Abogado especializado en Ciberseguridad

Desde el nacimiento de Internet en la década de los 80, la sociedad ha experimentado una profunda transformación que ha digitalizado y trasladado a la red hábitos y escenarios sobre los que tradicionalmente se ha desenvuelto el mercado y los poderes públicos.

Esta fuerte dependencia de gobiernos y las empresas sobre la tecnología supone también un gran potencial de ésta para lesionar bienes que pueden afectar a la paz y el orden público; por ello, es fundamental regular y desplegar medidas de protección preventivas y represivas ante posibles amenazas que pueden surgir. En este contexto surge como disciplina la  “Ciberseguridad”, especialidad en constante evolución que no sólo abarca áreas de especialidad del sector jurídico como el Derecho de las Tecnologías de la Información y la Comunicación (TIC), el Derecho Penal, la Protección de Datos o el Compliance, sino también sectores ajenos a lo jurídico como la informática o la criptografía.

Perfil profesional del abogado especializado en ciberseguridad

El abogado experto en ciberseguridad debe estar formado en dos disciplinas: la asesoría legal y la ingeniería informática. De este modo, se exige a una misma persona el atesoramiento híbrido de dos perfiles distintos y complementarios, ya que no podrá aconsejar correctamente a un cliente en esta materia sin poseer conocimientos informáticos.

En este sentido, las notas o competencias que definen al Abogado experto en Ciberseguridad son las siguientes:

• Competencia en materias con incidencia a esta disciplina, como son los citados Derecho de Protección de Datos, Derecho Penal, Derecho de las TIC o el Compliance.
• Conocimiento y manejo de la normativa específica aplicable a esta disciplina, tanto internacional -prestando especial atención a la comunitaria- como nacional.
• Conocimientos digitales generales, como son el manejo de Internet, de un ordenador o del smartphone.
• Habilidades informáticas específicas, entre las que se encuentran el establecimiento de procedimientos de archivo encriptados, la capacidad de trasladar el asesoramiento al terreno 100% online, el conocimiento en materia de infección de sistemas y de su prevención a través de operaciones concretas, o la adopción de soluciones digitales y materiales a problemas derivados de brechas de seguridad. Algunas de éstas se encontraban ya contempladas en la Estrategia de Seguridad Nacional del año 2013.
• Conocimientos de inglés, ya que todo o casi todo el vocabulario técnico del área informática se formula en este idioma.

El Abogado especializado en ciberdelincuencia

Como sub-área de este abogado especializado en ciberseguridad tenemos el perfil del Abogado especializado en cibercrimenes y ciberdelincuencia, que suele ser un profesional más enfocado al ámbito del derecho penal, y que enfoca su práctica en los delitos cometidos en el ámbito de internet y las nuevas tecnologías, con el foco en estas nuevas formas de delincuencia, así como con un profundo conocimiento de la prueba electrónica y la investigación criminal en internet.

Formación y certificaciones para abogados especializados en ciberseguridad

Tal como se ha mencionado, el Abogado experto en Ciberseguridad precisa, además de formación jurídica sólida que le habilite para el ejercicio de la Abogacía, estudios o conocimientos informáticos adquiridos desde el prisma legal.

1. Programas o masters en ciberseguridad. Sin perjuicio de las capacidades digitales que ya pueda poseer, es recomendable cursar su especialización a través de algún plan de estudios en Ciberseguridad de los ofertados por las Universidades (consulta aquí un catálogo completo).

2. Certificaciones en ciberseguridad: Además de la formación universitaria, existen certificaciones otorgadas por distintas entidades cuya obtención aportarán valor añadido al candidato dependiendo de la salida profesional que persiga. Entre ellas, destacan las siguientes:

• Auditor ISO/IEC 27001: esta denominación hace referencia a una Norma de ámbito internacional que establece un estándar de actuación a través del cual se planifica, implanta y verifica un Sistema de Gestión de Seguridad de la Información. De este modo, para la empresa que posea un SGSI será muy recomendable contratar a un Auditor que posea esta certificación para que evalúe su eficacia y procedimientos de actuación conforme a lo dispuesto en la Norma, ya que, en caso de obtenerla, reducirá el riesgo de sufrir brechas de seguridad y aumentará su reputación. La manera de obtener el certificado para realizar estas auditorías será realizar y superar un curso de formación sobre la materia en alguna de las instituciones autorizadas para impartirlo.
• Certified Data Privacy Professional (CDPP): se trata de la primera certificación con sello español (promovida por ISMS Forum a través del Data Privacy Institute) dirigida a que distintos profesionales dedicados a la Privacidad puedan acreditar su conocimiento en materia de protección de datos de carácter personal. Su obtención pasa por la realización de un examen teórico y la demostración de experiencia profesional no inferior a 3 años en el ámbito de la Privacidad.
• Auditor CISA (Certified Information Systems Auditor): certificado otorgado por la organización estadounidense Information Systems Audit and Control Association (ISACA) a los aspirantes que estén capacitados para evaluar debilidades en los sistemas y establecer controles para evitar que sean objeto de un ciberataque, así como en posición de acreditar experiencia profesional de al menos 5 años en el sector. Se trata de una de las acreditaciones más valoradas a nivel mundial en materia de seguridad informática.
• Certified Information Security Manager (CISM): al igual que la anterior, es otorgada por ISACA a los profesionales que acreditan en un examen sus competencias para diseñar, evaluar y administrar un sistema de seguridad de la información de una entidad, así como que puedan demostrar una experiencia profesional en este sector durante, al menos, 5 años.
• Certified Information Systems Security Professional (CISSP): se trata del certificado de más reconocido a nivel mundial y de temario más completo y extenso, ya que abarca prácticamente todas las áreas de conocimiento en lo que a seguridad de la información se refiere. Podrán optar a obtenerlo aquellos profesionales que superen el examen expedido por la organización, (ISC)², y que acrediten experiencia profesional de, al menos, 5 años en el sector a tiempo completo en dos dominios o más del temario.

Por último, la naturaleza de esta especialización obliga a actualizar periódicamente los conocimientos ya adquiridos. Para ello es interesante acudir a ponencias, seminarios o cursos de corta duración impartidos por entidades versadas en esta materia. Existen propuestas interesantes y gratuitas en la plataforma online Coursera, así como en la página web del Instituto Nacional de Ciberseguridad (INCIBE), que publica cada cierto tiempo enlaces de inscripción a cursos dirigidos tanto a empresas como a personas físicas que deseen implementar sus mecanismos de defensa frente a ciberataques.

Entidades del sector ciberseguridad

En España el guardián de la seguridad informática es el Sistema de Seguridad Nacional (“SSN”), conjunto de entes y recursos cuyo objetivo principal consiste, entre otros, en valorar los riesgos e incrementar la capacidad de reacción frente a ciberataques a través del Consejo Nacional de Ciberseguridad. El citado Sistema ha promulgado el marco estratégico de prevención de este tipo de ofensivas a través de la Estrategia de Ciberseguridad Nacional del año 2019, encuadrada dentro de la Estrategia de Seguridad Nacional y a la que se hará referencia en adelante.

Otra entidad que se encuentra dentro del Esquema Nacional de Seguridad es el Centro Criptológico Nacional (adscrito al Centro Nacional de Inteligencia), organismo encargado de coordinar y asegurar la acción a nivel tecnológico dentro de la Administración, además de formar a personal experto. Dentro de él destaca el servicio CCN-CERT, que alerta y da respuesta a nivel nacional a amenazas y ciberataques, y desarrolla tecnologías para este fin; son especialmente ilustrativos los informes que emite periódicamente, en los que podemos encontrar datos actualizados sobre todo tipo de amenazas existentes y recomendaciones de buenas prácticas.

El Instituto Nacional de Ciberseguridad “INCIBE”, sociedad mercantil estatal integrada en el organigrama del Ministerio de Asuntos Económicos y Transformación Digital, que, además de crear y trabajar en mecanismos de prevención, promueve la cultura de la Ciberseguridad a través de la concienciación de empresas y personas físicas e imparte cursos a tal fin.

Además, para dar una respuesta inmediata a un ciberataque es primordial la figura del CSIRT (Computer Security Incident Response Team), equipos de profesionales cuyo escenario de actuación es la mitigación de los daños ocasionados por una brecha de seguridad y preservar las pruebas de lo ocurrido, todo ello en el menor tiempo posible. Estas organizaciones prestan sus servicios a un área de actuación concreta, que puede ser empresarial o nacional; en este sentido, mencionar a CERTSI y reiterar lo expuesto respecto al CCN-CERT, los CSIRT de referencia a nivel nacional que son coordinados por el Centro Nacional de Protección de Infraestructuras y Ciberseguridad “CNPIC”, dependiente del Ministerio del Interior.

Salidas profesionales de la especialización en ciberseguridad

Las competencias adquiridas por un jurista especializado en ciberseguridad son de carácter transversal, por lo que dotan de versatilidad al individuo a la hora de encaminar su trayectoria profesional. Algunas de las salidas a las que puede optar, son:

• Asesor legal: el Letrado especializado debe contar con conocimientos técnicos y legales para aconsejar a sus clientes sobre cómo protegerse frente a ciberataques en los que los datos que manejan pueden verse comprometidos, asesorarles sobre cómo proceder ante un ataque de este tipo, o qué tipo de ciberseguro contratar.
• Auditor de Ciberseguridad: la figura del Abogado especializado en esta disciplina es indispensable en este tipo de auditoría, habida cuenta que, aunque sea desarrollada en primera persona por un experto informático, será necesario el enfoque legal si de la misma resulta un incumplimiento normativo.
• Auditor de Sistemas: en este caso, el Auditor será el encargado de evaluar la eficiencia de los controles informáticos adoptados por las empresas, así como los recursos invertidos en su implementación y sus potenciales debilidades.
• Compliance Officer: como adalid de los planes de prevención penal, la Ciberseguridad es uno de los pilares fundamentales que un “CO” debe conocer y abordar.
• Delegado, Auditor o Consultor de Protección de Datos: se trata del profesional independiente que supervisa dentro de una organización el cumplimiento de la normativa de protección de datos de carácter personal. Sus funciones están, por tanto, ligadas al del experto en Ciberseguridad, que pretende salvaguardar esos datos.
• Analista o Perito Forense Digital (Computer Forensic o Digital Forensic): son los encargados de aprehender evidencias digitales sin alterar el estado del dispositivo o del sistema tras un ciberataque, con el objetivo de hacerlas valer en un procedimiento judicial posterior.

¿Dónde trabaja este tipo de Abogado?

Existen dos perfiles diferenciados por la manera en que este tipo de Abogados prestan sus servicios: los que trabajan en una firma legal (ya sea por cuenta ajena como empleados o como abogados autónomos), y los que lo hacen dentro de una empresa.

Grandes firmas de la abogacía de los negocios: Las grandes firmas cuentan normalmente con áreas dedicadas al Derecho de las TIC y al Derecho Digital, así como áreas dedicadas a derecho penal en las que puede encajar un abogado especializado en ciberseguridad.

Boutiques legales especializadas en ciberseguridad: En los últimos tiempos han cobrado especial protagonismo las boutiques y pequeños despachos especializados en esta materia que han hecho de ella su centro de actividad, prestando un asesoramiento integral en todas las ramas del Derecho que abarca la Ciberseguridad o incluso especializándose en un único sector, como, por ejemplo, el asesoramiento en materia de delitos informáticos. De este modo, las firmas pueden dirigir estos servicios a personas físicas, jurídicas (en mayor medida) o a ambos perfiles de cliente.

Abogado interno en empresas: Además, como se ha expuesto, estos abogados especializados en ciberseguridad pueden trabajar también en empresas, ya sea como trabajadores dentro del departamento jurídico, o del de sistemas de información, sin perjuicio de que el profesional haya elegido optar por adoptar la postura de Compliance Officer. No obstante, es posible y un comportamiento generalizado (sobre todo en las PYMES) el consistente en que una empresa contrate los servicios de estos profesionales de forma puntual cuando los necesita.

Normativa que debe conocer un abogado especializado en ciberseguridad

• Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistema de información de la Unión, conocida como “Directiva NIS”
• Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de la información; y Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el anterior. Ambos transponen lo dispuesto en la “Directiva NIS” al ordenamiento jurídico español.
• Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
• Convenio sobre Ciberdelincuencia, hecho en Budapest el 23 de noviembre de 2001.
• Estrategia de Ciberseguridad Nacional del año 2019, enmarcada dentro de la Estrategia de Seguridad Nacional.
• Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
• Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.
• Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.
• Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
• Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
• Real Decreto 381/2015, de 14 de mayo, por el que se establecen medidas contra el tráfico no permitido y el tráfico irregular con fines fraudulentos en comunicaciones electrónicas.
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; y su Reglamento.