COVID y Justicia telemática: la irrupción de la disrupción

Tras la publicación el pasado 28 de abril del Real Decreto-ley 16/2020, de las medidas procesales y organizativas para hacer frente al COVID-19 en el ámbito de la Administración de la Justicia, se otorga preferencia al uso de las herramientas telemáticas en la celebración de los actos procesales durante el estado de alarma y los tres meses posteriores, salvo en aquellos procedimientos que, por su gravedad, se estime necesaria la presencia física del acusado.

Un salto tecnológico que se constituye, tras la lectura del Real Decreto-ley y de las directrices europeas alineadas con la dinamización de actos judiciales, como el principal foco de incertidumbre por su falta de concreción acerca de las pautas y procedimientos tecnológicos que han de considerarse con objeto de no limitar las garantías procesales.

La simbiosis de los equipos de trabajo: una cuestión procesal y tecnológica

Alinear las herramientas telemáticas con el proceso judicial es crucial para el éxito de la transformación digital. Para conseguirlo, se ha de trabajar con equipos colaborativos y transversales capaces de compartir un mismo lenguaje y una misma visión de las necesidades y de los medios para llevarlas a cabo con criterios de eficacia, eficiencia y usabilidad.

Garantizar la grabación de las vistas o gestionar los roles y sus respectivas intervenciones son cuestiones acuciantes, como también lo es garantizar la seguridad de las comunicaciones por cualquiera de las dos vías posibles hoy día.

La primera admite la utilización de productos comerciales que cifren la información de extremo a extremo con herramientas de código cerrado y bajo la propiedad de una determinada marca comercial; la segunda, supone escoger entre el desarrollo interno o la adaptación de herramientas de código libre en las que para la gestión habrá de existir en todo momento un rol de moderador y por tanto, un control único de la vista, de las grabaciones y de las salas de espera donde aguardan los testigos a la vista.
Pero su implantación no es sólo técnica sino también pedagógica: además de la formación, habrá de atenderse también a la importancia de la concienciación de los usuarios. Otro punto crucial será el acceso a la gestión documental requerida durante todo el proceso judicial, garantizando siempre la trazabilidad y la custodia de todos los datos almacenados.

Gestionar la incertidumbre

La migración hacia un sistema telemático entendemos no debe ser una medida de carácter excepcional ligada exclusivamente a la situación de crisis generada por el COVID-19, sino un acicate para adaptar la Justica a la realidad actual, así como una oportunidad para dotar de seguridad jurídica a una tendencia –la de los juicios online– ya explorada en otros países de nuestro entorno.

Su implementación no supondría solamente un ahorro evidente en costes y tiempos, sino también una mayor protección y seguimiento de todo el proceso a través de la tecnología: el despliegue de una política proactiva de ciberseguridad supondría un gran escudo de protección ante filtraciones con gran impacto mediático (documentos, imágenes e incluso vídeos).

Sabemos que la simbiosis legal-tecnológica es posible porque lo vivimos cada día en Castroalonso. La innovación y el continuo desarrollo e integración de las tecnologías de gestión, las videoconferencias y la ciberseguridad aportan soluciones escalables, flexibles y seguras para acometer la próxima transformación de la Justicia.

Derecho a la desconexión digital y teletrabajo

El teletrabajo en España, regulado en el artículo 13 del Estatuto de los Trabajadores, ha pasado de ser una opción por la que pocas empresas apostaban (un estudio realizado por InfoJobs en septiembre del 2019 señala que solo el 19% de la población activa afirma que en su empresa está permitido realizar teletrabajo, aunque en más de la mitad de los casos, sólo en ocasiones puntuales. A su vez, un estudio de Adecco publicado a principios de este año atribuye al teletrabajo un porcentaje del 7,9% del total de ocupados el cuarto trimestre de 2019) a ser una de las medidas estrellas adoptadas por un gran número empresas para poder continuar con su actividad pese a la situación actual que estamos viviendo por la crisis mundial producida por el efecto de la expansión del coronavirus.

Si bien el teletrabajo se presenta como una de las opciones que más facilitan la conciliación laboral y que permiten obtener más beneficios a las empresas, es muy importante controlar los tiempos de trabajo en esta modalidad, puesto que en caso contrario, podemos estar conectados todo el día, caer en la “trampa” de que el teletrabajo supone estar a plena disposición horaria por parte del trabajador. Esta “hiperconectividad” puede llegar a ocasionar problemas de estrés y ansiedad.

Por todo ello, directamente relacionado con el teletrabajo, es imprescindible apelar al derecho a la desconexión digital, un derecho que Francia o Bélgica incluye desde hace años en su legislación para regular su práctica, y ahora España se suma también. El derecho a la desconexión digital fuera de la jornada laboral viene contemplado en la Ley Orgánica de Protección de Datos y Derechos Digitales (LOPDGDD), de 5 de diciembre de 2018, y pretende garantizar el descanso del empleado.

Además, impone determinadas obligaciones a las empresas, como el deber de elaborar políticas internas que definan para toda su plantilla la manera en la que se va a llevar a cabo el derecho a la desconexión digital, así como establecer las acciones de formación y de sensibilización que permitan la conciliación entre la vida laboral y personal o familiar, y la protección de la salud del empleado. Es evidente que el teletrabajo, bien gestionado, supone grandes ventajas tanto para el trabajador como para las empresas y, por ende, para la sociedad.

Entre sus beneficios se encuentra la promoción de la autonomía del trabajador, ahorro en los tiempos de desplazamiento con aumento de la productividad relativa, reducción de costes empresariales ligados a mantenimiento de infraestructuras, suministros y servicios, así como proporcionar la integración de personas con discapacidad o atracción de talento. Por el contrario, y como ya adelantamos, es necesario establecer las rutinas y políticas que permitan la desconexión del trabajador y la mejor integración de la vida laboral y familiar, para evitar el desgaste del capital humano y el ‘síndrome del trabajador quemado’.

Pese a lo anterior, el Estado de Alarma ha sido una circunstancia excepcional, temporal, y su carácter finito abre una gran incógnita respecto a qué sucederá con este hábito de empleo a distancia una vez que finalice este escenario de confinamiento y post confinamiento en el que vivimos.

Una cosa está clara, el COVID-19 ha hecho más méritos por el teletrabajo en este país que todas las políticas y regulaciones concebidas hasta la fecha. Confiemos en que todo lo aprendido no caiga en el olvido una vez que superemos la pandemia.

Apuesta infinita y valiente por la innovación

El trabajo remoto es tendencia y realidad hoy en día. Rubén Fernánez, responsable del departamento de marketing & business transformation en Bloomvertech, reflexiona sobre esta nueva realidad en un artículo para Conecta Industria: Apuesta infinita y valiente por la innovación.

A continuación, el artículo completo:

El 2020 quedará marcado a fuego en nuestra memoria. El año del confinamiento, de la enfermedad, de la incertidumbre y también del tiempo en el que todos tomamos consciencia de que innovación y tecnología se daban la mano para facilitarnos la vida y fomentar la economía colaborativa. Aunque la preocupación por la crisis en que nos ha sumido la COVID-19 se extienda a todos los sectores, es una evidencia que la pandemia ha sido rotunda con la actividad empresarial: en las semanas más duras, sólo las empresas con cierto grado de digitalización pudieron continuar su actividad.

Nunca hubiéramos podido imaginar que el teletrabajo, una ficción para buena parte de los trabajadores en España, tomaría su protagonismo actual. Hoy, el trabajo en remoto es tendencia y realidad. Una solución que, si bien abre un nuevo espectro de posibilidades para empleados y empresas, también entraña nuevos riesgos que debemos encarar.

Habilitar Escritorios remotos virtuales, supone en primer lugar la necesidad de contar con una infraestructura de seguridad adaptada. Cuando aumentamos el perímetro de acción de nuestro negocio, crece parejo a él la inseguridad. Por ello, siempre remarcamos que es vital contar con una política interna de ciberseguridad que proteja no sólo la estructura informática, sino también nuestros Derechos digitales y los mayores activos con que contamos: la protección de los datos y la propiedad intelectual e industrial.

Se habla de que vivimos tiempos de transversalidad, y no podemos más que asentir porque hace tiempo que somos pioneros en estas lides y apostamos con decisión por la fusión jurídico-tecnológica en nuestra estrategia corporativa. Una apuesta por la Ciberseguridad y el Derecho tecnológico como ejes vertebradores de un entramado que hoy entremezcla asuntos de ética, privacidad, legislación y seguridad.

Debemos colaborar para evitar más cierres que dañen a nuestro tejido productivo

Hoy, las empresas invierten, se arriesgan, son valientes y luchan por sobrevivir. En el Derecho Mercantil contamos con instrumentos que facilitan la adaptación a la nueva situación post-COVID y salvaguardan la actividad empresarial, bien a través de reestructuraciones o mediante la negociación de los pre-concursos de acreedores. publicidad

Comenzábamos hablando de cómo estos meses nos han obligado a reflexionar acerca de nuestras vidas y nuestros negocios, y me gustaría despedirme con dos apuntes: el primero es que hemos de devolver a la Innovación y la Investigación el protagonismo que les corresponde en la estrategia corporativa y la segunda es que la innovación es infinita y siempre devuelve sus frutos cuando le damos la oportunidad.

 

Teletrabaja de forma segura con Bloomvertech

Teletrabajar de forma segura y eficiente es posible gracias a la herramienta VDI (Virtual Desktop Infrastructure) alojada en nuestro centro de datos y protegida con nuestro SOC.

En el blog de Bloomvertech ya habíamos hablado sobre la nueva realidad del teletrabajo: ¿Está la ciberseguridad empresarial preparada para el repentino trabajo a distancia?. Para trabajar de forma remota sin comprometer las infraestructuras y la información corporativa es necesario contar con las soluciones de seguridad más adecuadas, ¿quieres saber cuál es la mejor forma de teletrabajar?

 

Nuestro servicio VDI

La tecnología VDI consiste en hospedar el escritorio de nuestros clientes en una máquina virtual, la cual opera desde nuestros servidores seguros. Esto nos proporciona la posibilidad de proveer un servicio de teletrabajo con las siguientes características:

    • Monitorización de seguridad 24*7 desde nuestro SOC
    • Navegación segura
    • Comunicaciones unificadas
    • Ciclo de parcheo gestionado
    • Copias de seguridad de la información (backup)
    • Carpetas compartidas
    • Gestión centralizada de contraseñas
    • Antivirus gestionado
    • Búsqueda de vulnerabilidades
    • Posibilidad de housing\hosting de servidores corporativos en la misma red segura

Nuestros escritorios virtuales pueden ser de dos tipos: persistentes (personalizados para cada usuario, al igual que los equipos trabajo comunes que podemos encontrar en una oficina) o volátiles (en los que cada vez que el usuario finaliza la sesión se revierten a su estado inicial, conservando la información generada en la sesión).

Este último tipo de escritorios ofrecen un extra de seguridad ante ciertos tipos de ataques, como por ejemplo los tan conocidos ataques de ransomware, evitando la propagación del código malicioso gracias a su capacidad de volver a su estado original.

 

¿Por qué los escritorios virtuales son la mejor solución de teletrabajo?

Llegados al punto en el que el confinamiento nos ha obligado a teletrabajar, gran parte de los usuarios no son conscientes de que exponer sus escritorios directamente a internet supone un punto de entrada ideal para los atacantes. Desde el punto de vista tanto de la seguridad de la información como de la ciberseguridad, esta es la peor de las soluciones. El Instituto Nacional de Ciberseguridad (INCIBE) ya alertaba hace un año de este peligro: ¿Es seguro tu escritorio remoto?

Una de las soluciones de teletrabajo mayormente adoptada en las corporaciones para paliar este peligro ha sido el empleo de VPNs (Virtual Private Networks), las cuales proporcionan un canal de comunicación seguro entre la red doméstica del trabajador y la red empresarial. No obstante, esta medida plantea dos inconvenientes:

    • Acercar una red desconocida y no controlada a la red empresarial
    • Generalmente, los dispositivos desde los que accede el teletrabajador no cumplen las políticas de seguridad que se han definido por la empresa: actualizaciones periódicas, uso de antivirus…

Finalmente, esto nos lleva a la solución óptima, los VDI. Una herramienta que, como hemos comentado antes, nos permite hospedar los escritorios de los usuarios en un entorno seguro y aislarnos de las posibles vulnerabilidades del equipo domestico final.  

Esta solución no solo es la mejor desde el punto de vista de la ciberseguridad, si no que cuenta con muchas otras ventajas, como, por ejemplo:

    • Capacidad de cómputo superior a la de un ordenador de sobremesa común: esto es debido a que toda la carga de procesamiento recae en nuestros servidores y no en los ordenadores personales de cada trabajador.
    • Ahorro en costes: derivado del punto anterior ya que se reduce la inversión en hardware.
    • Movilidad: permite acceder al entorno de trabajo desde cualquier dispositivo, generalmente haciendo uso de un navegador web.
    • Escalabilidad: un factor muy importante cuando hablamos del mundo de TI. Es posible crear y eliminar escritorios virtuales con mucha facilidad.

 

(Tele)trabaja con VDI

Ofrecer el servicio de escritorios virtuales nace en Bloomvertech durante el confinamiento con el propósito de brindar una forma segura de trabajar desde casa a nuestros usuarios.

No obstante, ahora que sabemos en qué consisten los VDI, es importante mencionar que el empleo de estos puede extrapolarse a cualquier ámbito de trabajo. Los usuarios pueden disfrutar de las ventajas de los escritorios virtuales conectándose desde su casa, su oficina o cualquier parte.

Inspiring woman leaders in digital area

Join us to talk about woman leaders in tech!

We are convinced of the importance of including female talent and leadership in technology. That’s why we invite you to join the recently created WSTARTPC’s chapter. Cristina Caldueño –Castroalonso and Bloomvertech’s project manager-, will be the driver of this inclusive association in Asturias.

Are you going to miss our next event on July 29 at 12:00 to 13:30? Check out our planning!

Planning

    • Opening

Carme Artigas – Secretary of State for Digitalization and Artificial Intelligence

    • Participants

Teresa Mº Alarcos Tamayo – President and founder of W STARTUP Community

Representative of the Innovation Department of the Principality of Asturias

Cristina Caldueño – Project manager at Bloomvertech and Castroalonso. Driver of WSTARTUPCommunity in Asturias

    • Speakers

Susana Pascual – CEO of PixelsHub and entrepreneurial woman of reference in Spain by El Referente

    • Moderator

Alicia Suárez Hulton

Registration

https://us02web.zoom.us/webinar/register/5615942809588/WN_lta3tVcRQpWfl8fHlCQkTQ

Why are initiatives like this necessary?

It’s a reality that only 12% of the TIC sector is represented by women in Spain, and 18% worldwide. Also, if we talk about jobs that imply a greater responsibility, these percentages fall extremely. These figures are very worrying due to the digitalization of our society and a future in which most of the jobs generated will be related to new technologies. According to a report published by the consulting firm A.T. Kearney the existing gender gap in our country causes a loss of wealth equivalent to 15% of gross domestic product. Startups founded and led by women are economically more profitable but receive less funding.The inclusion of women in technological jobs and support for female entrepreneurship is a necessary condition, not only to contribute new and innovative points of view, but also to create increasingly inclusive products. If emerging technologies such as machine learning or deep learning, interact mostly with data generated by male profiles, it is inevitable that they contain gender biases.

How can we create a more inclusive technology sector?

The task of improving these figures lies in a long process that begins in training centres such as schools and institutes, encouraging girls to have a passion for new technologies, and ends in small and medium-sized enterprises, large multinationals and public institutions that must support events, projects and innovative ideas.

Asturias as a reference for female entrepreneurship

To create a more egalitarian sector we should not go too far. We have a great deal of female talent in the STEM field, a good training offer and a technology sector that is beginning to take off. Associations such as W STARTUP C aim to unite these points with the aim of converting Asturias into a feminine reference point both on a Spanish and European level. 

We are building the next generation of startup woman leaders in tech! You in?

Patrocinio de las jornadas “II encuentro de ENS”

El centro criptológico nacional (CCN) celebró el pasado 24 de junio su segundo encuentro del Esquema Nacional de Seguridad en el que se conmemoran los 10 años de este Real Decreto.

El ENS tiene como finalidad última determinar la política de seguridad en la utilización de medios electrónicos, y, para ello, cuenta con 75 medidas de seguridad resumidas en tres grandes ámbitos: medidas de protección, marcos organizativos y operaciones.

Desde Bloomvertech y Castroalonso colaboramos con este evento formando parte de sus patrocinadores. Si quieres saber más a cerca de él puedes hacerlo a través del siguiente enlace: II encuentro de ENS.

Proyecto Nébula

Nébula, una aplicación de recolección, análisis y publicación de indicadores de compromiso, desarrollada por el equipo de Bloomvertech, cuya finalidad es la de detectar dominios maliciosos ante los ataques de phishing. Sus principales características son:

    • Un agregador de IOCs flexible, que irá modificándose y adaptándose a las nuevas campañas de phishing.
    • Un sistema colaborativo que basa su eficacia en la cadena de validación mediante analistas asociados a BloomverTech.
    • El usuario final puede consultar gratuitamente su base de datos mediante portal web (https://nebula.bloomvertech.com/) o mediante API, previa solicitud.

Si quieres conocer más en profundidad esta nueva herramienta puedes leer la siguiente entrevista, realizada por Innovasturias, a nuestro CISO Facundo Gallo: Proyecto Nébula.

El Ransomware se paga con tiempo, ¿puedes pagarlo?

Hace unos días la compañía EDP sufrió un ciberataque sobre el cual nuestro compañero, César Fernández González, hace las siguientes reflexiones:

Desde el punto de vista técnico el ransomware es un problema relativamente nuevo, pero su mitigación es tan vieja como las IT mismas: el backup. El ransomware consiste en cifrar los datos de una organización y pedir un rescate por la clave de descifrado. A primera vista, si tenemos copias de seguridad (diarias, por ejemplo) con restaurar la última copia completa y su incremental problema resuelto ¿o no es así?

Pues la respuesta es “depende” (léase con tono gallego), y es que aquí el tamaño si que importa: no es lo mismo restaurar 2 máquinas con 50 GB cada una (entorno perfectamente realista en una PYME) que restaurar cientos si no miles de máquinas y muchos Tb de información como parece ser el caso de EDP (recordemos que solo la información que dicen haber exfiltrado son 10 Tb y eso es la punta del iceberg de lo cifrado). Cuando hablamos de un volumen masivo de información es cuando entra en juego mi concepto favorito de toda arquitectura: la escalabilidad.

Todo sistema informático se consta de 3 componentes básicos: cómputo (CPU), memoria volátil (RAM) y almacenamiento (disco), y cuando hablamos de sistemas con más de una máquina aparece un cuarto componente básico: la red. Supongamos, por simplificación, que nuestros recursos de cómputo y memoria volátil son infinitos, e introduzcamos la variable que me interesa para este ejercicio: el tiempo.

El almacenamiento de las copias de seguridad es por definición “barato y lento”. Tradicionalmente se usan cabinas de cintas magnéticas LTO (muy similares a VHS) que tienen una densidad de almacenamiento muy alta pero el tiempo para acceder al dato a restaurar es muy lento, pueden ser segundos, minutos o si la máquina de cintas tiene todas sus cabezas lectoras ocupadas restaurando o guardando otros datos, podemos hablar de horas (días, semanas ☹ … ) puesto que nuestra restauración tiene que ponerse a la cola de trabajos de restauración. La otra tecnología que se esta usando masivamente es el almacenamiento en la nube, pero en “cold storage”. Hablamos de productos como Glacier de Amazon AWS que permiten almacenamiento virtualmente infinito a un coste muy reducido (de su web: Los precios del almacenamiento con Amazon S3 Glacier comienzan a partir de 0,004 USD por gigabyte al mes) luego la recuperación de los datos ya tiene un coste más elevado, pero ahora mismo no nos preocupa el dinero (al fin y al cabo, nuestros sistemas están cifrados, estamos en pánico y los secuestradores nos piden 10 millones de $). Sin embargo, de nuevo entra la variable tiempo: los ficheros no están accesibles inmediatamente, también hay una cola de peticiones y los ficheros estarán disponibles en Glacier para su descarga transcurridas unas 4 horas desde que se procesa la petición.

Y hasta aquí solo hemos tenido en cuenta el tiempo que tarda en estar disponible el dato en el sistema de almacenamiento. Ahora entra el otro factor: la red. En el sistema de backup a cintas los distintos interfaces de servidores de backup tienen una capacidad limitada, y a su vez los distintos dispositivos de red que atraviesan los trabajos de restauración tampoco tienen capacidad infinita y por último la red del dispositivo final a restaurar también tiene unos límites, típicamente mucho menores. En el caso de restauración desde nube nos encontramos además con la limitación del ancho de banda de nuestra conexión a internet (y la que el proveedor de nube quiera dedicar a nuestra restauración)

Bien, de forma totalmente especulativa y solo para ver el orden de magnitud del que estamos hablando, supongamos una capacidad de restauración de 1Gb por segundo y tengamos en cuenta el entorno ideal que por todo lo demás nos hemos dado (CPU y RAM infinitas, todos los backups son consistentes y todos los trabajos de recuperación funcionan a la primera). Si tenemos que restaurar 1 Pb = 1.000.000 Gb tardaríamos 1.000.000 segundos = 16.666 minutos = 277 horas = 11.57 días.

¡¡¡11 DIAS!!! Recuerdo que todos los valores son inventados, pero ese es el orden de magnitud: semanas o meses. Y lamentablemente el entorno descrito no es realista, en el mundo real el resto de recursos no son infinitos y los fallos en los procesos existen.

Esto me lleva a la segunda reflexión, la de negocio. ¿Puede un negocio perder el acceso a su información durante semanas? Es más ¿Tiene algún valor esa información que lleva semanas sin actualizarse? En muchos casos a pesar de ser capaz de restaurar toda la información y volver al punto de origen la organización ya estará tocada de muerte. Claramente no es el caso de EDP puesto que es una compañía industrial cuyo “core” de negocio no se ha visto afectado y sus sistemas críticos OT están aislados, pero sí es el caso de muchas otras compañías, especialmente en el sector servicios.

-Entonces ¿Qué hacemos? ¿Pagamos el rescate?

Curiosamente, eso es indiferente. Desde el punto de vista técnico, los ficheros que estén cifrados habría que desencriptarlos y también estaríamos hablando de un proceso igualmente costoso en tiempo (suponiendo que el secuestrador nos diese la clave tras el pago, que eso está por ver)

-¡Oh Dios mío estamos perdidos! ¡Registremos los datos en papel!

Tranquila voz de mi cabeza. No volvamos al medievo todavía. Cada vez que se quema un bosque en verano oímos la misma cantinela de los expertos: “los incendios se apagan en invierno”. En el mundo IT la solución es la misma: inversión, prevención y monitorización “en invierno”. Hay que invertir en los sistemas más seguros posibles para evitar los incidentes antes de que ocurran, pero también hay que ser capaces de saber que ataques estamos recibiendo en todo momento (no solo los exitosos, también los fallidos), tenemos que saber exactamente cuál es nuestra exposición, tenemos que conocer cuáles son nuestros sistemas fundamentales para dar nuestro servicio y debemos tener un plan de continuidad de negocio por si todo lo demás falla.

En resumen: hay que protegerse lo mejor posible, pero como la seguridad total no existe, también hay que monitorizar todo continuamente para cuando la intrusión ocurra detectar esa actividad anómala lo antes posible y que el impacto sea gestionable, porque no es lo mismo recuperar 1 Gb que 1 Pb.

Pudes leer también el artículo pinchando aquí.