Preguntado por los retos a los que se enfrenta hoy en día el CIO, Manuel Asenjo Ayllón, director de Tecnologías de la Información de Broseta Abogados, lo tiene claro: «proteger a la organización y, lo más valioso, los datos». A lo largo de esta entrevista con Cuadernos de Seguridad, Asenjo Ayllón, se muestra también preciso y seguro al analizar cómo la tecnología ha cambiado la forma de trabajar en los depachos legales, o cómo la Inteligencia Artificial juega un papel cada vez más importante en la ciberseguridad.
—Para comenzar, ¿cuáles son sus funciones concretas en Broseta Abogados? ¿Qué estrategia de ciberseguridad tenéis implementada en la compañía teniendo en cuenta que disponéis de diferentes sucursales?
—Por supuesto. Como CIO, mi responsabilidad es determinar y proponer los proyectos tecnológicos que se llevarán a cabo en la empresa, así como ejecutarlos, gestionar las relaciones con los proveedores, coordinar el equipo de soporte y gestionar los presupuestos.
Nuestra estrategia de seguridad se basa en tener todas las sedes en un único perímetro. Contamos con fibra dedicada para la comunicación entre sedes y todas las comunicaciones confluyen en un data center con los más altos estándares de seguridad (Tier IV). Desde allí gestionamos las entradas y salidas de información. Además, no olvidemos que los endpoints son el nuevo perímetro y que se deben proteger desde el mismo equipo, garantizando la seguridad de las comunicaciones con el cifrado de las mismas.
—¿Qué papel juega la tecnología e innovación en el ámbito de los despachos legales? ¿Cómo ha cambiado el entorno de trabajo en el despacho de los abogados?
—La tecnología ha tenido un impacto significativo en el ámbito legal en los últimos años. Cada vez hay menos documentación en papel y toda la información circula en modo datos. Cualquier abogado hoy en día sin correo electrónico, procesador de textos ni ordenador estaría perdido. Si a eso le sumamos las herramientas de gestión documental y las que se van incorporando con IA generativa, tenemos un panorama muy interesante. Hace no tanto no podíamos vivir sin el fax.
—Hoy en día, ¿cuáles son los grandes retos y desafíos a los que se enfrenta la figura profesional del director de Tecnologías de la Información?
—Desde mi punto de vista, los grandes retos y desafíos son los mismos que antes: proteger a la organización y, lo más valioso, los datos. El problema se hace más difícil de resolver cuando los delincuentes mejoran sus técnicas, se alían entre ellos, se generan patrocinios por parte de determinados gobiernos y, sobre todo, por escala de mercados tienen presupuestos mayores que las propias organizaciones.
Esto les hace disponer de herramientas altamente sofisticadas impulsadas por sistemas complejos, inteligencia artificial e incluso se plantean riesgos a nivel cuántico que cada vez tenemos más cerca. Por otra parte, a nivel personal, nos encontramos en una saturación del mercado en cuanto a herramientas y soluciones. Es difícil decidir cuál es la mejor herramienta para cada caso de uso. Si intentas cubrir todas las necesidades con diferentes herramientas de diferentes fabricantes, te encuentras con un alto volumen de consolas a las que atender y ahí es donde se echa en falta más personal.
—¿Qué acciones y programas llevan a cabo en Broseta Abogados para potenciar la concienciación de su fuerza laboral en materia de ciberseguridad y protección de datos?
—Recientemente hemos implantado una solución de «Awareness» o concienciación. Esta solución consta de dos partes:
-Phishings y ataques controlados: nos permiten medir el estado y el nivel de avance de la formación en seguridad del personal.
-Píldoras formativas y cuestionarios: se envían de manera periódica para aprender a gestionar los diferentes tipos de ataques.
Todo esto se orquesta en una consola de manera que se puede ver por departamentos o de manera individual el avance de cada miembro y si es necesario incidir en la formación de manera individual o en grupo.
—¿Qué tendencias en ciberseguridad considera que tendrán una mayor importancia en los próximos años?
—Sin duda, la computación cuántica y el avance de la IA tanto en ataque como en defensa serán las tendencias con mayor impacto en la ciberseguridad en los próximos años.
—¿Qué herramientas serían necesarias para impulsar y potenciar la colaboración público-privada en materia de ciberseguridad?
—La mejora en la interacción y comunicación entre ambos sectores es clave. Se están creando agencias de ciberseguridad en las diferentes regiones, ya que se está viendo que los organismos centrales no son suficientes para la gestión de estas cuestiones. Es necesario dividir y centrar los fondos y propuestas con dotaciones regionales e incluso locales. Ya existen clústeres locales que ayudan tanto en la prevención como en la protección para ambos mundos.
La IA juega un papel cada vez más importante en la ciberseguridad
—¿Qué papel juega la Inteligencia Artificial actualmente en el ámbito de la ciberseguridad? ¿Qué valoración hace del acuerdo alcanzado en la UE para implementar la primera Ley de Inteligencia Artificial a nivel mundial, recientemente aprobada?
—La IA juega un papel cada vez más importante en la ciberseguridad. Permite generar herramientas con cierto grado de sofisticación a los delincuentes, que pueden mejorar los mensajes de sus comunicaciones fraudulentas, generar código para herramientas de phishing o automatizar ataques masivos.
En cuanto al acuerdo de la UE para implementar la primera Ley de Inteligencia Artificial a nivel mundial, creo que es positivo que se regule la IA para controlar su uso. Sin embargo, es importante no coartar los avances tecnológicos que nos permitan mejorar como sociedad avanzada. Espero que los grandes fabricantes de IA acaten la normativa y no abandonen los mercados europeos, ya que sería un desastre no tener nada que regular.
—¿Qué aspectos del ámbito de la ciberseguridad –formación, tecnologías, profesionalidad…- se deberían potenciar y mejorar?
—Todos los aspectos de la ciberseguridad se deberían potenciar y mejorar: formación, tecnologías, profesionalidad…
En cuanto a la formación, es fundamental concienciar a los usuarios sobre los riesgos de la ciberseguridad y cómo protegerse. También es necesario que los profesionales de la ciberseguridad tengan una formación adecuada y actualizada.
En cuanto a las tecnologías, es necesario invertir en nuevas tecnologías de seguridad que puedan hacer frente a las amenazas emergentes.
En cuanto a la profesionalidad, es necesario regular las franjas salariales en el sector de la ciberseguridad para facilitar la inserción laboral y las contrataciones. Q
