Detrás de un buen CISO, hay un buen abogado. Por martín F. Elizalde, Foresenics.

“We can try to hide it, it’s all the same”, Michael Kiwanuka En 2017 los abogados seguimos el proceso de inmersión en la tecnología. Los días del uso de las computadoras como procesadores de palabras terminaron. Los clientes, cada vez más, reclaman soluciones en temas de tecnología aplicados al derecho. Lejos de llamarle la atención, el mercado legal lo percibe como una ventaja. Nuevos desafíos reclaman nuevos puestos de trabajo para el sector. Así es como un nuevo “nicho” laboral ha aparecido. Es decir, el de los abogados custodiando la responsabilidad del directorio, por ejemplo, por fallas que expongan la información de terceros divulgada a raíz de un incidente. Una de las claves para una buena política de seguridad de la información, es que el directorio conozca los riesgos a los que se exponen su organización y ellos mismos. Vivimos en un mundo donde las amenazas a la seguridad de la información y a la privacidad se materializan permanentemente. Vemos, además, una creciente tensión entre la una y la otra al estar protegidas por la ley. Es por eso, que las cuestiones derivadas de fallos de estos sistemas caen en “territorio legal”. La naturaleza transversal de los riesgos cibernéticos, unida a los cambios legislativos que protegen la privacidad de datos personales, hace que varios departamentos de la organización deban lidiar con la prevención de incidentes de ciberseguridad. Ahí es donde  el abogado, con conocimientos de tecnología y de Derecho, aconseja al directorio y  actúa para garantizar una gestión jurídica eficaz. La posición más funcional para hacerlo es la del CISO, las siglas en inglés de  Chief Information Security Officer. Sin duda, es recomendable que el CISO vea toda la imagen de la seguridad, más allá de sus raíces técnicas y de la apreciación de un “parche”. Además de probar un software antivirus,  su función es alinear la arquitectura de seguridad de una empresa con su proyección en el mercado. Quizás, la tarea más importante del CISO sea ayudar a entender y considerar los riesgos derivados de la seguridad de la información, para reflejarlos en un presupuesto comprensible. Tiene que mostrar que esos riesgos no son abstractos, sino que están ligados a: fallas, incidentes, fraudes internos, ataques externos e incluso pérdidas de computadoras portátiles o celulares. La posición del abogado es, entonces, la de un CISO encargado de la seguridad informática, de la planificación de respuestas a incidentes, y de la gestión de la continuidad de un negocio. De esta forma, establece el marco legal aplicable en caso de fugas de información. Repasemos las principales características que debe tener dicho perfil y veamos si coinciden con las que tiene un abogado. En primer lugar, debe ser un buen comunicador. El CISO es el encargado de crear conciencia en la materia a todos los integrantes de la organización – sin importar su cargo – y de convencer al directorio para invertir en ella. Un abogado con conocimientos de tecnología suele ser un comunicador eficiente y es visto con mejores ojos, quizás porque su lenguaje es llano. El  Chief Internet Security Officer comunica las incidencias que pueden surgir, además de las responsabilidades civiles y penales que se derivarían de ellas. No sólo necesita habilidad técnica, sino también visión de gestión para manejar al personal y conocimiento de la ley aplicable, además de un sentido agudo del negocio. Así, además de comunicar debe “vender” las soluciones de prevención. El profesor F. Daniel Siciliano, de la Stanford Law School, dijo una vez que:

Los abogados están entrenados para trabajar con múltiples grupos y explicar situaciones complejas a mucha gente. Los abogados son buenos CISOs porque son buenos comunicadores.

Nunca lo olvidé. También  debe tener un profundo conocimiento de las leyes (nacionales e internacionales) aplicables a la recolección, preservación y transmisión de los datos personales que la empresa almacena. Es necesario, igualmente, conocer las penalidades y multas a las que se expone la compañía si incumple la normativa que regula un incidente, en caso de que hayan sido expuestos los datos de terceros. Y, desde luego,  ser un negociador con conocimientos de tecnología cuando hay que contratar servicios en la nube. Greg Arnette – cofundador de Sonian y ahora director de estrategia en Barracuda – conidera que el CISO:

Debe ser bueno para leer contratos y acuerdos de licencias, y quizás no tanto para apretar tuercas y tornillos, o enchufar cables. Se trata de hacer cumplir los contratos, vigilar las vulnerabilidades que se puedan publicar en la prensa, y manejar la seguridad desde un ángulo diferente

Más allá de estas condiciones, el abogado sabe que las normas de  compliance afectan a la seguridad de la información y que incrementan los controles internos que hay que implantar en las organizaciones.  La ausencia de dichos sistemas incrementa la responsabilidad de los directores. Por último, existe un campo en el que el “abogado – CISO” debe destacarse:  tener  conocimiento sobre análisis forenses digitales para recabar pruebas dentro del marco de la ley. Hay que considerar que en este punto, la ley y la jurisprudencia suelen ser restrictivas en lo que se refiere a la privacidad del investigado. Es éste tipo de jurista quien debe establecer los protocolos y controlar que se lleven adelante dentro del marco legal. Ello aplica en las investigaciones de deslealtades laborales, espionaje industrial o pérdida de información de terceros en el marco de un incidente de seguridad. Se parte de la base de que la evidencia digital ha de ser preservada, para que sea admisible si se presenta en un proceso judicial. Éste es un punto muy importante, ya que el CISO debe cubrir: la coordinación de una inicial investigación interna; la posterior preparación y presentación de la correspondiente denuncia; el asesoramiento en la recopilación de evidencias; el seguimiento del protocolo de custodia de pruebas.Los elementos arriba mencionados se tienen en cuenta de cara a la preparación de un posible proceso. A veces, una persona con buenas habilidades técnicas e interesada en la búsqueda de vulnerabilidades de seguridad, no es la mejor comunicadora de tecnología para un directorio que no es de informáticos. Parece que será seña de éxito que las empresas dejen de preguntarse si los abogados deben involucrarse en la ciberseguridad y que comiencen a preguntarse cuándo deben involucrarse.