Entrevistamos a Eduard Chaveli con ocasión de la reciente celebración del Congreso FORO GRC AEC - Privacidad - IA - Ciberseguridad.
1.- Hola Eduard, para empezar y pensando en aquellos de nuestros lectores que podrían estar interesados en asistir a este evento, podría contarnos, ¿En qué ha consistido este congreso y a quién va dirigido?
Este Congreso ha sido el germen del Foro GRC (Gobierno, Riesgo y Cumplimiento), que nace desde el legado de los tres diferentes ecosistemas que ya tenía la AEC (el club DPD, el Club del CISO y el Foro GRC en IA) y de los que Govertis, como parte de Telefónica Tech la ha acompañado durante todo este tiempo como partner esencial.
La semilla empezó a germinar hace años, dado que el primero de los tres verticales que lo componen (el Club del DPD) nació ya en el año 2018) y al mismo se le unieron el año pasado el Club del CISO y el FORO GRC en IA como parte de la Comunidad de IA de la AEC y que juntos tienen cerca de 700 miembros.
La idea es que ahora estos verticales se mantengan, pero bajo el paraguas de este FORO GRC.
Por lo que se respecta a quien va dirigido, hay que considerar que si desde hace años ya se aboga en la mayoría de los ámbitos por un enfoque mayoritariamente multidisciplinar (y en muchos casos interdisciplinar), cuando aterrizamos al ámbito de GRC en tecnologías de la información (TI) esto se ve en todo su esplendor. Pongamos un ejemplo para visualizarlo. El Reglamento de Inteligencia artificial ha recogido una novedad: las evaluaciones de impacto en derechos fundamentales. En las mismas se debe involucrar a diferentes perfiles: CISO, CIO, DPO, Data scientist, HR staff member, Domain Expert, Legal Advisors, Algorith developer y otros perfiles. Como vemos, de entre los involucrados hay algunos profesionales del ámbito GRC que tienen diferentes perfiles (técnicos, jurídicos etc.). Algunos de esos perfiles ya estaban en estos ecosistemas como los DPDs o CISOs por ejemplo, pero hay otros que se van añadiendo.
Este FORO GRC quiere ser el “espacio común” de todos los profesionales GRC: su casa.
2.- ¿Qué supone y por qué se decide organizar esta primera edición del congreso?
Precisamente la interdisciplinariedad mencionada requiere coordinación y – por tanto –el diálogo entre dichos profesionales. Exige - por tanto - un espacio de referencia en el que, después de escuchar a profesionales que están avanzando y que muestran sus experiencias e inquietudes, poder compartir las mejores prácticas y “discutir” sobre soluciones y conseguir mejoras.
A partir de la relación y escucha, tanto en el congreso como en los eventos periódicos y en el día a día del Foro GRC, se derivarán consecuencias, como tener que atender nuevas necesidades de formación y certificaciones, a añadir a las que ya se vienen ofreciendo desde cada uno de los tres verticales. Por último, también se pretende que dicho foro sirva de canal para poder destilar propuestas de cambios normativos u otras acciones y trasladarlos a las autoridades competentes, así como colaborar en la elaboración de papers y guías en dichos ámbitos.
3.- ¿Por qué celebrarlo en este momento, que tiene de especial?
Que se produzca la unión de estos verticales en este momento entorno al FORO GRC y que celebremos ahora este Congreso no es casual sino causal. En este momento convergen: por un lado, una revolución tecnológica (a la que algunos llaman Cuarta Revolución Industrial o Industria 4.0.) con un auténtico “tsunami digital”, como mencionaba el recién nombrado Presidente de la AEPD, Lorenzo Cotino, en su toma de posesión, y del que se ha derivado y aún quedan y llegarán ecos de la consiguiente marea regulatoria. Y ello exige parar, entender qué está sucediendo y hacia dónde vamos, asentar conceptos y conocimientos que nos permitan, sobre una base sólida, avanzar con seguridad jurídica en esta auténtica telaraña normativa en la que vivimos. Y para ello es necesario foros dónde se comparta esa realidad, esos conocimientos y, esas diferentes metodologías desde la visión de diferentes perfiles y perspectivas resolver las múltiples cuestiones que se plantean en la encrucijada de caminos normativos.
4.- Teniendo en cuenta que el congreso se va a centrar en temas de privacidad, IA y ciberseguridad, ¿Cuáles son los principales retos en estas tres áreas de interés que se plantean a corto plazo?
Derivado de la vorágine legislativa que vivimos, uno de los principales retos a los que se enfrentan los profesionales del ámbito GRC vinculados al ámbito TI es conocer y digerir toda la maraña legislativa existente para conseguir su implementación efectiva.
Si nos centramos en Ciberseguridad y aunque llevamos años de avances, el reto es avanzar en una mejora continua de la ciberseguridad para gestionar normativamente dichos riesgos y después en el “campo de trabajo”. No podemos siquiera enumerar los numerosos retos como una enorme dependencia de la interconexión de los sistemas, redes y dispositivos (internos y externos), aumentando el riesgo de ciberataques y la filtración de datos, lo que enlaza con el control de la cadena de suministros; los derivados de la falta de estandarización en el desarrollo de sistemas y componentes, lo que ocasiona una mayor dificultad a la hora de aplicar medidas de seguridad unificadas y consistentes, y un largo etcétera…
En materia de Protección de datos no podemos olvidar que el activo dato de carácter personal, como parte de la información, exige que los profesionales de la protección de datos estemos más musculados en la parte de seguridad de la información dado que sólo desde una visión integral se pueden aportar soluciones válidas. Tampoco podemos olvidar que el alimento de la IA son los datos y, muchas veces, datos de carácter personal. Por ello la IA sitúa a los profesionales de la privacidad ante retos que afectan y “estresan” muchos de los principios, obligaciones y derechos del RGPD y requieren una solución que las armonice.
En materia de GRC IA el reto es conseguir que la IA sea respetuosa con la protección de datos y con todos los derechos fundamentales; y asimismo entender que la ciberseguridad es esencial para garantizar que los sistemas de IA resistan a las actuaciones de terceros maliciosos. Las alforjas que traemos desde la seguridad de la información y la protección de datos con conocimientos ya maduros sobre temas como por ejemplo los análisis de riesgos o las evaluaciones de impactos nos sirven mucho pero no son suficientes pues hay que entender la lógica de la IA y del Reglamento de Inteligencia Artificial (RIA) y encajar las intersecciones.
5.- ¿Cuáles son las principales tendencias regulatorias que van a marcar el futuro profesional GRC?
Como decíamos ha habido muchos cambios legislativos en los últimos años, tantos que es imposible enumerarlos sin abrumar. Asimismo, nos encontramos, tanto a nivel europeo como nacional, con legislación que se está gestando, como por ejemplo la Ley de Solidaridad Cibernética de la UE o la Ley de Coordinación y Gobernanza de la Ciberseguridad, cuyo anteproyecto fue aprobado el pasado mes de enero, que transpone la Directiva NIS2 y refuerza el Esquema Nacional de Seguridad (ENS) en su cumplimiento.
El futuro de la normativa de ciberseguridad en España se centrará en mejorar la protección frente a las ciberamenazas, especialmente en sectores clave, y promover la colaboración entre el sector público y privado. Un gran protagonismo tendrá el CCN con la adaptación y actualización de los Perfiles Específicos de Cumplimiento del ENS, y el propio ENS, en lo concerniente a las medidas y los requisitos necesarios para una eficiente defensa en ciberseguridad.
Por su parte en materia de protección de datos, parece que la clave va a estar, a nuestro entender, en: por un lado, continuar el proceso “que ya inició el RGPD” (no en balde en su mismo título se refiere a la libre circulación de los datos, muchas veces olvidada) y otras normas sobre reutilización de datos, de entender que los datos (también los personales) son un activo que, desde la protección al interesado, no dejen de alinearse con el “negocio” en el sentido holístico de la expresión. Por otra parte, y vinculado al big data, hay aspectos que van a ser tendencia, tales como la anonimización (que es esencial para encontrar soluciones para equilibrar la utilidad de los datos con la protección de la privacidad), la gobernanza, la transparencia y la ética en el uso de algoritmos. Y todo ello sin olvidar la histórica necesidad de un enfoque más armonizado en la aplicación de normativas internacionales, especialmente en un contexto de conflictos transfronterizos y jurisdicciones múltiples.
Y la anterior reflexión me lleva a hacer referencia a que a toda la ingente legislación mencionada hay que añadir la maraña de estándares como los de ISO que, desde buenas prácticas a nivel global, nos permiten “completar en parte ese gap de falta de regulación global”
6.- ¿RIA & RGPD por un lado, NIS2 & ENS por otro, qué suponen y cómo se complementan?
Por un lado, el maridaje entre el RGPD y RIA tiene diversos hilos que deben de estar armonizados. Sólo por citar algunos ejemplos: desde la propia definición de la posición que en protección de datos pueden ocupar en cada caso los diferentes actores que contempla el RIA (el proveedor, el responsable del despliegue etc.); la selección de la correcta base jurídica de legitimación (que puede ser distinta para cada una de las distintas fases); pasando por la previsión específica que en el contexto del Gobierno del Dato establece el RIA a la excepción de la prohibición de tratamiento de datos de categorías especiales para la detección y corrección de los sesgos. Asimismo, el el RIA hace distintas menciones sobre la gestión de riesgos, con especial foco en los riesgos para los derechos y libertades fundamentales, siendo especialmente interesante las novedosas evaluaciones en derechos fundamentales que pueden tener relación con las evaluaciones de impacto en protección de datos. Otro ejemplo interesante es la necesaria regularización de las transferencias internacionales de forma coherente con los flujos de datos que identifiquemos en nuestros sistemas de IA. Por último, está lo relativo a la transparencia vinculada a explicabilidad y la supervisión humana en decisiones automatizadas que serán inexcusables. Estos valores subrayan la importancia de contar con profesionales GRC que destaquen por su competencia, cualificación técnica y formación específica, la independencia y los medios materiales y temporales disponibles para ejercer su función adecuadamente.
Por otro lado, por lo que respecta a ENS y NIS2 (en su futura transposición al ordenamiento jurídico español con la Ley de Coordinación y Gobernanza de la Ciberseguridad), suponen hacer realidad un objetivo común, homogeneizar y garantizar a nivel europeo la protección adecuada de la información tratada y de los servicios prestados utilizados por medios electrónicos, asegurando la disponibilidad de los servicios, y el acceso, confidencialidad, integridad, autenticidad, trazabilidad y conservación de la información.
Los principios básicos, los requisitos mínimos y las medidas de seguridad recogidos en el ENS tienen correlación directa con los requisitos, obligaciones y medidas para la gestión de riesgos de ciberseguridad de NIS2. Existe tal complementación de ambas normas que, aquellas entidades dentro del ámbito de aplicación del ENS, que dispongan de un Certificado de Conformidad de categoría ALTA o MEDIA (y en algún caso excepcional, de categoría BASICA con refuerzos), se entiende que directamente cumplen con las medidas requeridas por la NIS2, y para aquellas entidades que, aunque no estén sujetas al ámbito de aplicación del ENS, busquen su cumplimiento, el CCN pone a su disposición la Guía CCN-STIC 892 Perfil de Cumplimiento Específico para NIS2, en cumplimiento de lo detallado en el anteproyecto de la Ley de Coordinación y Gobernanza de la Ciberseguridad, en el que determina que las medidas de seguridad técnicas, operativas y de organización, adecuadas y proporcionadas, tomarán como base las contempladas tanto en el ENS como en normas técnicas europeas e internacionales equivalentes.
7.- IA + Ciberseguridad plantea si el compliance en materia de ciberseguridad cabría o no automatizarse para facilitar la gestión GRC, ¿lo cree posible? ¿lo cree positivo?
Desde luego no sólo lo creo posible sino ineludible. Y lo creo también positivo. Ejemplos puede haber muchos, pero cito algunos como el uso de algoritmos de aprendizaje automático en la evaluación de riesgos, ayudando a identificar y evaluar riesgos de manera predictiva, basándose en datos históricos y patrones emergentes. También pueden ayudar en los procesos de cumplimiento: tanto en la elaboración de documentos requeridos como en la búsqueda y selección de disposiciones legales, normas, resoluciones judiciales y administrativas, guías e informes de las autoridades etc.
La IA no sustituirá a los especialistas en GRC vinculados a marcos normativos TI, sino que aquellas organizaciones y especialistas que no se sirvan de estas tecnologías como herramienta de trabajo estarán en condiciones francamente de desventaja respecto de los que sí que lo hagan. No obstante, esto es un camino y al igual que creo lo anterior, tampoco nos podemos abrazar a la IA como la panacea y olvidar: por un lado, que aún le queda tiempo para madurar, que tiene que ser entrenada debidamente y que al igual que ya no tendrá sentido profesional sin IA en un futuro cercano, tampoco lo debe de tener la IA sin profesional. Humano más IA no sólo suma, sino que multiplica.
8.- Para terminar, ¿por qué recomendarías a nuestro público lector compuesto por profesionales y usuarios del mundo del derecho y la información jurídica, asistir a los eventos del FORO GRC, juntamente con otros profesionales de ámbitos como la Ciberseguridad y la IA?
Porque teniendo en cuenta todo lo comentado en las preguntas anteriores: la vorágine legislativa, la necesidad de actualización constante de conocimientos que ello supone, la necesidad de compartir experiencias, inquietudes y problemas y escuchar otras opiniones y buscar soluciones, es necesario estar en este espacio de referencia, y en él la “parte jurídica” tiene un peso fundamental.
*********
¿Quién es Eduard Chaveli Donet?
He aquí un breve perfil académico y profesional:
Le gusta la actividad de investigación por lo que ha participado como coautor en numerosos libros y ha escrito diversos artículos especializados en el ámbito del derecho TI.
Cuenta en X (twitter): @eduardchaveli
Cuenta en linkedin: https://www.linkedin.com/in/eduardchaveli/