Sorry, this entry is only available in European Spanish.
El espionaje siempre ha existido y nunca dejará de existir, pero el espionaje masivo a los ciudadanos y a las empresas era una realidad al menos desconocida por la gran mayoría.
Al parecer, la NSA (National Security Agency) ha recopilado información masiva utilizando «puertas traseras» de los servidores de los grandes operadores de la industria de Internet como Google o Yahoo.
Esta actividad de recolección masiva de datos podría definirse como un claro ejemplo de Big Data. Pero, ¿qué podemos entender como Big Data en este caso actual? Y más importante aún ¿es legal el tratamiento de esta información?, ¿qué conflicto jurídico se plantea a partir de ahora?
La actualidad dibuja un claro caso de vigilancia electrónica en el que un organismo, la NSA, ha utilizado complejos sistemas informáticos para capturar, almacenar, procesar y analizar inmensas cantidades de datos. Lo podríamos llamar el «Big Data Brother».
Frente a la publicación de estas alarmantes noticias se encuentra una Unión Europea gobernada por diversos líderes políticos que no pueden o no quieren aprovechar la ocasión para, al menos, defender los derechos de sus ciudadanos europeos. Un ejemplo de ello es el retraso en la aprobación del futuro Reglamento de Protección de Datos.
A este destacado conflicto internacional hay que sumar el conflicto jurídico que subyace en la colisión de los llamados derechos a la privacidad y/o intimidad frente a la protección de los ciudadanos por parte de los Estados o seguridad nacional.
Los gobiernos están en su derecho de proteger a sus ciudadanos ante cualquier ataque del crimen organizado, pero ¿tienen legitimidad para hacerlo más allá de sus fronteras físicas? ¿pueden recopilar información personal de ciudadanos de todo el mundo? Y es más ¿existe proporcionalidad entre el fin perseguido (seguridad y defensa nacional) y el respeto a los derechos fundamentales y libertades de los ciudadanos extranjeros?
Además hay que añadir las últimas informaciones que apuntan, no sólo a un caso de espionaje a ciudadanos, sino que existen indicios de espionaje empresarial y gubernamental a países amigos.
Cabe destacar que el espionaje industrial también se venía realizando de forma ilegal pero no se conocía que lo realizaran los gobiernos legítimos. De ser cierta esta información, se puede pensar que dicha actividad se viene realizando para dar ventajas competitivas a empresas americanas frente a destacadas empresas extranjeras, por ejemplo, en concursos públicos de grandes infraestructuras.
Y respecto al ciberespionaje a ciudadanos, cabe destacar la presunta vulneración de la intimidad personal y privacidad de los datos personales de ciudadanos extranjeros que no consienten el tratamiento electrónico de estos datos con fines desconocidos.
¿Y cómo podemos solucionar este colosal conflicto? A mi entender, el secreto está en la proporcionalidad y el cumplimiento o compliance de la normativa internacional. Parece desproporcionado que se tenga que «cachear» la información personal de millones para predecir y detener un delito antes de que éste suceda.
Si no queremos crear alarma social ni que se vulneren infinidad de derechos fundamentales por parte de los legítimos representantes del pueblo, regulemos dicha actividad e informemos a los ciudadanos, ya que seguramente la gran mayoría llegue a entenderlo.
El gobierno americano está en su derecho de proteger su estado. El fin que persigue es loable (defenderse de los ataques del crimen organizado) y seguramente los demás estados salen beneficiados indirectamente, pero éstas actividades de tratamiento informático de datos deberían seguir los cauces democráticos conocidos, como son el consenso internacional y la aprobación y divulgación de la pertinente normativa.
Álvaro Écija (Alvaro_ecija)
Artículo originalmente publicado en Expansión.
El mes de octubre fue designado como el “mes de la Ciberseguridad” en el contexto europeo, y por esta razón, recientemente, se han estado desarrollando diferentes iniciativas, promovidas, principalmente, por Agencia Europea de Seguridad de las Redes y de la Información (ENISA), bajo el lema “La seguridad en Internet requiere la participación de todos”.
A este respecto, es importante señalar que, actualmente, el Ciberespacio constituye un escenario decisivo en el que Gobiernos, Organismos públicos, entidades del sector privado y los propios individuos-usuarios, libran auténticas “batallas”, en las que se disputa la supervivencia y sostenibilidad de un entorno abierto, protegido y seguro.
En este sentido, para librar correctamente la “batalla” de la Ciberseguridad, es indispensable “conocernos y conocer a nuestro enemigo”, es decir, resulta fundamental diagnosticar nuestra situación e identificar: (i) las Ciberamenazas a las que estamos expuestos; y (ii) las principales estrategias de seguridad que podríamos acometer, a fin de contrarrestar tales amenazas, y/o, en su caso, mitigar los riesgos que pudieran derivarse de las mismas.
En primer lugar, debemos tener en consideración los diversos fenómenos sociales, políticos y tecnológicos que han venido a redimensionar las estructuras del marco regulatorio del Ciberespacio (a nivel local, europeo y global).
A modo de ejemplo, la dependencia y fácil accesibilidad al Ciberespacio, hacen que cada vez sean más comunes y preocupantes las intromisiones en este ámbito. En buena medida, el Ciberespacio permite la materialización de nuevos riesgos y amenazas. Los Ciberataques, presentados en forma de Ciberterrorismo, Ciberdelito/Cibercrimen, Ciberespionaje o hacktivismo, suponen un importante instrumento de agresión contra particulares e instituciones públicas y privadas.
Asimismo, las Ciberamenazas son cada vez más sofisticadas y representan peligros de primer orden que atentan contra la seguridad y estabilidad de gobiernos y/o entidades del sector privado.
En medio del escenario descrito, tal y como diría el estratega militar Sun Tzu en el siglo IV A.C, “No se puede combatir lo que nos es desconocido”. Por lo tanto, es preciso ser conscientes que la Ciberseguridad es una “batalla” que se disputa en un escenario cambiante y que ahora existen amenazas que podrían tener efectos mucho más complejos y perjudiciales que los derivados de las amenazas tradicionales.
A mayor abundamiento, la ejecución de Ciberataques, el robo de información, el Ciberespionaje industrial, los Ciberdelitos patrimoniales, la propagación de códigos maliciosos, la captación indebida de datos de carácter personal, suponen “enemigos” constantes en este “campo de batalla” llamado Ciberespacio. Dichas Ciberamenazas, a pesar de perpetrarse con cierta regularidad, en ocasiones, ni siquiera son advertidas, ni gestionadas de manera adecuada.
La falta de identificación y gestión de tales Ciberamenazas, parece estar intrínsecamente relacionada con:
(i) la falta de concienciación sobre los riesgos de seguridad asociados a la apertura e interconexión entre el Ciberespacio y los entornos tradicionales; y
(ii) la inadecuada valoración de la Ciberamenaza, que suele percibirse como incierta o improbable.
Para poder hacer frente a nuestro “enemigo”, en la “arena” del Ciberespacio, es preciso medir y gestionar los riesgos detectados, de manera objetiva y repetible. A tal efecto, es fundamental disponer de una estrategia de Ciberseguridad, apoyada en herramientas y metodologías que permitan realizar un análisis pormenorizado de cada uno de los riesgos, mediante catálogos de activos, amenazas y vulnerabilidades, capaces de adaptar metodologías a las particularidades del Ciberespacio.
Asimismo, la estrategia de Ciberseguridad debe responder a un proceso de mejora continua, a cuyo efecto conviene implementar: (i) herramientas de monitorización, que permitan medir la seguridad a través de indicadores alineados con los objetivos de la Organización; (ii) sistemas adecuados para detectar y gestionar los incidentes, a fin de examinar las vulnerabilidades expuestas, así como el procedimiento para manejar su respuesta.
Tal y como hemos indicado, en el “Campo de Batalla” del Ciberespacio es indispensable “conocerse a sí mismo”. Esto conlleva: (i) identificar cada una de las circunstancias (normativas, económicas, sociales, tecnológicas etc.), que afectan el desempeño de nuestra actividad en el Ciberespacio; (ii) detectar, analizar y gestionar los riesgos y vulnerabilidades, para poder anticipar la probabilidad de que una amenaza aproveche una vulnerabilidad, y pueda provocar un impacto en nuestra organización, empresa, órgano y/o entidad. Este aspecto puede representarse mediante la siguiente formula:
En este sentido, los servicios de Cibercompliance representan un aliado que colabora, eficazmente, en la identificación, bajo criterios objetivos, de las probabilidades existentes de que un riesgo que pueda afectar nuestro entorno se convierta en un impacto.
Dicho objetivo se conseguiría a partir de la evaluación de las Ciberamenazas, el mapeo de los elementos bajo riesgo, la valoración de la vulnerabilidad y la estimación de costos y/o beneficios, que podrían desprenderse de la implantación de una estrategia de Ciberseguridad integral.
De esta manera, los sujetos afectados en el entorno del Ciberespacio, podrán librar las “batallas” en contra de los “enemigos de la Ciberseguridad”, mediante modelo de gestión que permita avanzar de la simple prevención a la detección y respuesta planificada a las posibles Ciberamenazas, en un contexto que permita (i) la Ciberresiliencia; (ii) la reducción de las Ciberamenazas; (iii) el desarrollo de una política de Ciberdefensa, y (iv) el establecimiento de una estrategia integral y coherente en materia de Ciberseguridad.
Álvaro Écija | @Alvaro_Ecija
Managing Partner at Ecix Group
No hay nada más incierto que planificar el futuro, por lo que lo mejor es aprender del pasado, para transformar el presente e intentar acertar en el futuro. Ese es nuestro empeño, que afrontamos con gran ilusión y el consiguiente trabajo. Como abogado y profesional de la informática dedicado al mundo del derecho y la ciberseguridad, observo como el mundo está cambiando a una velocidad sin parangón. Internet ha venido para quedarse y cambiar gran parte de los comportamientos humanos.
En concreto, como letrado observo como en los últimos 15 años la profesión se ha transformado sustancialmente. Desde un mero punto de vista corporativo, las firmas de abogados sin importar su tamaño se han transformado en modernas empresas de servicios, dejando atrás una forma de organización más clásica. Esta es, inexorablemente, una consecuencia directa de la modernización de la sociedad. Un ejemplo puede ser como los bufetes con más posibilidades económicas, se han mudado a edificios inteligentes abandonando sus viejas sedes más clásicas.
Asimismo, como profesional de la ciberseguridad privada, observo como Internet se ha convertido en una nueva realidad que construye todo un mundo virtual paralelo, como si de una tercera dimensión conectada se tratase. En esa realidad se están produciendo todo tipo de interactuaciones y comportamientos sociales. Algunos son más a la vieja usanza (por ejemplo, el intercambio de bienes a través de e-Bay) y otros son más modernos (por ejemplo, Twitter). Por supuesto, algunos de estos comportamientos sociales son buenos y otros, malos.
Por último, como ciudadano, también observo con fascinación y admiración el cambio que se está produciendo en los países más avanzados, en los que se está dando lo que podríamos calificar de cambio de paradigma.
Como ha dicho el Papa Francisco, “no vivimos una época de cambios, sino un cambio de época”. Creo que este mensaje, dejando de lado su contenido teológico, puede aplicarse al mundo del derecho, internet y a la sociedad en general.
¿Cómo se concretan estos cambios en el mundo del derecho? En este post me aventuro a dar las que creo son las claves del nacimiento del abogado del S. XXI.
Álvaro Écija (@Alvaro_ecija)
Managing Partner at ECIX GROUP