ENTREVISTA A SUSANA GONZÁLEZ RUISÁNCHEZ.

Entrevistamos a Susana González Ruisánchez. Abogado especialista en derecho tecnológico y ciberseguridad, directora de Hiberus LegalTech % CyberSec y promotora de CONPilar Congreso de Ciberseguridad de Zaragoza.

1- Buenas tardes Susana, antes de entrar en materia, seguro que mucha gente se pregunta ¿qué es eso del Derecho Tecnológico?

El derecho tecnológico es el derecho que tiene implicación en cualquier tipo de tecnología, en sí misma y en su uso. Es decir, es hoy en día casi todo, en el sentido que de prácticamente todas las ramas del derecho en la actualidad tienen alguna implicación tecnológica.

El auge de la innovación tecnológica y el tratamiento de datos personales a través de la tecnología multiplicó esas implicaciones hace ya unos 15-20 años. En la última década, fruto de la transformación digital, privacidad y seguridad se ven implicadas a diario en prácticamente todo lo que hacemos a nivel empresarial y particular, de ahí que las implicaciones legales estén presentes de forma transversal.

A efectos prácticos, por ejemplo en Hiberus LegalTech & CyberSec estamos prestando servicios destinados a la regulación interna y el control gestionado y responsable de la protección de datos y su adaptación al reglamento europeo, el análisis de riesgos, su evaluación y la implantación de decisiones para minimizarlos en materia de ciberseguridad, seguridad de la información y prevención de delitos en la empresa, conflictos sobre dominios en internet, regularización y conflictos en materia de patentes y marcas, regulación de software sin licencia y auditorías de software; la configuración de pruebas de base tecnológica, es decir el soporte adecuado de pruebas de hechos que suceden en internet para evitar su impugnación por manipulables, la adecuación de los negocios a planes de ciberseguridad y recuperación ante ataques informáticos y un larguísimo etcétera.

 

2- Como promotora e impulsora del proyecto ‘CoNPilar’ qué experiencia tuviste en la acogida de este tipo de eventos para empresas y Pymes de Zaragoza?

Lo cierto es que CONPilar es una de las experiencias más gratificantes y, a la vez, más agotadoras de las que tengo ocasión de vivir anualmente. La primera edición ya fue un éxito rotundo y este año 2017 en su segunda edición multiplicamos las expectativas tanto en asistencia, como en la participación de entidades colaboradoras que han ayudado en su organización, considerando que se trata de día y medio de jornada sobre ciberseguridad incluyendo café, comida, talleres específicos para menores (Hack&Kids); regalos a asistentes y, sobre todo, procurar aglutinar ponentes de altísimo nivel en Zaragoza que, en ocasiones, hemos de traer desde sus lugares de origen en viernes y sábado.

La implicación de asistentes fue enorme este año también. Sin embargo, para ser sincera, echo mucho en falta mayor implicación por parte del tejido empresarial. Asistieron algunos directivos de sistemas o de seguridad de algunas grandes empresas aragonesas, pero el tejido Pyme no tuvo prácticamente representación frente a la inmensa cantidad de personas desconocedoras del mundo de la ciberseguridad que se acercaron a aprender así como del propio mundo de la investigación en seguridad informática. Pero representantes de la pequeña y mediana empresa, muy pocas personas.

Lo sorprendente es que son las Pymes las que actualmente se hayan más desabastecidas de seguridad informática. Y no es por falta de recursos, ya que los costes de regulación de la seguridad, tanto técnicos como organizativos, son muy paralelos al tamaño de la infraestructura de la organización. Estoy segura, y es lo que me preocupa, de que se trata de una absoluta falta de concienciación.

Vivimos muy al día y sólo reaccionamos cuando nos roban la información o cuando nos sancionan y… bueno, a partir de mayo de 2018 parece que las sanciones por fuga de información cuando no se tenga regularizado el sistema de protección de forma responsable e implique a datos personales, van a oscilar entre el 2% y el 4% del volumen de facturación anual global, luego… debería empezar a preocupar más ser preventivos que reactivos y estar bien informados.

CONPilar es un evento totalmente gratuito además, no había otra excusa para informarse de todas las tendencias en ciberseguridad que no sea el desinterés.

3- ¿Son seguras las administraciones? En cuanto a la seguridad de sus datos y protección de la L.O.P.D.

Depende qué administraciones. Hablo por mi experiencia profesional. La inmensa mayoría de los proyectos de desarrollo para administraciones públicas empiezan a plantearse la seguridad en los últimos años y, en general cuando atañe a infraestructuras críticas, por razón de los concretos estándares de seguridad que se les exige por normativa. De resto…. No hay más que intentar utilizar un certificado electrónico y ver cómo el propio navegador te exige que eximas al sistema mediante configuración avanzada por el sitio de la administración X no es un sitio seguro.

Creo que se va avanzando en ello pero que todavía queda muchísimo camino por recorrer.

En protección de datos igual. Estamos muy acostumbrados a que la protección de datos se conciba como quien cubre una plantilla, la mete en un cajón y paga por ello una minúscula cantidad al año a una empresa que vende para todos lentejas.

La realidad, conforme a la normativa actual, que además se refuerza con el Reglamento Europeo de Protección de Datos (GDPR) es que va a regir el principio de responsabilidad proactiva en la protección y control de la gestión de los datos en todo su ciclo de vida en cualquier organización y, la inmensa mayoría de las administraciones (Y empresas) todavía se están pensando qué hacer al respecto, cuando tan sólo queda un año para que se comience a aplicar, a pesar de su entrada en vigor ya en 2016 de forma directa. Es por esto que ves incluso webs de administraciones cercanas que incumplen la normativa de protección de datos y, por ende, el propio reglamento.

Supongo que si no nos estamos preparando con tiempo y planificación, llegará la recta final y todo el mundo querrá que esto se regularice de la noche a la mañana.

Desde mi punto de vista, salvo alguna contada excepción, las administraciones públicas también tienen en la lista de deberes que adecuarse a la normativa de protección de datos y mejorar la seguridad de sus sistemas e infraestructura, tanto interna como respecto de los servicios a los ciudadanos.

4- ¿Qué necesitaría a Zaragoza para potenciar y mejorar su imagen de marca digital?

Necesitaría que fuéramos capaces de acercar a todos los ciudadanos cultura digital. No podemos potenciar ni mejorar una imagen de algo que no somos o no tenemos. Si lo tenemos parcialmente, lo transmitimos parcialmente, y nuestra imagen de marca es parcial.

Tener cultura digital es vital para no sólo disfrutar y aprovechar las ventajas de las TIC a todos los niveles, personal, empresarial y como ciudadanos usuarios de servicios públicos; sino también para potenciar un futuro a corto y medio plazo más seguro. Estamos acostumbrados a reaccionar a golpe de robo o sanción, cuando el objetivo sería que adquiriéramos una cultura fundamentalmente preventiva.

Y para prevenir debemos previamente conocer los riesgos, estar informados.

La digitalización exige una constante adaptación e información ya que el sector tecnológico es muy dinámico y sufre cambios constantes cada día.

Yo sugeriría dotar a Zaragoza de un entorno de formación constante en todas las implicaciones que suponen la digitalización. Hoy por hoy hay mucho ruido en cuanto a formación, alguna buena, otra de humo… pero te sigues encontrando con un problema de raíz: Los niños de 10-12 años tienen más conocimiento e inquietudes por los riesgos de internet que sus padres, quienes en muchos casos, ni tan siquiera saben de qué se les está hablando, y ya no hablemos del profesorado. Si partimos de ejemplos de este tipo, comprendemos fácil que crear cultura digital es vital para poder potenciar marca digital. De lo contrario es pura apariencia o marca de unos pocos bien preparados.

Además, en Zaragoza, deberíamos acostumbrarnos a movernos más. Es una ciudad que ya tiene organizados eventos, incluso gratuitos y bastante buenos, a lo largo del año, sobre temáticas de interés digital. Contamos por ejemplo con el espacio eTOPIA_ en el que se organizan periódicamente encuentros y jornadas muy interesantes y no siempre el aforo es excepcional. Pero si todavía hay gente en Zaragoza que no conoce las terrazas de la ribera del Ebro porque no se mueven de su barrio…

5- El Ayuntamiento de Zaragoza puso de manifiesto que en breves impulsarían perfiles profesionales de la Policía Local en diferentes redes sociales, siendo Twitter la primera de ellas. ¿Algún consejo?

Me parece una buena idea que la policía local trabaje también las redes sociales. No, no tengo mucho que aconsejarles, porque básicamente seguro que antes de lanzar un perfil en una red social institucional tendrán ya configurado y definido su plan de comunicación habiendo valorado y medido objetivos a cumplir, formas de comunicación, contenidos, etc. Sé además que otras redes de Fuerzas y Cuerpos de Seguridad del Estado están funcionando perfectamente como vía de atención ciudadana, de información puntual y alertas, así como para la propia investigación.

Twitter es una red social muy interactiva, que propicia la inmediatez y favorece un alcance exponencial brutal. Todo ello son ventajas y a la vez inconvenientes dependiendo de en manos de quién cae la gestión, ya que una crisis de reputación puede ser muy desventajosa. Mi único consejo es lo que ya he supuesto: que lo pongan en manos de profesionales expertos que les configuren de forma alineada con sus objetivos y con la esencia del cuerpo, un plan de comunicación completo, medible y mejorable periódicamente, así como la gestión de las redes en manos de personal cualificado no sólo en comunicación sino en medición de social media. Es importante que si se está en redes sociales poder medir e informar de si se están o no cumpliendo los objetivos. De lo contrario twitter es sólo un altavoz con altos y bajos en función de la dedicación puntual que se le dedique.

6- Qué visión tiene alguien como usted (que se dedica y conoce el tema de la ciberseguridad) sobre las delgadas líneas entre la seguridad y privacidad. ¿Estamos ‘seguros’? ¿Tenemos privacidad?

Privacidad tenemos ya que es un derecho fundamental constitucionalmente reconocido y garantizado en España y en Europa. La seguridad es, en relación a la privacidad, las medidas que evitan que, más allá de nuestro consentimiento, no se viole nuestra privacidad. Sin embargo, tienes mucha razón al citar “las delgadas líneas” cuando en el entorno tecnológico nos movemos. Dentro del marco de la privacidad garantizada, nosotros como usuarios ponemos el cuadro, el contenido real de lo que nosotros esperamos de nuestra privacidad. Y en ello tenemos gran parte de responsabilidad. No porque una norma nos proteja debemos nosotros dejarnos llevar. Las normas son un marco de actuación grande que no están previstas para casos particulares sino para ser aplicadas a una universalidad de supuestos.

Si las redes sociales, o grandes buscadores, o grandes compañías gestoras de nubes, o titulares de sistemas operativos o buscadores, cumplen las normas y nos ofrecen garantías de privacidad que nosotros debemos configurar, y no las configuramos, estamos dejando la puerta de casa cerrada  sin darle tres vueltas a la cerradura a pesar de que la puerta que tenemos instalada nos da la opción.

Además, pensar en nuestra privacidad necesariamente debería significar pensar en la privacidad de los demás y, por norma general, no se hace. No hay más que ver lo que la mayoría de la gente comparte en sus perfiles personales de Facebook y la cantidad de fotos de sus hijos que a diario exponen en la red sin tan siquiera esperar a que sean ellos quienes configuran su identidad digital.

Esto último es también una cuestión cultural. Nuestros hijos van a padecer que haya fotos suyas en internet cuando busquen un trabajo o cuando pretendan contratar un seguro, aunque no las hayan publicado ellos. Algo que muchos padres actualmente no se plantean porque no han tenido que vivirlo. Actualmente la brecha es digital, y muy enfocada en que el concepto de la privacidad se ha sociabilizado pero es, en un gran porcentaje, controlable por el propio individuo, o al menos así debería ser a partir de una determinada edad (se habla de los 14 pero hay mucha discusión todavía en “depende para qué”).

Y lo mismo en cuanto a la seguridad. La seguridad está directamente reñida con la comodidad. Si no configuramos, por ejemplo, un doble factor de autenticación para entrar a nuestras cuentas de Gmail o de redes sociales (recibir un código único y aleatorio por SMS para acceder a nuestra cuenta demás del usuario y contraseña), teniendo esa opción, estamos dejando una puerta abierta a que nos suplanten la identidad de la cuenta. Si usamos contraseñas como 123456 para acceder a nuestras cuentas y, para colmo usamos la misma en todas nuestras cuentas porque es lo cómodo, entonces tenemos que asumir la responsabilidad de que cualquiera (y cuando digo cualquiera, con esa clave, es cualquiera) podría acceder a una de nuestras cuentas y probar a ver en la de banca electrónica. En un alto porcentaje coinciden.

Lamento ser tan drástica, pero creo que si los usuarios fuéramos plenamente conscientes de lo que implica y reforzáramos nuestra privacidad y seguridad, todo iría mucho mejor porque se reduciría a una exposición mucho más restringida cualquier tipo de ataque. Lo estamos poniendo infinitamente fácil a los ciberatacantes. Y ellos sí están preparados, formados y utilizan técnicas y herramientas sofisticadísimas para, con todo ello, ganar dinero a nuestra costa.

Luego, sí. Tenemos privacidad y seguridad, en un 90% configurable, y en el resto digamos que nada es 100% seguro ni privado desde el momento en que el ser humano es social y digital a la vez. Pero reducir el riesgo a un 10% puede ser, en muchos casos, asumible, o al menos mucho más asumible que al revés.

7- Como profesional y residente de Zaragoza imagino que se habrá fijado alguna vez que en algunas zonas de la ciudad hay un cartel que pone “zona videovigilada por la Policía Local”. ¿Es posible que se nos grabe en la vía pública?

Es posible y legal siempre que esté así informado de forma visible. De hecho, la regulación de la videovigilancia en zonas de acceso público exige ese nivel de información. Generalmente esas cámaras están situadas en zonas en las que es necesario recopilar imágenes por su cierto nivel de conflicto, pero no son revisadas constantemente. Me refiero a que generalmente las cámaras de videovigilancia emiten esas señales que son grabadas en centrales receptoras y, sólo cuando se requiere para una investigación poder recabar la información de lo sucedido en un punto concreto a una hora determinada o en una franja horaria, pueden ser revisadas. Además, si fuera solicitado por una entidad privada o particular debe ser mediante una orden judicial y, por tanto mediante un procedimiento judicial abierto concreto, no son imágenes que se cedan a cualquiera así porque así, sino sólo si se quiere probar un robo en un cajero, un atraco en esa zona, etc, por ejemplo.

En realidad en las zonas en las que está prohibida la grabación es en las zonas no públicas, pero en la vía pública se protege la seguridad ciudadana por encima de la privacidad, en el sentido de que cuando paseamos por la calle vigilada puede tomarse una imagen que nos identifique pero no será utilizada en absoluto si no estamos implicados en un conflicto, ilícito o delito. Lo que es contrario a la norma es instalar cámaras en zonas públicas o en comunidades de vecinos en zonas comunes, por seguridad o vigilancia, sin contar con la información en el primer caso y, en el segundo, con la información y el consentimiento de los titulares de las viviendas por ejemplo.

8- Por lo general en nuestro día a día como usuarios de diferentes dispositivos tecnológicos ¿Le damos poca importancia a la seguridad?

Le damos muy muy poca importancia a la seguridad. Nula prácticamente.

Vaya, ya siento que con lo positiva que soy, hoy tengo la sensación de estar riñendo bastante, pero me temo que la seguridad, sobre todo en los dispositivos móviles brilla por su ausencia en la inmensa mayoría y hoy por hoy es el mayor vector de ataques que, además, desde los móviles se puede acceder incluso a información confidencial de las empresas para las que trabajamos que contengamos en correo electrónico o copias en la nube.

La inmensa mayoría de los usuarios no cae en configurar bien las opciones de privacidad y seguridad en sus dispositivos móviles, no chequea los permisos que concede a las aplicaciones que instala, no desinstala aplicaciones que ya no usa y les deniega los permisos, no tienen el dispositivo cifrado, no tienen instalado antivirus, no hacen copia de seguridad o si la hacen la hacen en la nube del sistema operativo sin cifrar la información, navegan y realizan transacciones bancarias y compras online conectados en wifis públicas cuya seguridad desconocen, e incurren en un sinfín de riesgos que están propiciando, como decía antes, que los móviles y tablets sean un caramelito para los ciberdelincuentes.

9- Con sinceridad …. iOS o Android?

Android. He estado tentada por iOs pero no me ha convencido. A nivel seguridad no estoy de acuerdo en que iOS sea mejor o contemple protocolos mejores, de hecho sufren ataques igualmente. La diferencia está en que iOS “capa” más opciones a los usuarios, todo se tiene que hacer a través de sus aplicaciones homologadas, no puedes descargar ni ejecutar determinados ficheros que no sean previamente aprobados por el sistema, y sí es cierto que esto proporciona por defecto una capa mayor de seguridad a los usuarios que no se configuran sus dispositivos.  Pero cuando sí los configuras, desde mi punto de vista iOS limita y mucho la usabilidad y la libertad en movilidad.

10- Esta pregunta es obligada a todos mis entrevistados, dígame un rincón de Zaragoza que le encante o le traiga buenos recuerdos.

El jardín de invierno del parque grande.