El rol del abogado en la ciberseguridad

Por todos es sabido que nos encontramos en una época donde las ciberamenazas son cada vez mayores en número y en complejidad, lo que está provocando que las organizaciones se vean obligadas a gestionar una gran cantidad de riesgos informáticos mientras siguen manejando inmensas cantidades de información confidencial y sensible.

Históricamente, los asuntos relacionados con la seguridad de los sistemas (prevención, coordinación, reacción) venían siendo competencia casi exclusiva de los departamentos de IT, mientras que los departamentos jurídicos habitualmente tenían –cuando la tenían- una presencia testimonial o de mero soporte.

Ahora bien, la naturaleza transversal de los riesgos cibernéticos unido a los cambios legislativos actuales exigen, cada vez con mayor intensidad, evolucionar de una situación en  la que sólo un departamento monopolizaba su gestión, para pasar a un nuevo escenario en el que son varios departamentos de la organización los que deben responsabilizarse de un incidente de ciberseguridad. Y es ahí donde el área jurídica debe jugar un papel importante, y novedoso, para garantizar una gestión jurídica eficaz. Esto es, el abogado debe perder el temor a asumir un rol protagonista en la gestión de incidentes de seguridad informática, debido a las importantes consecuencias legales que aplican a los temas relativos a la ciberseguridad. En relación a esta última afirmación, podemos diferenciar los siguientes aspectos:

1. a) necesidades internas: todos los aspectos relacionados con las iniciativas de prevención (redacción de políticas internas, cláusulas contractuales y otra documentación, formación, etc.) y de gestión ante los eventuales daños que puedan haberse provocado a la empresa como consecuencia de un ciberataque, y que van desde la coordinación de una inicial investigación interna, posterior preparación y presentación de la correspondiente denuncia, asesoramiento en la recopilación de evidencias, seguimiento del protocolo de custodia de pruebas, preparación de un posible futuro proceso judicial, interlocución con las fuerzas y cuerpos de seguridad del Estado y, en su caso, Fiscalía; hasta la relación con la compañía de seguros y, claro está, con el departamento de comunicación de la organización de cara a revisar los mensajes que se emiten al exterior en relación con el incidente.
2. b) necesidades externas: reclamaciones de clientes o proveedores, actuaciones del regulador, protección de la responsabilidad de los administradores y directivos, crisis de reputación, etc.

El papel del profesional del derecho en este asunto también tiene una doble vertiente: una primera que podemos denominar de auto-responsabilidad, en la que debe implementar para sí mismo las suficientes medidas de seguridad para proteger adecuadamente su labor y, en particular, la información que gestiona como consecuencia de su papel en la empresa. En este sentido es especialmente relevante la labor que desempeña el Instituto Nacional de Ciberseguridad (INCIBE), no sólo desde el punto de vista de la concienciación y de la previsión en general, sino también con la difusión de herramientas de gran utilidad para el abogado. Por citar algunas de las más relevantes podemos destacar la aplicación CONAN Mobile, útil para identificar vulnerabilidades de los terminales móviles con sistema operativo Android; el servicio antibotnet, que permite identificar si la dirección IP desde la que los terminales se conectan puede estar comprometida por formar parte de una red de bots (botnets) o como comúnmente se conocen, “ordenadores zombies”; el kit de concienciación, gracias al cual las organizaciones pueden, de manera práctica, tomar conciencia y adoptar medidas eficaces de protección frente ciberataques; o el CERT de Seguridad e Industria (CERTSI) desde el cual se gestionan servicios de soporte para afrontar ataques de especial gravedad.

Y, de otra parte, las necesidades formativas del jurista, sobre lo que debemos recordar que la Estrategia de Ciberseguridad Nacional, aprobada por el Gobierno de España en 2013, ya contenía una serie de líneas de acción, vinculadas a los objetivos establecidos en la propia Estrategia, y orientadas a alcanzar los objetivos expuestos en aquél, entre los que, a los efectos que ahora nos interesan, destacamos la capacitación de profesionales.

En relación con este último punto, la línea de acción cuarta de la Estrategia, bajo el título “capacidad de investigación y persecución del ciberterrorismo y la ciberdelincuencia”, tiene por objeto principal el de potenciar las capacidades para detectar, investigar y perseguir las actividades terroristas y delictivas en el ciberespacio, sobre la base de un marco jurídico y operativo eficaz. Y para alcanzar dicho objetivo, el Gobierno se compromete a abordar una serie de medidas orientadas a asegurar a los profesionales del Derecho el acceso a la información y a los recursos que les proporcionen el nivel necesario de conocimientos para la mejor aplicación del marco legal y técnico asociado. En este sentido, es especialmente importante –como así recoge expresamente el citado documento- la cooperación con el Consejo General del Poder Judicial, la Abogacía del Estado, la Fiscalía General del Estado, la Fiscalía Coordinadora de la Criminalidad Informática y el Consejo General de la Abogacía Española.

A estos efectos, la abogacía española, a través de su Consejo General, ya ha comenzado a reforzar las relaciones con las entidades gubernamentales con competencias en ciberseguridad, de manera que en el año 2016 podamos comenzar a ver una serie de iniciativas conjuntas encaminadas a lograr estos objetivos de concienciación y formación, que permitan mejorar las capacidades de los abogados en su necesidad de afrontar estos nuevos retos técnico-jurídicos que se presentan en un mundo conectado.

Será signo de éxito que las empresas dejen de preguntarse si los abogados deben involucrarse en los asuntos de ciberseguridad que afectan a la empresa, y comiencen a preguntarse cuándo deben involucrarse.

 Francisco Pérez Bes

Secretario General del Instituto Nacional de Ciberseguridad (INCIBE)

@pacoperezbes