Socio-Director S2 Grupo

Siempre me han gustado las películas de abogados y de juicios. Siempre me ha llamado la atención la facilidad con que los supuestos abogados, magníficamente interpretados por algunos actores, estructuraban sus alegatos, algunos de ellos verdaderos discursos soportados sobre los cimientos de la ley. Entre todo eso siempre me llamó la atención uno de esos cimientos, el principio fundamental “Ignorantia Juris non excusat” , recogido en el artículo 6 de nuestro código civil, que viene a decir que el desconocimiento de la ley no exime de su cumplimiento. Es un principio contundente, autoexplicado, que desmonta cualquier argumento que intente seguir esa línea. No hace falta decir más. Está cristalinamente claro.

Me he permitido en el título de este artículo hacer un juego de palabras sobre la base de este principio universal del Derecho Romano para intentar plantearles a ustedes, directivos, empresarios o profesionales de todo tipo, la situación en la que nos encontramos en materia de ciberseguridad.
Todos ustedes pasan el día gestionando riesgos, formal o informalmente, analizando la probabilidad de que suceda un hecho y combinando esta probabilidad con el impacto que causaría sobre su negocio, sobre su vida, para evaluar, en tiempo real, el riesgo y tomar una decisión acorde al mismo.

Riesgos

A veces acertamos, a veces nos equivocamos y ponemos en marcha nuestro plan de contingencia con el fin de minimizar el impacto del suceso o de restaurar la situación inicial lo antes posible.

El riesgo lo podemos mitigar, transferir, asumir, evitar, pero no ignorar. No sirve para nada. Si tiene que ocurrir, ocurrirá, por mucho que lo despreciemos.

El mundo de las Tecnologías de la Información y las Comunicaciones (TIC) ha evolucionado a una velocidad de vértigo y son muchos los directivos, empresarios o profesionales que no han incorporado a su “catálogo de riesgos”, los derivados de las TIC y, sobre todo, los derivados de los aspectos relacionados con la ciberseguridad de los sistemas de información corporativa o con la ciberseguridad de los sistemas de control industrial. No los han incorporado y, por tanto, no los han evaluado.

Simplemente no se consideran, son riesgos que parecen sacados de una novela de ciencia ficción, y tal vez sea así. A veces cuando me escucho hablar o cuando escucho a colegas del sector, sobre todo en los últimos años, me doy cuenta de que lo que damos ahora por normal y habitual, hace no más de tres o cuatro años, lo veíamos nosotros mismos como ciencia ficción. Pero es así.

Tomar conciencia de los riesgos

El mundo de las TIC es un mundo lleno de personas fascinadas por la tecnología como un fin en sí misma (geeks), en el que abundan personajes extraños (frikies), que han hecho que este sector endogámico levante una barrera que mantiene sus aspectos más técnicos y complejos a cierta distancia de la sociedad. En este contexto es muy común encontrar empresarios y directivos para los que la tecnología es simplemente un medio, a los que les cuesta, primero, aceptar las grandes ventajas de los avances de las TIC y a los que les cuesta, cuando ya han aceptado las ventajas que supone, visualizar y comprender los riesgos asociados al uso de las mismas. La complejidad de estas tecnologías, y el mundo un tanto extraño que las rodea, es lo que nos está impidiendo hasta la fecha, tomar conciencia de los riesgos derivados de su uso.

La taxonomía de amenazas a la que nos enfrentamos ha variado, por tanto, sustancialmente. Hay un nuevo vector de ataque, un nuevo espacio, que no existía hasta hace relativamente poco, el ciberespacio, que lo ha cambiado todo. Necesitamos, como sociedad, tomar conciencia de su existencia en toda su amplitud y hacerlo seguro.

Las instituciones ya se han puesto manos a la obra: “Las tecnologías digitales están cambiando el mundo”, así empezaba Neelie Kroes, la vicepresidenta de la Comisión Europea, responsable de la Agenda Digital Europea, su intervención en la jornada desarrollada en Bruselas el pasado 28 de febrero, titulada “A secure Network for Europe” en la que se revisó el estado de la estrategia europea de ciberseguridad y su paulatina aplicación justo un año después de su publicación.

En un apasionado discurso en defensa de la necesidad de pasar definitivamente a la acción en materia de ciberseguridad, la vicepresidenta hizo un llamamiento global a la cooperación entre el sector público y privado con el fin de conseguir un espacio digital seguro tanto para ciudadanos como para instituciones.

Con afirmaciones como “Sin seguridad no hay libertad, no hay privacidad” insistió mucho en el impacto que este tema tiene y va a tener en el desarrollo de la sociedad, instando a la sociedad en general a tomar cartas en el asunto y pidiendo una política decidida de inversión en el desarrollo de capacidades europeas a través de la investigación y el desarrollo, y el apoyo para conseguir una Directiva fuerte en materia de Seguridad de las Redes y de la Información (SRI/NIS) que, entre otras cosas, impida casos como el de las escuchas o como el de Snowden.

Hagan sus deberes, por favor, atiendan ustedes las peticiones de las instituciones españolas y europeas y evalúen los riesgos a los que se enfrentan como consecuencia de la adopción de las TIC y tomen ustedes decisiones sabiendo a que se están enfrentando. No los ignoren, están ahí y están produciendo grandes daños irrecuperables a nuestro patrimonio: robos de dinero, estafas, secuestros de sistemas, espionaje industrial con robo de diseños y patentes, exfiltración de información sensible, sustracción de ofertas presentadas a concursos públicos, robos de información de personas relevantes y un largo etcétera. Como dice el título de este artículo “desconocer el riesgo no nos va a evitar el sufrimiento”.

 www.s2grupo.es