Susana González es abogada especialista en derecho digital y ciberseguridad, es directora de Hiberus LegalTech & CyberSec en Hiberus Tecnologías.
Los próximos 10 y 11 de marzo arranca en Zaragoza la segunda edición de CONpilar y Hack&Beers Zaragoza uno de los mayores eventos dedicados a la ciberseguridad que se organiza en España, que en esta edición estrena Hack&Kids con talleres para minihackers. Detrás esta una de las mayores especialistas en tecnología, Susana González Ruisánchez, actual directora de Hiberus LegalTech & CyberSec en Hiberus Tecnologías.
Lawyerpress (LP): Ciberseguridad y Hackers parecen dos términos muy alejados de la abogacía. A pesar de muchos esfuerzos parece que los abogados y la tecnología no casan muy bien. ¿Cómo surgió el CONPilar?
Susana González (SG): Abogacía y tecnología, desde mi punto de vista, van de la mano en el día a día y en cualquier asunto. Todo está teniendo implicación tecnológica. Los abogados tenemos que prepararnos también en conocer los entresijos de la tecnología y, además, completar nuestros equipos con técnicos informáticos, sobre todo en seguridad informática.
Dentro de mi especialidad, la seguridad de la información es la rama con la que más disfruto. Quizás también porque es la rama en la que más tengo que aprender día a día de la parte técnica con la que busco complementarme. Hoy por hoy cuento con grandes compañeros y amigos técnicos e investigadores en ciberseguridad con los que, además de trabajar, de vez en cuando compartimos buenos ratos de asueto, buena charla y cañas.
CONPilar surgió así, tomando unas cañas con amigos. Un buen día surgió eso de “Y si montamos una conferencia de ciberseguridad en Zaragoza?” y a los dos meses la celebramos con un éxito rotundo. Este año repetimos y hemos crecido, en iniciativa, apoyo de entidades colaboradoras, talleres, equipo… Y además lo celebramos en eTOPIA, el centro de arte y tecnología de Zaragoza, con el apoyo del Ayuntamiento y de La Terminal. Es un lugar muy tech, muy abierto, colaborativo y repleto de medios disponibles, así que estamos felices.
LP: La primera edición ya marcó un hito. ¿Qué esperamos de la segunda edición?
Con que este año los asistentes y medios nos den el feedback similar al del año pasado ya nos daremos por contentos y agradecidos. Lo cierto es que organizar una jornada de este tipo para un mínimo de 150 personas en dos jornadas con talleres para unos 35 niños, gratuito y en tiempo extra al trabajo es todo un reto.
Este año hemos crecido. La sede nos permite acoger a más personas y realizar más actividades. El reto es celebrarlo anualmente, que cada año podamos renovar ponentes de prestigio de ámbito nacional y dar también cabida a personas del sector tanto tecnológico, como legal tecnológico como de miembros y fuerzas de seguridad del estado de ámbito local y, además, tener la capacidad de aglutinar partners que con su apoyo nos permitan ofrecer toda la temática y actividades tratando lo mejor posible a todos los ponentes y colaboradores.
Este año la verdad es que estoy encantada con el cartel de ponentes tanto en Hack&Beers como en CONPilar como en los talleres de Hack&Kids. Un auténtico lujo contar, por ejemplo, entre nosotros con Jorge Bermúdez, con Paco Pérez Bes, Román Ramirez, Eloy Villa, Josep Albors, María José Montes, compañeros y amigos de la hermana HoneyCON, en fin… un largo etcétera que estoy segura es garantía de que todo salga perfecto por las ganas e ilusión que todos ponen en este encuentro. No hay nadie entre los ponentes y organizadores en la actualidad que haya puesto la más mínima pega, al contrario, la colaboración desinteresada es el máximo exponente. Algo mucho más habitual en el mundo hacker que en el de la abogacía, dicho sea de paso.
Al final, la que parece dar a cara en esto soy yo, pero la pura realidad es que no podría hacerlo sin la ayuda de personas implicadas conmigo en esto de forma totalmente desinteresada como Oscar Navarrete, Manuel Ruíz, Vicente Delgado, Pedro González y Eloy Villa y, desde luego sin la inestimable colaboración de entidades colaboradoras como el Ayuntamiento de Zaragoza y La Terminal, el Instituto Nacional de Ciberseguridad, eTOPIA y eTOPIA_Kids, así como a la imprescindible colaboración de DASIT, SA, ESET, WhatchGuard, Sincronet, Andrade Seguros-AXA, Eboca, Hiberus, Inveszar Detectives, CESTE, Arruabarrena, Informática Eloy y Coloriuris.
LP: Hack&Beers es otro elemento del congreso, pero suena más a diversión. ¿Qué es el Hack&Beers?
SG: El viernes 10 de marzo celebramos la II Hack&Beers de Zaragoza (#HBZaragoza) con charlas prácticas de hacking ético de la mano de Josep Albors de ESET, Oscar Navarrete y Rafael Otal así como miembros de DLABS HackersSpace.
En realidad Hack & Beers son quedadas para charlar sobre hacking acompañados de buenas cervezas. Es una idea que parte de mis queridos amigos Eduardo Sánchez y Miguel Ángel Arroyo en Córdoba, quienes consiguieron además que Sophos patrocine siempre una ronda de cervezas Califa, una cerveza artesana que viaja a cada Hack&Beers para ser degustada en cada evento.
Cualquier persona a la que le guste la seguridad informática puede acudir para aprender, conocer, hacer networking y pasar un buen rato.
LP: La ciberseguridad no parece que se haya convertido aun en un tema prioritario, ni en España, ni en el sector legal. Pero sí tenemos constancia de ataques a despachos como a Senn Ferrero, o a algunos despachos de la Castellana en Madrid. ¿Cómo está el estado de la ciberseguridad en los despachos de abogados?
SG: Un despacho de abogados es, como cualquier otra empresa, un blanco para cualquier cibercriminal, por la cantidad y sensible información que maneja en sus sistemas informáticos. El gran problema es que, al igual que muchas empresas están ya no sólo concienciadas sino en un proceso de mejora constante de su securización para minimizar riesgos, en la abogacía todavía queda mucho por alcanzar lo primero. Es como que todo lo que huela a informática espanta, cuando realmente estamos digitalizados en un alto porcentaje. Sólo acepto que me diga que no está digitalizado el abogado que me asegure que ni siquiera tiene un Smartphone.
El estado actual es que salvo los despachos más grandes o los que ya han sufrido una pérdida absoluta de la información, con la consiguiente pérdida de productividad e incluso incumplimiento de plazos y compromisos, el resto ni tan siquiera ha evaluado su nivel de exposición, lo que es básico para empezar a conocer qué medidas técnicas y organizativas deben implementarse para minimizar los riesgos. Este déficit conlleva a que cuando sucede un ataque, una caída del sistema total o robo de información confidencial, ni tan siquiera se puede activar un plan de recuperación ante la contingencia, porque no existe. Se producen auténticas situaciones de caos en el que no existe un responsable asignado, no hay un rol conocido por todos que sepamos qué tiene que hacer. De pronto, todo desaparece y nada tiene demasiado sentido. De pronto todo el mundo se da cuenta que se ha menospreciado la inversión en seguridad.
A mí es un tema que me preocupa seriamente, ya que creo que deberíamos predicar con el ejemplo teniendo además reforzadas obligaciones de confidencialidad, secreto profesional y protección de datos. Pero en España estamos muy acostumbrados a funcionar a base de robo o sanción.
Todos somos objeto de ciberataques cada día y, en la mayor parte de los casos, ni siquiera nos enteramos. Además, aun cuando tengamos medidas de seguridad para minimizar el riesgo, no vamos a poder erradicarlo nunca 100%. Cada día los ataques son más sofisticados y avanzan a una velocidad complicado de controlar. Lo necesario es conocer bien qué riesgo es para nosotros inadmisible y priorizar su protección.
LP: Ya que le tenemos aquí hay que pedirle unos cuantos consejos rápidos para protegernos ante los cada vez más frecuentes ciberataques.
SG: Podríamos dar recomendaciones para la navegación, para el uso de dispositivos extraíbles, para la securización de sistemas, para compartir en redes y foros, de configuración de cuentas, de políticas internas en el uso de dispositivos móviles corporativos, para la securización del entorno hogar… pero voy a sintetizar algunas generales que hoy por hoy son muy básicas:
- Hacer copias de seguridad periódicas y en remoto y protegidas con contraseña y/o cifrado, si es posible; para poder recuperar la información en caso de pérdida o indisponibilidad.
- Tener antispam en el servidor de correo electrónico, limitar la descarga por defecto de imágenes y archivos, deshabilitar la opción de ejecución de macros y scripts y utilizar certificados SSL o TLS.
- Desconfiar de redes wifi públicas, dispositivos USB, archivos adjuntos y enlaces de origen desconocido que puedan contener e introducir malware en equipos y dispositivos. Basta que un dispositivo entre en contacto con un virus para que con sencillas técnicas de propagación se infecte toda la red.
- Asegurar nuestra red, cambiando la contraseña y nombre por defecto.
- Descargar e instalar aplicaciones desde markets oficiales, revisar los permisos de acceso antes de instalar y las políticas de privacidad o términos y condiciones antes de comprar por Internet o ceder información sensible.
- Mantener en privado la información personal (contraseñas, ubicación, información de salud, domicilio, número de cuenta bancaria…).
- Proteger también los móviles (antivirus, cifrado, no previsualización de notificaciones, autenticación a dos pasos de acceso a cuentas, código de bloqueo/huella, etc.).
- Actualizar siempre, tanto sistema operativo, antivirus y aplicaciones. Las actualizaciones suelen incluir parches de seguridad frente a vulnerabilidades detectadas.
- Utilizar contraseñas fuertes, diversas y renovadas. Hoy por hoy sigue siendo vital.
- Evitar la navegación que no funcione bajo https.
- Evaluar el riesgo de seguridad, tomar medidas, mantenernos al día, tener un plan de recuperación ante desastres y, sobre todo concienciar y sensibilizar a todo aquel que trabaje con nosotros o forme parte del entorno con privilegios sobre la información propia y de terceros de la que somos responsables directos.
LP: Y la última antes de felicitarla por éste congreso: ¿Cómo ha conseguido reunir tantas instituciones y empresas que apoyan a éste evento?
SG: Sólo he tenido que coordinar la colaboración. La inmensa mayoría de las entidades colaboradoras y patrocinadores han dado un paso al frente de forma ágil. Me temo que más bien es que se trata de empresas concienciadas en ciberseguridad que conocen la alta importancia de acercar estos temas a la ciudadanía. De verdad que el mérito es de ellos, yo sólo les he hecho el planteamiento y a partir de entonces, cuestión de coordinar lo que ya funciona de forma ejemplar.