César Mejías: «La seguridad es un reto permanente»

César Mejías: «La seguridad es un reto permanente»

César Mejías es en la actualidad el CIO (Chief Information Officer) del despacho de abogados Garrigues. Cuenta con más de 20 años de experiencia en la dirección y gestión de departamentos de tecnologías de la información en organizaciones (de más de 2000 empleados) del ámbito legal y consultoría de negocio. Entre sus especialidades se encuentra el desarrollo de negocio desde una perspectiva IT, la innovación en los procesos, el outsourcing y la dirección de equipos. Es el principal responsable de la puesta en marcha de la estrategia de inteligencia artificial de Garrigues.

Llevas 25 años trabajando en Garrigues, ¿cómo ha sido el proceso de transformación digital en la empresa? Y, ¿en qué medida la tecnología os ayuda a simplificar las tareas?

En este sentido, nuestro objetivo es ayudar a nuestros trabajadores y aportar valor a nuestros clientes. Hace tres años empezamos un proceso que consiste en buscar aquellas tareas que son más repetitivas y que pueden ser susceptibles de automatizarse. Llevamos tres años con esta labor, con el objetivo de aumentar nuestra productividad, agregar valor a nuestros clientes y ofrecer un servicio de mayor calidad. Un ejemplo de esto sería [email protected], un sistema (me gusta llamarlo robot) que sacamos hace dos años y que ha tenido bastante repercusión nacional e internacional. Nos permite coger la documentación que nos llega (en formato papel, electrónico, audios o vídeos), procesarla y convertirla en textos. De esta manera, además de ahorrarnos la transcripción del audio o del vídeo, conseguimos que nuestros abogados puedan buscar, dentro de todo ese texto, datos relevantes para el asunto que estén tratando.

¿Qué impacto va a tener (o está teniendo) la inteligencia artificial en vuestro sector?

Hay opiniones de todo tipo, incluso, hay gente que dice que la inteligencia artificial va a revolucionar el sector. Yo creo que lo que va a pasar, como en todo, es que nos tendremos que quedar con lo mejor de estas tecnologías y adoptarlo, que es precisamente lo que ya hacemos: buscar aquello que es realmente útil y traerlo a nuestro ámbito. El sector legal no es distinto al resto y nos va a pasar como a los demás, tendremos que adaptarnos a las novedades. Por ejemplo, en los procesos de diligencia debida (tienes que hacer una revisión completa de toda la documentación de un asunto) ya hay herramientas que usan la inteligencia artificial y que permiten identificar, por ejemplo, contratos que tienen algo “raro” o distinto. De esta forma, te obligan a revisarlos.

La tecnología nos facilita la vida y, a la vez, podemos decir que nos la complica. El Internet de las Cosas, la tecnología Cloud, los dispositivos móviles, etc. tienen un impacto positivo en nuestra vida, pero también se convierten en “nuevos puntos de entrada” para los ciberdelincuentes. ¿Cuáles son los mayores desafíos a los que os enfrentáis y qué acciones estáis llevando a cabo?

La seguridad es un reto permanente y, como todos los sectores, tenemos que tener siempre presente este componente. Esta máxima la aplicamos en todos los proyectos que hacemos. De hecho, a finales de 2017 nos certificamos en ISO 27001 (hemos sido el primer despacho en España en hacerlo), porque sabíamos que teníamos que introducir ese elemento de seguridad, bien organizado, en todos nuestros procesos. Sobre todo, en aquellos que afectan a nuestros clientes. En paralelo, montamos un Plan Director de Seguridad, que ya hemos ejecutado. Y ahora nos encontramos renovándolo y haciendo uno nuevo. Teníamos claro que era necesario revisar esos procesos de principio a fin y dotarlos de seguridad. Al hilo de eso, incorporamos varias herramientas interesantes de seguridad, montamos un SOC externo que nos permite tener controlada la seguridad 24×7… en definitiva, tenemos claro que la seguridad es fundamental.

En un despacho de abogados, la información tiene un valor incalculable. ¿Crees que, en general, se es consciente de los riesgos de no protegerse en condiciones y de las consecuencias que puede tener?

Creo (y me gusta creerlo) que hay más conciencia de lo importante que es la seguridad. Pero, además, como este sector tiene que acceder a la información y lo tiene que hacer con mucha cautela y mucho cuidado, considero que cada vez hay menos gente que no esté al corriente de esto. Y es que vemos ejemplos casi a diario (la detención en Portugal por el caso de “Football leaks”, los “Papeles de Panamá”, los “Papeles de la Castellana”, etc.), que te hacen darte cuenta de la importancia que tiene.

¿Crees que se percibe más la ciberseguridad como una inversión o como un gasto?

Hasta hace muy poco la tecnología, en general, se consideraba un gasto y no una inversión. Y ocurría en todos los sectores, salvo en aquellos más tecnológicos. Esto también está cambiando para bien, no solo en el área de seguridad sino en cualquiera de las áreas.

Este proceso de transformación digital en el que estamos todos inmersos está haciendo ver a los directivos que la tecnología (y la ciberseguridad, como subconjunto de la tecnología) no es un gasto, sino una inversión que tienes que hacer para no quedarte atrás.

¿Qué importancia tiene la implicación de la alta dirección en seguridad de la información?

Para nosotros su implicación es fundamental. Y, además, deben ser conscientes de que la seguridad total no existe. Te digo esto porque, cuando montamos el primer Plan director de Seguridad (hace aproximadamente dos años), fuimos a ver a nuestro Presidente, Fernando Vives, y nos lanzó la pregunta que nos hace temblar a todos: “Pero, ¿estamos seguros al cien por cien?”. Y el que responda “sí”, se equivoca absolutamente. Si yo dijera que estamos totalmente seguros estaría mintiendo. Lo que tenemos que hacer es tratar siempre de llegar a ese cien por cien, mejorando de forma continua.

Como te decía, es fundamental que estén implicados; que desde “arriba” tengan claro que hay que invertir y dejar a los equipos de seguridad hacer su trabajo. Pero, también es necesario mantenerles informados de lo que ocurra, para que esa concienciación sea efectiva.

Sois un despacho puntero, también en las tecnologías que utilizáis. Y, en este sentido, vuestros profesionales están siempre formándose. Pero, ¿cómo de fácil o difícil es hacer entender a los trabajadores la importancia de aplicar todas esas tecnologías con seguridad? ¿Son conscientes de los riesgos?

Nosotros aprovechamos cada una de nuestras presentaciones para reiterar a nuestros abogados que el eslabón más débil de la cadena de seguridad es el usuario. Nuestro trabajo, o la inversión que hagamos en seguridad, no sirve de nada si uno solo de nuestros empleados deja su contraseña apuntada en un papel, pegada en la pantalla o encima de su mesa. Nos “peleamos” mucho para concienciarles de que tienen que colaborar y ser muy proactivos. Tenemos formación presencial y online y, también, ofrecemos charlas.

Además, desde hace año y medio, en todas las reuniones de grupo (hacemos varias al año) siempre hay un apartado de seguridad en el que yo mismo, o el CISO, damos una charla de concienciación. También tenemos un boletín de seguridad en el que publicamos “píldoras informativas” con las alertas que lanzan entidades como INCIBE (campañas de phishing, extorsiones, etc.). Tratamos de que, poco a poco y con todas estas acciones, el mensaje acabe calando. Es verdad que cuesta, porque la gente no era consciente de los riesgos que supone perder una contraseña, compartirla con el compañero o dejar el móvil desbloqueado encima de la mesa. Nosotros tenemos que poner los medios para que nada de esto pase, pero ellos deben ser conscientes de los riesgos que pueden entrañar acciones como las que acabamos de comentar.

¿Ha supuesto la llegada del RGPD un doble reto para los despachos de abogados? (Debéis aplicarlo y, a la vez, asesorar a vuestros clientes en la aplicación).

Sí, lo ha sido. El área dedicada a la protección de datos ha estado trabajando, en los últimos dos años, en ayudar a nuestros clientes. Y, por supuesto, también se ha trabajado mucho internamente. Tenemos un comité de protección de datos que forma parte de nuestro comité de seguridad. Ha habido que hacer mucho trabajo y ha supuesto un reto. Pero, lo cierto es que la certificación ISO 27001 nos ha ayudado muchísimo a poner orden en todos los temas relacionados con protección de datos y, también, a prepararnos para la aplicación del RGPD.

En relación con tu trabajo ¿cómo valoras este nuevo modelo de protección de datos?

Creo que es muy positivo. Entraña sus riesgos, porque las sanciones son enormes y pueden suponer el fin de una empresa. Nos ha generado mucho trabajo, pero creo que es muy positivo desde el punto de vista de las empresas y, también, de las personas.

Hablando del futuro del sector, en algunas ocasiones has mencionado la figura del “abogado renacentista”, que sea capaz de desenvolverse en todas las áreas y que cuente con habilidades tecnológicas. ¿Crees que es una tendencia generalizada en todos los sectores?

Quiero pensar que sí. A veces, cuento una anécdota que me ocurrió con un abogado senior de la casa. Un día, hablando sobre contratos inteligentes, me comentó que el planteamiento que yo le hacía implicaba, casi, aprender a programar. Le aclaré que, en este sentido, había tres opciones: contratar un perfil capaz de hacer ambas cosas (no es necesario que sea un técnico, pero sí que entienda lo que dice, por ejemplo, uno de estos smart contracts); aprender e ir formándose en la materia, o tener a un técnico al lado, con el que exista confianza plena, para poder desarrollar uno de estos contratos. Y, seguramente, de aquí en adelante todos querremos estos perfiles que aúnen ambas cosas. Y a eso me refiero cuando hablo del “abogado renacentista”, que sea capaz de entender casi todas las áreas. Estos perfiles serán los más demandados en los próximos años, aquellos que tengan conocimientos más horizontales de las materias.

Facebooktwittergoogle_pluspinterestlinkedinby feather

Comments

Comentarios desactivados