CISO, una posición para abogados
Por Martín Francisco Elizalde
Foresenics Argentina

Hay quienes perciben amenazado el futuro laboral de los abogados por la tecnología. Hay tareas de revisión y análisis legales que se pueden llevar adelante sin abogados - con software. Y hasta han debutado en el país los “abogados virtuales”. El principio del fin de nuestra profesión? No, me parece que más bien sería el fin del principio, parafraseando al gran Winston.

 

Precisamente debido a la tecnología, existe un campo en el que los abogados están llamados a desempeñar un rol muy necesario. Es el de custodios de la responsabilidad del Directorio por fallas de seguridad que expongan  la información de terceros- divulgada a raíz de un incidente. Vivimos en un mundo donde las amenazas a la seguridad de la información y a la privacidad se materializan permanentemente. Y de creciente tensión entre la seguridad de la información y la privacidad. Muchas de la cuestiones derivadas de las fallas de seguridad informática tienden a caer dentro de los límites del territorio legal

 

Las organizaciones recurren a los CISO (Chief Information security Officer) para que se  encargen de la seguridad informática, la planificación de respuestas a incidentes y de  la gestión de la continuidad de un negocio. Pero resulta claro que también (no como en el pasado) es el CISO quien  debe establecer el marco legal aplicable en caso de fugas de información o de investigaciones forenses para lidiar con fraudes internos. Y es allí donde los abogados tienen la oportunidad de aportar un buen bagaje a sus clientes. O al directorio de su empresa.

 

Fundamentalmente, el CISO debe comunicar a los directorios las incidencias que pudieran surgir y sus  responsabilidades civiles y penales que pueden originarse en ellas. No sólo necesita habilidad técnica, también visión de gestión para manejar al personal y conocimiento de la ley aplicable en materia de seguridad informática y desde luego, un sentido agudo del negocio.

 

De hecho, un gran inconveniente de un programa de seguridad es la dificultad del Directorio para comprender un modelo que contemple a largo plazo los planes estratégicos de seguridad. Quien lo comunique, en definitiva quien lo “venda”, debe  señalar vulnerabilidades y amenazas,  y al mismo tiempo conocer el plan de marketing y la estrategia de la empresa. Es el encargado de alinear la arquitectura de seguridad de una empresa con sus objetivos comerciales, dentro del marco de la ley. Y un abogado con conocimientos de tecnología suele ser un comunicador eficiente, visto con mejores ojos por el Directorio- quizás porque su lenguaje es llano.

 

Las responsabilidades del CISO han cambiado a lo largo de los años y es el eslabón que lidia con las consecuencias legales de un incidente de seguridad y a la vez es el encargado de establecer e implementar políticas relacionadas con la seguridad, identificar y supervisar el cumplimiento normativo y garantizar la privacidad de los datos. El término “cumplimiento normativo”, colegas, no es gratuito. Es quizás el mayor valor que pueden aportar al Directorio. Entonces, el CISO, debe sumar a sus conocimientos técnicos en ciberseguridad, aquellos relativos a las normativas que puedan afectar a esta faceta de la empresa. Así, debe estar al tanto de las leyes y directivas tanto estatales como europeas -o del país en el que opere o cotice-, para ajustarse a ellas y evitar a su compañía multas.  Y desde luego, conocer sobre análisis forense, para ver qué ha pasado en un incidente y recabar pruebas dentro del marco de la ley argentina. Hay que considerar que en este punto, la ley y la jurisprudencia es  restrictiva en el sentido que protege la privacidad del investigado. Es el abogado-CISO quien debe establecer los protocolos y controlar que se lleven adelante dentro del marco legal. Y ello aplica cuando deben investigarse deslealtades laborales, espionaje industrial o pérdida de información de terceros  en el marco de una incidente de seguridad. Las cuestiones legales parten de la bases que la evidencia digital que se encuentre debe ser preservada para que sea admisible si se presenta en un proceso judicial. Entonces, el CISO, debe sumar a sus conocimientos técnicos en ciberseguridad y preservación forense, aquellos relativos a las normativas aplicables.

 

De modo  que en vez de mirar con desconfianza a la tecnología, los abogados  pueden abrazarla para cumplir un rol útil y eficiente a la hora de proteger al Directorio de una empresa.

 

 

Opinión

Aportes irrevocables a cuenta de futuras suscripciones de acciones y nuevas normas de la IGJ: ¿resurgimiento como opción de financiamiento?
Por Dolores M. Gallo
Barreiro
detrás del traje
Diego Palacio
De PALACIO & ASOCIADOS
Nos apoyan