ENTREVISTA

Agustín Lerma: "En el ámbito de la ciberseguridad el impacto de perder propiedad intelectual de terceros es mayor que la pérdida propia"

Entrevista
Agustin Lerma

Entrevistamos a Agustín Lerma, Experto Técnico en TI para el sur de Europa de Lloyd´s Register, con ocasión de la celebración del Día Mundial de la Propiedad Intelectual.

1.- Hola Sr. Lerma, hemos superado ya el primer año de crisis pandémica y, ente otras consecuencias, se está evidenciando en las corporaciones la necesidad de saber gestionar la ciberseguridad a la hora de proteger la información de las organizaciones. ¿Es la confianza digital el gran valor actual de nuestras empresas, “el nuevo oro líquido”?

En realidad, el oro líquido es la información, y es cierto que, a consecuencia de las acciones implementadas como consecuencia de la crisis pandémica, las condiciones para proteger este valor de las organizaciones se han complicado.

Y la propiedad intelectual es uno de los componentes más importantes de los activos de información de una organización.

Donde antes había una oficina, ahora hay una oficina por cada empleado que trabaja desde su casa. Además de la ciberseguridad, también hay que considerar la seguridad física, la seguridad asociada a las personas, y las nuevas opciones de la continuidad de negocio, todo ello para proteger ese oro líquido que es la información.

Coordinar todos esos elementos para proporcionar seguridad y confianza digital, hacerlo de forma sistemática y disciplinada, de acuerdo con las características específicas de una organización o corporación plantea una situación compleja, y que requiere de una herramienta adecuada.
Además, una parte importante de la confianza digital se basa en cumplir con los requerimientos legales, regulatorios y contractuales que afectan a la protección de la información propia y de terceros, a datos de carácter personal, y también a la propiedad intelectual de las empresas, y a la información compartida con nosotros por clientes y socios.

Creo que la herramienta apropiada es un sistema de gestión de seguridad de la información, de protección de la privacidad o de cumplimiento legal. Estos sistemas de gestión se definen de acuerdo con normas internacionales ISO y son auditables y certificables.

Lloyd’s Register es una entidad de certificación acreditada para certificar esos sistemas de gestión ISO, y de esta manera contribuimos a crear confianza digital.

2.- ¿Cómo están nuestras empresas y resto de organizaciones en materia de protección frente a las ciberamenazas en relación con el resto de los países europeos de nuestro entorno?

La coordinación técnica de auditores y la realización de auditorías de sistemas de gestión son las dos principales actividades profesiones que llevo realizando desde 2006. Esta actividad me ha permitido realizar auditorías de sistemas de gestión prácticamente en todo el mundo, y en especial en Europa.

Cuando auditas uno o varios sistemas de gestión, tienes una visión completa de la situación de una organización, y el criterio de auditoría establece un baremo homogéneo para comparar.

Por esto, creo que las organizaciones españolas que disponen de sistemas de gestión y de certificados que evidencian cumplimiento, están igual y en muchos casos, mejor que el resto de países europeos.

Otro factor importante a tener en cuenta para poder establecer dónde estamos en comparación con nuestros socios europeos, es el marco legal y regulatorio definido.

En España, gracias principalmente a un marco legal definido en los últimos años (LOPD, Ley de Propiedad Intelectual, Ley de Protecciones Infraestructuras Críticas) y a entidades gubernamentales como el CCN e INCIBE, tenemos elementos suficientes para estar en cabeza, siempre y cuando pongamos esfuerzo y disciplina, lo que se llama compromiso de la Dirección.

Disponemos de muchos y buenos profesionales de ciberseguridad, aunque las condiciones y salarios en España facilitan su salida a otros países europeos, donde son bien apreciados, especialmente los jóvenes.

3.- ¿Hasta qué punto las empresas tienen la responsabilidad de contar con este tipo de herramientas de ciberseguridad ya que un robo de propiedad intelectual no solo afecta a los datos propietarios de la empresa sino que en muchas ocasiones impacta en la información de clientes o partners?

Hace tiempo que el objetivo de la seguridad de la información y de la ciberseguridad es proteger los activos de información compartidos por clientes y socios, más que los activos propios. El valor de todos ellos es alto, pero el impacto de perder propiedad intelectual de terceros es mayor que la pérdida propia, especialmente en términos de imagen y reputación.

La protección de la propiedad intelectual es un requerimiento obligatorio de un sistema de gestión ISO, y un motivo claro para no obtener un certificado o perderlo en una auditoria de certificación es un incumplimiento legal en seguridad de la información, donde está incluida la propiedad intelectual.

Otro caso especial de información con valor o impacto de pérdida importante es la información personal (o datos de carácter personal) para los que una gestión incorrecta podría acarrear sanciones económicas muy importantes.

En este caso, podemos considerar una herramienta de soporte al cumplimiento de este requerimiento legal que es la LOPD: un módulo de control extendido (ISO 27701) para datos de carácter personal, asociado a un sistema de gestión de seguridad de la información (ISO 27001).

4.- Es cierto que la economía está cada vez más interconectada y que las empresas en los negocios intercambian cada vez más información, por lo que resulta prácticamente imprescindible invertir en protocolos de ciberseguridad. ¿Cómo se podría concienciar a las compañías sobre esta nueva necesidad?

La interconexión digital proporciona oportunidades, pero también habilita amenazas nuevas. La mayoría de las organizaciones protegen la información en su organización, pero no es habitual encontrar organizaciones que se planteen una visión global del flujo de información con terceros (proveedores, clientes, socios, administración, medios).

Para poder determinar las medidas de protección necesaria en los intercambios de información con terceros es necesario intentar conocer el riesgo de estas situaciones, las amenazas presentes, y plantear medidas de protección realistas y proporcionales al valor de la información compartida.

Conocer el riesgo asociado a esas situaciones de intercambio, y los diferentes impactos que se podrían producir, ayuda a las organizaciones a concienciarse de la necesidad de proteger los activos de información en todo el ciclo de uso y compartición.

5.- Y en materia de protección de los secretos empresariales ¿cómo podemos proteger este importante activo?

A veces, es difícil establecer el valor correcto de activos de información, o incluso ser conscientes del valor de activos de información, o de la propiedad intelectual.

Esta circunstancia es más acentuada en las empresas pequeñas y medianas, y en sectores como salud, asesoramiento legal, ingenierías, agencias de publicidad y marca, desarrollo de software y consultoras tecnológicas.

La medida adecuada de protección también es un sistema de gestión definido por estándares ISO. Esta herramienta puede ser definida para todos los tipos y tamaños de empresa. Pero hay que ser conscientes de que para mantener un sistema de gestión activo y eficaz, hay que dedicarle tiempo, esfuerzo y recursos.

La seguridad de la información es un componente de negocio necesario como cualquier otro como las TIC, los recursos humanos, o la calidad.

6.- ¿Son los seguros de ciber riesgo la mejor opción para afrontar esta situación?

El tratamiento de riesgo se basa en cuatro opciones básicas, evitar, transferir, tratar y aceptar. La mayoría de los planes de tratamiento de riesgos incluyen varias de esas cuatro opciones. Una póliza de seguro de ciber riesgo entraría dentro de la opción de “transferir”: Compartimos el riesgo con un tercero mediante un contrato.

Junto con acciones asociadas a las otras tres opciones, un seguro es un componente más de un plan de tratamiento de riesgo.
Los problemas más habituales de un seguro de ciber riesgo son su adecuabilidad al objeto y la dimensión de la empresa que suscribe la póliza y la calidad en la descripción de los supuestos que incluye.

Adicionalmente, la oferta de seguros en España es todavía escasa y la mayoría de las organizaciones no tienen en consideración esta opción de tratamiento de riesgo.

7.- En materia de ciberseguridad hay sectores empresariales en los que el amparo de la propiedad intelectual corre más riesgo, como son los de telecomunicaciones, servicios financieros y profesionales, así como la innovación y la creatividad... ¿hasta qué punto es importante poner en valor la protección de la información en el resto de los sectores y qué ofrece Lloyd´s Register a tal efecto?

Los auditores de LR son profesionales especializados, y están al tanto de las novedades legislativas que pueden afectar a la seguridad de la información, la privacidad y la protección de activos de información, en algunos casos de forma específica para la propiedad intelectual como:
- Código de Propiedad Intelectual
- Ley 1/2019, de 20 de febrero, de Secretos Empresariales

Una auditoria de certificación de un sistema de gestión de seguridad de la información definido según ISO 27001 establece una revisión de cumplimiento en cuanto a la identificación de los requisitos de protección específicos derivados de la aplicabilidad de cualquier requerimiento legal (EU GDPR, Propiedad Intelectual, Propiedad Industrial, etc.) que afecte a los activos de información, entre otros la propiedad intelectual. De hecho, existe un control especifico dentro del Anexo A incluido en la ISO 27001, el control A.18.1.2, Derechos de propiedad intelectual.

El alcance incluido en los certificados para Sistemas de gestión de seguridad de la información ISO 27001, incluyen una referencia a la Declaración de Aplicabilidad de la organización, que incluye todos los controles que esa organización aplica. Es posible comprobar si los controles relativos a cumplimiento legal se aplican y cumplen, y en concreto para ese control A.18.1.2.

Por lo tanto, un certificado acreditado emitido por LR para un sistema de gestión de seguridad de la información ISO 27001 aporta la evidencia de una revisión de cumplimiento periódica (auditoria) para la empresa titular del certificado, incluyendo requerimientos legales y regulatorios relativos a la seguridad de la información.

8.- Y, para terminar, pensando en nuestro público lector mayoritario compuesto por profesionales del mundo del Derecho ¿qué puede ofrecer Lloyd´s Register a los abogados y asesores a la hora de facilitarles la gestión y protección de la propiedad intelectual propia y la de sus clientes?

El ámbito de auditoria y certificación acreditada de sistemas de gestión ISO incluye sistemas de gestión como:
- ISO/IEC 27001:2013 > Seguridad de la información
- ISO/IEC 27701:2019 > Protección de datos de carácter personal
- ISO 37001 :2016: > Protección antisoborno
- ISO 37301:2021: Sistemas de Compliance

Desde Lloyd’s Register venimos trabajando en interpretar correctamente los requerimientos de estas normas relacionadas con la gestión y protección de la propiedad intelectual propia y la de las partes interesadas (clientes, socios, proveedores, etc.), y a reconocerse entre iguales en el cumplimiento de los requisitos de seguridad de la información, privacidad, gestión de requisitos legales, etc. mediante certificados acreditados.

Perfil profesional de Agustín Lerma.