La EUIPO maneja información muy sensible e importante. ¿Qué medidas adoptan para que no haya fugas de información desde el interior?

La Oficina trata, efectivamente, información sensible que debemos mantener protegida para evitar fugas. Pero otro aspecto también importante es que custodiamos información de carácter público cuya integridad debe ser garantizada. No es solamente una cuestión de filtraciones, sino de impedir también incursiones malintencionadas que podrían intentar alterar el contenido de los registros de marcas y diseños, con el consiguiente daño a sus usuarios. La información es clasificada mediante un sistema de niveles de seguridad para poder aplicar mecanismos distintos en función de la confidencialidad o sensibilidad necesaria. Esto nos da una base para decidir qué medidas aplicar a qué tipo de documento o dato, y tener una seguridad proporcionada al riesgo que implicaría una fuga. La más importante línea de defensa son, evidentemente, nuestros empleados, en quienes fomentamos el desarrollo de conocimiento sobre los riesgos de posibles ciberataques. Tenemos también medidas técnicas mediante herramientas de protección (cortafuegos, antivirus, etcétera) y contamos con un nivel de colaboración importante con otras oficinas de propiedad intelectual en la UE, mediante una red de intercambio de alertas, y otra equivalente a nivel de instituciones europeas. Un aviso de un posible ataque que elimine el factor sorpresa a menudo resulta una reacción más rápida y efectiva.

¿Tienen constancia de si reciben ataques informáticos para dañar equipos o conseguir información de proyectos?

En vista de la exposición pública que tiene la EUIPO como agencia descentralizada de la UE para ofrecer protección en materia de derechos de propiedad intelectual, y dado que también alberga el Observatorio Europeo de las Vulneraciones de los Derechos de Propiedad Intelectual, confiado a la EUIPO en junio de 2012, recibimos ataques informáticos, sí.

¿Nos puede decir si son muchos al día, al mes o al año?

No todos los ataques son iguales. La cantidad de virus, malware, etcétera, mandados por correo electrónico puede medirse en docenas por mes, pero rara vez llegan hasta el empleado, ya que tenemos filtros para interceptarlos. En los casos infrecuentes en los que han atravesado esas defensas, el empleado lo ha identificado como sospechoso y se ha podido eliminar sin infección. Ataques generalizados contra parte de nuestra infraestructura, como los ataques de denegación de servicio distribuido, son obviamente menos frecuentes, pero los detectamos casi todos los meses.

¿Qué medidas de protección tienen ante ciberataques?

Tenemos medidas tecnológicas, por supuesto, pero la medida más importante sigue siendo la concienciación de nuestros empleados. Invertimos esfuerzo en que todos sean cuidadosos en la aplicación de las buenas prácticas relativas al manejo de la información, de los recursos informáticos, de los dispositivos móviles, etcétera. También tenemos un equipo especializado en seguridad informática que vigila permanentemente. En ambos casos, el factor humano sigue siendo nuestra mejor defensa.

¿Notan un aumento en cuanto a ataques informáticos para hacerse con su información?

Es cierto que regularmente impedimos intentos de descarga masiva de datos, y que, en general, la cantidad de incidentes de seguridad en los últimos años ha aumentado. Nuestra preocupación no es tanto el aumento en la cantidad, sino el nivel de sofisticación que los ataques van adquiriendo.