La seguridad documental afecta tanto a grandes firmas como a despachos pequeños
La seguridad documental es uno de los aspectos de la gestión del conocimiento que debe ser prioritaria tanto para grandes firmas como para asesorías jurídicas de empresa y despachos unipersonales. Y no sólo en lo que respecta a la orientación al cliente y la prevención de riesgos, sino también en el cumplimiento legal y ético inherente a la abogacía.
Como creemos que se trata de una de las áreas de la industria legaltech que más se va a desarrollar, fuimos a conocer a la start-up AceroDocs, que tiene un espacio en un Parque Tecnológico de Vallecas, para que su CEO, Pablo Borches, y su director de desarrollo de negocio, Nicola Fanelli, nos expliquen cómo pueden ayudarte a «proteger tus documentos mediante un sistema de cifrado sencillo de usar y accesible para todos» (según afirman en su Twitter).
José Mª Fernández Comas: AceroDocs, por lo que aseguráis en vuestra web y en vuestras redes sociales, permite a los despachos mantener la seguridad de los documentos con mayor eficiencia. Habéis creado una vertical para el sector legal, donde os postuláis como expertos para cubrir las necesidades especiales de los juristas alrededor de la seguridad de la información compartida.
Nicola Fanelli: El tamaño del despacho no importa, porque lo que realmente importa es el concepto: proteger documentos que necesariamente tienen que salir de un entorno empresarial, y en este sentido las dimensiones de la empresa carecen de importancia. Todo tipo de despachos se ven en la necesidad de compartir documentos, sacarlos de su entorno y proteger ese tránsito documental mientras se transfieren hacia terceros que están más allá del perímetro de seguridad, y mantener el control cuando no están dentro de ese perímetro.
Pablo Borches: Hay una cosa que es obligatoria: proteger la información en reposo y en tránsito. Eso se consigue con soluciones de encriptado, y la nuestra es una de ellas. Según la nueva normativa en protección de datos, ahora todos los despachos deben cumplir con esta obligación. Pero hay un detalle que todavía no es obligatorio: el encriptado en destino, desconocido por las autoridades regulatorias. Se trata de la tecnología IRM (Information Rights Management) a través de cual se puede proteger la información que sale fuera de la empresa hacia terceros. Y se puede mantener encriptada allá donde esté. No existe esa deber porque todavía es una tecnología desconocida, aunque nosotros prevemos que en un futuro, lo que en estos momentos es un plus, será una obligación.
JMFC: Habláis de una documentación en reposo, en tránsito y en destino. Si lo extrapolamos a la actividad de un despacho, podemos compararlo con la ruta del expediente de un asunto, que normalmente contiene una información muy sensible. Identificaríamos una serie de fases que se iniciarían con la seguridad de ese expediente en reposo, su consulta por miembros del despacho o personas ajenas al mismo (clientes, operadores jurídicos, etc.), la posibilidad de compartir e incluso modificar parte de esa documentación y, finalmente, la firma digital, en el caso que sea necesario.
Pero antes de abordar esas fases, ¿qué tipo de encriptación utilizáis? Y ya metidos en harina, como sabéis bien, la tecnología blockchain está empezando a estar muy presente en el sector legal, no sólo por las criptomonedas, sino también por los smart contracts y a nivel de probática judicial. Esta tecnología disruptiva se basa en una encriptación asimétrica. ¿Tenéis alguna similitud con blockchain?
PB: Son tecnologías diferentes aunque relacionadas. Normalmente, la tecnología más potente es la de cifrado asimétrico, es la más segura para compartir las claves de cifrado, pero no es conveniente utilizarla para encriptar archivos por un tema de lentitud. Lo que hacemos nosotros es utilizar el cifrado asimétrico en clave pública, junto con el cifrado tradicional simétrico de clave privada.
Blockchain no es un tipo de cifrado, es una forma de descentralizar los datos para mantener la integridad: si tengo un documento cifrado y utilizo blockchain lo que estoy haciendo es dividirlo en trozos y distribuirlos de forma que si alguien modifica un trozo de ese documento suena una alarma. De este modo, el blockchain mantiene la integridad del documento para asegurarnos de que no se modifica sin los permisos adecuados.
Nosotros nos parecemos mucho a blockchain en el sentido de que somos una tecnología de repositorio descentralizado: nosotros no alojamos documentos. Nuestros documentos encriptados están alojados en diferentes sitios, puede haber cientos de copias en diferentes dispositivos, y nosotros mantenemos la protección de esos documentos en cada ubicación. Lo que sí tenemos centralizado en un servidor son las claves de cifrado.
JMFC: Los despachos, cada vez en mayor medida, están obligados a trabajar con todo tipo de formatos documentales. ¿Trabajáis con PDF, vídeo, imágenes…?
PB: Encriptamos cualquier tipo de archivo, en reposo y en tránsito, pero el encriptado en destino sólo lo tenemos para documentos ofimáticos. En un futuro lo haremos con audios y vídeos.
JMFC: Decíamos antes que vosotros no almacenáis documentos, sino el identificador de esa documentación y la clave de cifrado, que de nuevo nos recuerda a blockchain y al hash…
PB: Efectivamente. El hash lo que hace es una función resumen del documento que sirve para comprobar su integridad. Pongamos un ejemplo. Si un cliente nuestro en un juicio quiere demostrar al juez que envió a alguien un documento y éste fue recibido, el juez nos puede pedir la comprobación de que este documento ha sido efectivamente entregado. Nosotros comparamos el hash del documento con el que tenemos guardado, y podemos confirmar que se trata de ese documento, y que ha sido enviado y abierto.
JMFC: Veo en vuestra web que trabajáis con diversos proveedores de alojamiento en nube como Google Drive o Dropbox (¡Miau!), entre otros. Son conocidos los problemas de seguridad que ha tenido Dropbox y que han generado mucha desconfianza…
NF: No sólo ha perdido confianza. La ley no permite que se almacene documentación sensible en nubes públicas, porque el proveedor de la nube pública tiene acceso al contenido.
PB: Cuando hablamos del acceso del proveedor nos referimos a sus empleados. Una anécdota: nosotros usamos el One Drive, de Microsoft. De repente, hemos tenido un problema y llamamos a soporte técnico. Nos cogen el teléfono y comentamos que no localizamos una determinada carpeta. La persona que ha cogido el teléfono nos contesta si nos referimos a una carpeta que con el nombre X que contiene documentos formato Excel, etc. Es decir, esa persona estaba accediendo al contenido de la carpeta, y es de suponer que también lo podían hacer más personas de esa compañía. Chirría mucho que sea tan fácil ese acceso a personas que no tenían permiso para acceder. Ese empleado trabajaba ese día en Microsoft, pero ahora puede estar trabajando en cualquier otra empresa y utilizar esa información.
JMFC: La Agencia Española de Protección de Datos indica en su Guía para clientes que contraten servicios de cloud computing que existen riesgos que se pueden clasificar en dos categorías: falta de transparencia y falta de control.
NF: Respecto a tu pregunta, antes abordaste un tema importante. Nosotros encriptamos para el almacenamiento, es decir, en reposo, y creamos un vínculo entre el documento y el despacho. En un despacho trabaja mucha gente, que tienen acceso a unos documentos. ¿Cómo está vinculado ese documento con la empresa? ¿Cómo sabemos que la persona que tiene acceso a ese documento se lo acaba llevando, malintencionadamente o por error, sacándolo del perímetro de seguridad? Con el encriptado se genera un vínculo, y si alguien sale de la organización o simplemente cambia de departamento, perdería el acceso a la documentación. Todo este proceso protege la integridad de la empresa.
PB: Eso que explica Nicola lo he vivido en carne propia. Hace unos años fui responsable de fusiones y adquisiciones y cuando, en tareas de due dilligence coordinadas con los equipos legales, descargaba documentación, la seguí conservando una vez salí de la empresa. Se trataba de una información muy sensible que si hubiera acabado trabajando para un competidor hubiera supuesto un enorme perjuicio para esa compañía en la que trabajaba. Fue entonces cuando vi esa necesidad en el sector legal, entre otras.
JMFC: Retomemos el ejemplo del expediente en el despacho y sus diferentes fases. Hemos hablado de su encriptación en reposo y las consultas por parte de los miembros autorizados de la firma. Pero ese expediente también puede ser compartido por otros operadores, incluso con clientes, y nos puede interesar también que parte del mismo pueda ser modificado en remoto. En este momento la tecnología IRM aporta mucho valor…
PB: La nuestra es una herramienta de encriptado en reposo, en tránsito y en destino, y ese encriptado en destino es lo que se conoce como IRM. Estamos enfocados en la usabilidad de esas tres características del encriptado y las unificamos de forma natural para el usuario.
JMFC: Muchos abogados se pueden preguntar en estos momentos si garantizáis a vuestros clientes el cumplimiento de la normativa de protección de datos…
PB: Por supuesto. Somos una herramienta tecnológica para proteger la información del despacho y para el cumplimiento normativo de protección de datos. Con nuestra herramienta el abogado no tiene que delegar esa responsabilidad de la custodia de la información en el receptor, porque es el propio despacho el que se asegura que el documento viaja encriptado y está protegido.
JMFC: ¿De qué manera ponéis las cosas fáciles al receptor, que perfectamente puede ser el cliente u otros operadores o colaboradores?
PB: En este caso, a través de lo que llamamos protección con control remoto, facilitada por la tecnología IRM.
JMFC: Dejadme insistir en la importante de preservar la integridad de la documentación en todos estos procesos…
NF: Esa es una parte fundamental. Encriptar para algunos significa modificar un documento. Sin embargo, el encriptado no debe obstaculizar el mantenimiento de la integridad de un documento. Creemos que encriptar supone crear un caos perfecto., y desencriptar, volver a poner todo en su sitio. Por ejemplo, un email: primero se encripta, se envía el documento por correo electrónico y hay un tercero que lo recibe, que tiene permiso para extraer el documento original. Es decir, lo desencripta, con lo que todas las características del documento original se reflejan perfectamente. El documento como tal y las partes añadidas, como la firma digital.
PB: En resumidas cuentas, las soluciones de algunos proveedores han intentado solucionar la problemática del encriptado en destino pero estropeando la integridad del documento. Por ejemplo, si has puesto una firma digital, en destino no se mantiene, está corrupta. Nosotros hemos conseguido mantener la integridad del documento, incluso en destino.
JMFC: Habéis entrado de lleno en la firma digital, que hemos mencionado anteriormente como una de las fases más sensibles. En el último Legal Management Forum vimos sinergias muy interesantes como la de la plataforma de contratos online Bigle Legal con Signaturit, compañía de servicios de confianza en la firma de documentos. ¿Trabajáis con algún proveedor u os adaptáis al de vuestros clientes?
PB: Nos adaptamos al proveedor de nuestros clientes, no tenemos exclusividad con ninguno.
JMFC: Los despachos de abogados y asesorías jurídicas atesoran una información enormemente sensible. Pongamos el foco en un tema sobre el cual se ha escrito mucho últimamente, los ciberataques, ante los cuales pueden estar más expuestas por eventuales brechas de seguridad las firmas pequeñas y unipersonales: están en juego muchas cosas, pero especialmente la reputación profesional y corporativa.
NF: Está en juego la reputación del despacho: todo lo que esté almacenado tiene que estar protegido. Tanto dentro del perímetro empresarial como fuera. Los abogados no siempre están en el despacho (tienen que visitar a clientes, asistir a vistas, etc.). El riesgo de perder esa información es grande y puede producir enormes perjuicios, y además están los ataques externos que se pueden recibir por, por ejemplo, conectarse a una red maliciosa. Tener el contenido más sensible encriptado supone una ventaja: aunque puedan llevarse los archivos, no pueden hacer uso de ellos. Es decir, aunque un tercero consiga penetrar la seguridad del firewall o del antivirus y pueda sacar un documento, si éste está encriptado, no tendría permisos para visualizarlo. Se trata de una manera muy potente de prevenir y también de curar. Hay una funcionalidad que es la trazabilidad, el tracking de los documentos, que me permita saber si un documento ha sido abierto, por quién, dónde y a través de qué dispositivo.
JMFC: Insisto en que vosotros no almacenáis los documentos, por lo que vuestra única responsabilidad, que no es poca, es su protección a través de la encriptación. Los pueden robar de la nube, pero nunca los deben poder utilizar.
PB: Exactamente: proteger y mantener la trazabilidad. Nosotros somos responsables de la protección del documento y de la trazabilidad de las acciones hechas sobre ese documento, sin tener nosotros el documento.
JMFC: En nuestra Guía Legaltech vamos a lanzar muy pronto el Módulo de Software de Gestión del Despacho. No sé si consideráis suficiente el nivel de protección que suelen ofrecer estos programas especializados en la firmas. En cualquier caso, ¿es vuestra tecnología compatible o complementaria con este tipo de herramientas?
NF: Creo que sí podemos ser complementarios. Podemos añadir una capa de seguridad adicional a la gestión interna del despacho que ofrecen estos programas, que hay muchos y muy buenos. Nuestra herramienta puede integrarse con ellos porque están muy centrados, como he dicho antes, en la gestión interna de la firma; es decir, que todo lo que hacen internamente cumple con la normativa sobre protección de datos. Sin embargo, en muchos casos, una vez que saquen esos documentos fuera del perímetro de seguridad, una vez están fuera, ya no están protegidos. Podemos intervenir desde dentro de esa herramienta para que en reposo la documentación esté encriptada, sigan protegidos en tránsito y en destino estén controlados.
PB: También podemos permitir autorizar quién puede acceder y quién no, y darle una caducidad al documento si se considera necesario. Respecto a este tema tengo que decir que en el sector legal la mayor parte de los despachos son pequeños. Su principal problemática a la hora de asumir este tipo de tecnología es la complejidad de integración de una herramienta en su forma de trabajar y el tener que aprender a utilizarla. Hemos decidido crear el nicho de despachos por dos motivos: por nuestra facilidad en la integración e instalación (nos adaptamos a cualquier sistema) y por nuestra usabilidad, ya que nuestra herramienta no requiere prácticamente formación, es muy intuitiva. No obligamos a los receptores de la documentación a instalar nuestra aplicación, ni siquiera deben tener cuenta en AceroDocs.
JMFC: El jurista es un profesional condenado, o mejor dicho siendo constructivos, destinado, a la formación continua. En Derecho Práctico y en nuestra Guía Legaltech prestamos mucha atención a las instituciones docentes especializadas en el sector legal. Veo que también tenéis un nicho focalizado en formación. Se me ocurren dos necesidades a cubrir en las empresas formativas: cómo gestionar adecuadamente los datos de los alumnos y los riesgos derivados de la distribución de los contenidos docentes en plataformas digitales.
NF: Un proceso formativo, especialmente online, debe forzosamente compartir con el alumnado, con el profesorado y con los generadores de contenidos muchos documentos relevantes, verdaderos activos dentro de esa empresa de formación. Esa es la parte que más hay que proteger, esos documentos que tienen que salir hacia un receptor fuera de un perímetro de seguridad.
PB: Aquí no sólo estamos hablando de documentos sensibles, sino también de protección de la propiedad intelectual, una de las cosas que más interesa a las empresas formativas. No sólo la contenida en el material, que puede ser en mayor o menor medida sensible, pero se prioriza la protección de la propiedad intelectual de ese contenido.