Susana González Ruisánchez
- “Hay que hacer un gran esfuerzo pedagógico para este tipo de empresas. Cuando hablas de la parte legal tecnológica con las pymes te das cuenta que es su prioridad treinta y tres. Se mueven a golpe de sanción o reacción ante incidencias: fugas o robos de información, extorsión, etc”
- “Determinadas noticias como las de Ashley Madison o, más cercana, la de las filtraciones de los Papeles de Panamá dejan claro que existen múltiples riesgos para las empresas si no planifican bien la seguridad de su información más allá de la protección de datos. Hay que trabajar siempre que se pueda de forma preventiva”
Del despacho a directora de la división legal tecnológica dentro de un grupo empresarial consolidado como Hiberus TECNOLOGÍA con más de setecientos trabajadores. La trayectoria de Susana González ha dado un giro de ciento ochenta grados cuando el presidente de la firma Ricardo Mur le propone a nuestra interlocutora ser la responsable de esta nueva división, centrada en la consultoría y asesoramiento legal tecnológico, Hiberus Legal Tech.
Atrás quedan 22 años de ejercicio profesional en el despacho CARNICER Y ZAMORA, SL, donde nuestra interlocutora ejerció de abogada todoterreno; gestión de asuntos, acudir al juzgado y desde pronto introducir la tecnología en la firma. “Asumo el reto de salir de mi zona de confort para enfrentarme a este nuevo desempeño profesional en el entorno empresarial en el que creo que mi experiencia como abogado tecnológico aporta valor a los servicios integrales”, apunta nuestra interlocutora, a quien se le ve con mucha ilusión por este nuevo desafío que afronta.
Hablamos con ella cuando encontramos un hueco de trabajo en su apretada agenda. Para esta experta en derecho digital, muchas empresas, especialmente pymes, aun no se han dado cuenta del trabajo que hacen los abogados expertos en derecho y tecnología: “cuando tienen una incidencia, en forma de robo o sanción importante, nos llaman, pero la prevención en la parte legal tecnológica todavía es su prioridad treinta y tres”, apunta.
Después de veintidós años en una firma como Carnicer y Zamora SL, ¿con qué recuerdos se queda ahora que ya está fuera de dicha estructura?
Es curioso, pero afloran a la mente los momentos de mis inicios profesionales cuando cursaba cuarto de carrera. Recuerdo aquel primer día en el que tuve la oportunidad de saludar a mis nuevos jefes y agradecer a Carlos Carnicer la suerte de que se me concediera dicha oportunidad.
Recuerdo que me dijo que la suerte era una línea de alta tensión que circulaba a metro y medio por encima de nuestras cabezas y que solamente la alcanzaba el que estuviera constantemente saltando.
Desde ese momento hubo muchos hitos interesantes; empecé a ocuparme de asuntos civiles y mercantiles hasta que desde 2004-2006 asumí la parte de nuevas tecnologías de la firma.
Recuerdo que planteé en el despacho asumir estos temas tecnológicos y fue especialmente la figura de Carlos Carnicer quien respaldó esta iniciativa por su carácter innovador.
Creo que es usted una abogada muy atípica, muy cercana a la tecnología y también próxima a la comunicación, dos elementos que muchos colegas suyos prefieren ver lejos...
Siempre tuve claro que el sector jurídico debía dedicar tiempo a ambas actividades. Antes de estudiar Derecho me planteé hacer marketing y comunicación. En aquel momento en Zaragoza esta carrera no era oficial pero completé esta formación ya en el ejercicio profesional en Carnicer & Zamora donde he desempeñado funciones de comunicación corporativa del despacho además de mi trabajo como abogado, de lo que siempre guardaré un grato recuerdo. He aprendido mucho al asumir ambas tareas en estos años.
En esta primera parte de su carrera profesional de usted hay un nombre que surge con fuerza que es el de Carlos Carnicer ¿Qué puede decirnos que nadie sepa?
Carlos ha sido para mí el mejor maestro de mi carrera profesional. Destaco su capacidad de trabajo, su cercanía y humanidad.. Para mí los miembros de Carnicer y Zamora tras 22 años juntos son como mi familia. Mi relación con Carlos siempre ha sido estrecha y de apoyo constante. He aprendido mucho de él. Como profesional es muy estricto y exigente con el trabajo, y posee el don de una brillante oratoria, de lo que los que estábamos a su lado hemos aprendido mucho.
¿Esa exigencia profesional va a ser un elemento característico de Susana González como directora de una empresa?
Por suerte o desgracia, para mí el trabajo es una prioridad. Me apasiona lo que hago y le dedico una parte mayoritaria del tiempo. Por eso soy exigente y metódica tanto conmigo misma como con la gente que trabaja conmigo. Trabajo aplicando procesos desde hace años para poder llegar a todo. Ahora en Hiberus Legal Tech mi desempeño es directivo además de ejecutivo del derecho, debiendo abarcar muchas áreas de trabajo. Todavía me estoy adaptando a una estructura completamente diversa a la de un despacho mediano, pero soy consciente de que es cuestión de tiempo adaptarme a esta nueva estructura.
De todas formas, ahora va a tener enfrente a despachos de abogados en muchas ocasiones, como clientes o partners, ¿Haber estado ahí antes es una ventaja, verdad?
Actualmente en todos los despachos se están llevando asuntos con implicación tecnológica, por lo que la transformación digital del sector jurídico es un hecho. Aún existen muchos bufetes que no cuentan con las clásicas bases de datos de clientes y facturación que te ayudan en la gestión diaria del tiempo y trabajo de cada abogado.
Los despachos tienen que mejorar sus servicios y, además, encontrar tiempo para gestionar. Salvo en algunas grandes firmas cuya dirección o gestión es realizada por profesionales expertos en gestión empresarial, lo habitual es que la gestión del despacho la lleven los propios abogados que ejercen, siendo complicado obtener un óptimo resultado, quizás por falta de capacitación y competencias para hacer esa gestión y seguro por falta de tiempo.
El concepto de derecho digital es muy transversal pero aún muchos abogados no lo han asumido realmente...
Eso es cierto. De hecho, desde Hiberus Legal Tech asesorar empresas en todas las implicaciones legales de la tecnologías y seguridad de la información, pero también asesoramos a abogados dado que muchos asuntos tienen un trasfondo tecnológico que se debe conocer.
Que todos los días nos encontremos con noticias tecnológicas que hablan de privacidad, phising o vulneración de derechos, ¿Cómo hay que entenderlo?
Creo que tiene su vertiente positiva. La normativa a nivel tecnológico es escasa y, desde el punto de vista práctico en muchas ocasiones son los tribunales quienes nos dan las pautas con sus resoluciones, tal y como ha pasado con el derecho al olvido.
Determinadas noticias como las de Ashley Madison o, más cercana, la de las filtraciones de los Papeles de Panamá dejan claro que existen riesgos cuando en materia de seguridad de la información no se hacen las cosas adecuadamente. Al final se trata de apostar por el derecho preventivo para, desde la concienciación y aplicación de controles y medidas, conseguir minimizar el riesgo empresarial.
Minimizar el riesgo porque los ciberataques según ustedes los expertos son inevitables...
Desde luego, es necesario actuar con cautela y eficacia para evitar las fugas de información que pueden hundir la reputación de cualquier empresa, causarles la paralización o pérdida de producción y cuantiosas reclamaciones de clientes o proveedores. Contar con un buen equipo de profesionales expertos en seguridad y ciberseguridad es clave para cualquier empresa.
La seguridad absoluta no existe en el mundo físico. Tampoco existe en Internet. Lo que sí se puede es minimizar esos riesgos sabiendo cómo hacerlo.
Es un buen dato que según varios estudios el 70 % de las empresas hacen copias de seguridad de su información. Sin embargo, si – por ejemplo - se sabe que se reciben casi a diario ataques a sistemas que se traducen en fugas de información, quizás haya que intensificar su periodicidad y pasar a hacer estas copias una vez a la semana e incluso a diario y automatizadas, dependiendo del nivel de riesgo asumible o inaceptable que cada empresa determine. El nivel de exigencia en seguridad es cada vez mayor pero es necesario.
El gran problema está en las pymes: hacerlas entender que este tipo de protocolos e inversiones en seguridad son necesarias...
Hay que hacer un gran esfuerzo pedagógico para este tipo de empresas. Cuando hablas de temas legales tecnológicos con las pymes te das cuenta que es una prioridad treinta y tres. Se mueven a golpe de sanción o reacción ante incidencias: fugas o robos de información, extorsión, etc. Las políticas de prevención tienen más efecto y son más económicas que el parcheo y costes de recuperación que surgen cuando se produce un incidente. Podemos decir que desde el punto de vista legal tecnológico las empresas tienen tres retos: uno, el cumplimiento legal en sus webs conforme a las políticas de gestión de seguridad de la información y de protección de datos con empleados y terceros. Otro, desde el punto de vista preventivo, mitigar los efectos del cibercrimen. Y, un tercero, que es la implantación de sistemas eficaces de gestión de seguridad de la información auditando por tramos de actividad y dependencias el concreto alcance que pueda tener un riesgo concreto.
Respecto al cloud computing o nube se ha generado un debate importante ¿Es una tecnología realmente segura?
Es cierto, el debate se ha abierto con fuerza. Todo depende de qué nube tengamos contratada, sus requerimientos técnicos y donde tengan situados los servidores. Un consejo para trabajar contra la nube de forma segura es cifrar los archivos que contengan información sensible para preservar su seguridad. Ahora mismo, además contamos con excelentes soluciones de nube privada, sobre la que gestionar nosotros mismos de forma responsable su seguridad. Es conveniente además implementar software de de cifrado de los equipos informáticos. El coste no es elevado para lo que puede preservar. También es conveniente cifrar los dispositivos móviles; hacer copias de seguridad de la información almacenada en equipos y dispositivos; establecer políticas de contraseñas fuertes, de accesos y privilegios, de mesas limpias y bloqueo de dispositivos en ausencia, y sobre todo mucha formación interna a todo el personal de las políticas empresariales de seguridad de la información.
Sobre las Apps, también se habla mucho y hay un consumo notable por parte de todos los usuarios...
Las aplicaciones mejoran nuestra capacidad de gestión a través de la movilidad. Las precauciones con las aplicaciones van más en torno a la cantidad de autorizaciones que les concedemos en su instalación para obtener los datos de nuestros dispositivos, en su mayoría innecesarios para la funcionabilidad de la aplicación. En aplicaciones a través de las que realizamos pagos es fundamental comprobar que su sistema de pago es seguro, no realizar transacciones económicas ni tránsito de información en WiFi pública, etc. Si no tomamos las medidas necesarias para preservar la seguridad y privacidad podemos sufrir un ataque que pongan en jaque la información de tu dispositivo móvil. Hoy por hoy, es la puerta de entrada a nuestra intimidad; información bancaria etc. Es necesario cuidar su seguridad y la de todo lo que instalemos en el dispositivo.
Hace unos meses ha habido una reforma en el Código Penal donde muchos de estos tipos delictivos se han incorporado. ¿Era lo que hacía falta?
Creo que la reforma ha supuesto un gran avance. Sin embargo, se sigue echando en falta la distinción del papel del hacker frente al cibercriminal en la regulación dl artículo 197 bis ter, que desde mi punto de vista tendría que estar más desarrollado ya que hay muchos matices. Tal cual como está sitúa en la misma esfera la investigación en ciberseguridad, la detección de vulnerabilidades con ánimo preventivo y el acceso con resultado delictivo. .
Sin embargo, aún las fuerzas de seguridad se quejan de la falta de diligencia de muchos jueces a la hora de la persecución de algunos delitos...
Los delitos de base tecnológica necesitan de más agilidad a la hora de su persecución, pero no siempre se logra. Todos sabemos lo lenta que es nuestra administración de justicia . De todas formas si hablas con jueces y fiscales te señalan que en fase de investigación criminal están muy limitados y creo que es ahí donde deberían mejorarse las cosas, antes que en el catálogo de delitos, en las competencias y mayor agilidad en fase de instrucción. En muchas ocasiones, la necesaria obtención de orden judicial ralentiza la investigación, pero es preciso también proteger derechos. En este punto es importante encontrar un equilibrio en la ponderación de derechos.