridad como una inversión y no como un gasto.

Pero no basta únicamente con proteger la información con medidas más o menos costosas de nivel técnico, es igual de importante concienciar y formar a los personas o empleados sobre la importancia de la información y como tratarla.

La mayoría de los incidentes relativos a la seguridad de la información en las empresas son de carácter interno, es decir, empleados que intencionadamente o no, acceden, publican o pierden, algún tipo de información que causa un importante impacto en la organización.

¿Existen criterios homologados o al menos uniformes de Seguridad de la Información en las empresas?

La creación de normas como la ISO/IEC 27001, marca un antes y un después en la homologación de criterios. Normas como ésta  persigue que los controles y criterios sean uniformes, independientemente de la activad y/o del tamaño de las empresas.

Esta norma persigue proteger la información en todas sus dimensiones, Integridad, Confidencialidad, y Disponibilidad. Certificarse en esta norma, implica el cumplimiento de una serie de controles que garantizan el compromiso de la empresa con la seguridad de la información y aporta un valor añadido a la misma.

Según publica la ISO (International Organization for Standardization) en 2012 España ha escalado ya a la sexta posición en el ranking mundial, con un total de 711 certificaciones en el estándar más reconocido en materia de Seguridad de la Información en todo el planeta sobre un total de 17509 empresas certificadas en todo el mundo.


Seguridad de la Información y Despachos de abogados. ¿Es una utopía?

Para un despacho de abogados, al igual que para cualquier otro negocio, en el que la información es crítica, la seguridad de la información debería estar integrada en su gestión diaria. Como en casi todas las actividades de la vida en las que dependemos del factor humano, la cultura es fundamental, y no es suficiente que la Dirección apueste por ello. Incluso cualquier iniciativa de implantar una normativa como ISO/IEC 27001 de gestión de seguridad de la información, será un fracaso si todas las partes no son conscientes de la importancia que tiene la información y su papel en mantenerla protegida de múltiples amenazas.

Desde hace varios años, gracias a la normativa de protección de datos personales, al Esquema Nacional de Seguridad para administraciones públicas, así como a múltiples iniciativas públicas y privadas para fomentar la cultura de la seguridad de la información, han hecho que el avance en España haya sido muy importante, aunque todavía no suficiente para que todos los sectores de la sociedad sean conscientes que en estos tiempos tener la información es tenerlo todo, y los mayores riesgos en la actualidad están asociados a intentar obtenerla o alterarla por cualquier medio.

¿Es posible implementar prácticas eficientes, políticas y controles para cumplir todas las obligaciones de cumplimiento de tutela de la privacidad en los Despachos profesionales?

Sí. Sin duda, es compatible el cumplimiento de la normativa de protección de datos con el ejercicio de cualquier actividad profesional.

Sin embargo, es necesario concienciar a la Dirección y a los empleados para cambiar algunas metodologías de trabajo adquiridas con el tiempo que, aún siendo eficientes, no garantizan la debida seguridad de la información.

En muchos casos no es fácil, y es necesario contar con el asesoramiento de expertos en la materia. No sólo abogados, sino también expertos técnicos en seguridad.

Adicionalmente, el cumplimiento de los estándares internacionales de seguridad de la información ayudan a cambiar la idea de que se debe cumplir con la normativa de protección de datos únicamente para evitar las multas.

¿Existe alguna herramienta específica para Despachos de abogados que les proteja de fuga de información y posteriores responsabilidades?

Existen en el mercado varias y diferentes herramientas para protegerse de fugas de información tanto accidentales como intencionadas aunque no evitan la responsabilidad de la misma. Si combinamos este tipo de herramientas  con una clara y definida política de seguridad de la información, así como con la firma de acuerdos de confidencialidad podemos llegar a tener una apreciable protección tanto a nivel técnico como a nivel de responsabilidad. 

Un ejemplo de este tipo de herramientas es DLP (data loss prevention) . Existen en el mercado diferentes proveedores para este tipo de solución que evita las fugas o pérdidas de datos.

El core de esta herramienta es el marcado de la información. Para ello debemos tener claramente clasificada nuestra información y elegido el alcance de la protección. Una vez clasificada y marcada la información (el marcado es obviamente un concepto, no escribe en el documento como tal), es seguida en todo momento por una serie de dispositivos tanto en equipos locales como en servidores de ficheros y de correo electrónico. Esto nos ayuda a saber, en todo momento, donde esta nuestra información, si se ha mandado imprimir, enviado por correo, o copiada a cualquier tipo de dispositivo, quien y  cuando. A su vez permite no sólo estar informados sino también bloquear cualquier acción que consideremos. 



¿Cómo puede incidir este tipo de herramientas en el rendimiento cotidiano del despacho y al final en su facturación?

Cómo puede incidir en el rendimiento cotidiano dependerá de varios factores técnicos tales  como, la cantidad de información a marcar, (esto únicamente afecta de manera al perceptible cuando se marca por primera vez), la tipología de la red o si únicamente queremos configurarla de modo informativo, o por el contrario queremos que bloquee aquellas acciones que consideremos inapropiadas.

Ambas opciones requieren de un personal técnico que configure inicialmente la herramienta, así como la designación por parte del despacho de algún interlocutor para configurar las políticas y las acciones a tomar según la política de su organización.

Por lo demás, el impacto en el rendimiento será directamente proporcional al incumplimiento de las políticas que se hayan configurado y las correspondientes quejas que puedan surgir por parte de los usuarios. 

Por ejemplo, si prohibimos imprimir cualquier documento de la carpeta facturación y  un usuario intentara imprimir podrían aparecer cualquiera de las siguientes opciones:

  • Opcion A) Informativo: Esta usted imprimiendo un documento protegido por la política de seguridad e incumpliendo la normativa de uso. Si continua quedara registrado y notificado al responsable de seguridad. Pero se le permite.
  • Opcion B) se habilita la opción de bloqueos de acciones. Y por mas que intente imprimir el documento se le notificará un error de impresión y se le informa igualmente que su intento ha quedado registrado.

El coste de implementar este tipo de herramientas deberá ser valorado teniendo en cuanta el precio a pagar por una fuga de información que conlleve la perdida de clientes, juicios, perdida de posición y marca, así como las demandas que por dichas fugas pudieran recibirse.

Por ello desde nuestra opinión, el coste es mínimo  dependiendo del valor que se le dé a mi información.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.