Tal vez las preguntas más recurrentes que se pueden escuchar cuando un abogado dice dedicarse a temas de ciberseguridad es “¿eres técnico?” “ese es un tema de técnicos” y (aunque usted no lo crea) “¿eso qué tiene que ver con las leyes?”. 

Las interrogantes anteriores parecen obedecer a una perspectiva tradicional, según la cual el profesional del derecho es una isla que a veces le manda señales de humo a otras islas y que aplica muy estrechamente el derecho positivo. Esa visión puede causar incomodidad al trabajar en entornos desregulados, poco regulados o autorregulados, pero, sobre todo, puede generar desinterés en conceptos básicos de la materia, cuya comprensión resulta muy importante para implementar y mantener seguridad de la información en las empresas. Ya no es tiempo de patear balón dejando la ciberseguridad restringida al departamento de sistemas, ni al mismo director de seguridad de la Información, pues se requiere de la participación activa de todas las áreas, incluyendo, por supuesto, al departamento legal.

Y a todo esto ¿qué es la ciberseguridad? En pocas palabras, podemos entender la ciberseguridad como las actividades y medidas destinadas a proteger la información que se produce, almacena y transfiere en el ciberespacio de cualquier uso, acceso, modificación, divulgación o destrucción no autorizados. El ciberespacio se refiere a un ambiente de información conformado por datos digitales que se crean, almacenan y comparten. No es puramente un espacio físico ni es puramente virtual ya que comprende la infraestructura que permite que la información fluya. Incluye al internet, intranet, celulares, cables de fibra óptica y comunicaciones espaciales. 

Para darse cuenta de la importancia de la ciberseguridad, basta entender que actualmente generamos, almacenamos y transferimos toda la información a través de medios digitales. Internet y los dispositivos a su alrededor que permiten el flujo de la información no son únicamente medios de comunicación o herramientas para agilizar el comercio, ya que también soportan infraestructura crítica de empresas y gobiernos. Es necesario generar conciencia y educación acerca de los riesgos en materia de ciberseguridad y de los factores que intervienen: técnico y humano; propio y de terceros. 

Considerando que la tendencia mundial actual es digitalizar, los riesgos en materia de ciberseguridad se han convertido en una vulnerabilidad importante que, sin embargo, no debe desincentivar el uso de las tecnologías, ya que éstas resultan imprescindibles para mantener y elevar la competitividad, sino que también deben servir para crear conciencia de uso adecuado para minimizar las probabilidades de un ciberataque que tarde o temprano ocurrirá (o tal vez ha ocurrido y nadie se ha dado cuenta). Cuando tiene lugar un ciberataque, es preciso que se activen protocolos de actuación que permitan responder en forma oportuna para minimizar las consecuencias que pudieran ocurrir. Se debe llevar a cabo una revisión de las medidas de seguridad informática y un análisis de los posibles riesgos técnicos, legales e incluso reputacionales. La información comprometida puede referirse no sólo a secretos industriales, sino a datos personales de clientes o empleados, datos que en sí mismos pueden constituir un importante activo de las empresas. Los planes preventivo y reactivo idealmente deben formar parte de la estrategia de ciberseguridad de una empresa que, como ya hemos visto, deben involucrar al departamento legal. 

Un incidente de ciberseguridad no son sólo las vulneraciones enormes que llegan a las noticias como el ataque a SPEI ocurrido el año pasado o la vulneración de Cultura Colectiva que pasó este año. Un incidente de ciberseguridad es cualquier acceso, modificación o destrucción no autorizada a los sistemas y, si se trata de datos personales, el número de afectados puede ser mínimo o masivo, como aquella vulneración que sufrió Yahoo! en el 2016 cuando se vio afectada la totalidad de las cuentas activas e inactivas existentes. 

Por otra parte, no perdamos de vista que así como la administración pasada atendió la materia de ciberseguridad de dientes para afuera, esta administración tampoco parece tener intenciones reales de crear una estrategia nacional, aunque las esperanzas perdidas en el Plan Nacional de Desarrollo 2019 - 2024 podrían recuperarse en el programa sectorial de comunicaciones y transportes que se emita. Ante la orfandad gubernamental, no quedará de otra más que hacer esfuerzos desde la Iniciativa Privada. La tarea no será fácil considerando que México se encuentra en el top 10 mundial de los países que más ataques reciben (dependiendo del estudio se le menciona incluso en los tres primeros lugares), siendo phishing el ataque más común en nuestro país. 

Finalmente, hay que recordar que la ciberseguridad es un proceso, no sólo un resultado final. Que no se trata nada más de arquitectura de redes y emisión de políticas en papel, pues involucra al eslabón humano, el que todos los días toma (tomamos) decisiones de ciberseguridad. Es sobre todo una cultura en la que el abogado, con un papel proactivo y bien informado, es parte fundamental.

Ana Paula Rumualdo es Asociada Senior en Hogan Lovells.

[email protected]