Patricia Esteban.- El buen funcionamiento e, incluso, la supervivencia de un despacho depende en gran medida de cómo gestione su seguridad informática. En un entorno cada vez más tecnológico, mantener la integridad, disponibilidad, privacidad, control y autenticidad de la información digital que maneja el despacho es vital para su marcha y su reputación. Como avisan los expertos, los despachos profesionales se han convertido en un objetivo muy apetitoso para los hackers por el tipo de información que manejan. Filtraciones que han acabado en escándalo, como los Papeles de Panamá o Football Leaks, tuvieron su origen en un despacho hackeado.
La inversión en ciberseguridad es, por este motivo, estratégica para las firmas y abogados, que deberán tenerla muy en cuenta tanto en los inicios como durante todos los años de ejercicio. Los despachos deben priorizar que el equipamiento informático, los sistemas en la nube, el correo electrónico y otras herramientas de gestión cuenten con todas las garantías de seguridad.
Tanto la abogacía institucional, como los colegios profesionales y los reguladores realizan una labor de concienciación y ofrecen guías para facilitar la implementación de buenas prácticas que minimicen los riesgos de sufrir un ciberataque o una filtración.
Pecados capitales
En ciberseguridad, hay actuaciones que pueden condenar a un despacho profesional o empresa a un incidente en la seguridad de sus sistemas informáticos, o, lo que es peor, a una fuga de datos de clientes. Gianluca D’Antonio, director del Máster de Ciberseguridad de IE y presidente de ISMS Forum Spain (una asociación española sin ánimo de lucro, cuyo principal objetivo es fomentar la seguridad de la información), resumió estos comportamientos como los siete pecados capitales de la ciberseguridad en el Legal Management Forum 2019.
1. El primero de los pecados capitales es creer que la información que se maneja en el despacho no tiene valor para hacker. Las firmas manejan datos personales que se pueden vender, medios de pago, datos confidenciales de clientes o del negocio, proveedores…
2. El segundo, es pensar que no se puedo hacer nada para evitarlo. No estar al día en ciberseguridad y poco sensibilizado de los riesgos que se asumen, rebaja el nivel de seguridad y aumenta las posibilidades de incidentes.
3. El negocio de los hackers ya no está en las grandes organizaciones (bancos,…). Según un estudio de Symantec 2019, el 46% de los objetivos de los ciberdelincuentes son pequeñas y medianas empresas (por debajo de 250 empleados). Estas invierten menos en ciberseguridad y el nivel de concienciación de los empleados es pequeño (son más permeables al phissing..) . El ultimo es el financiero, el tipo de organización más atacadas es por debajo de 250 empleados (phissing).. el negocio no está en la gran organización
4. En cuarto lugar, hay que tener en cuenta que la seguridad física y lógica están separadas y son diferentes, no hay que descuidar ninguna. Junto con los programas antimalware, hay que establecer barreras físicas y procedimientos de control frente a amenazas físicas al hardware.
5. Externalizar servicio no libera de responsabilidad y, sobre todo, del daño reputacional.
6. El sexto de los pecados capitales es pensar que la inversión en ciberseguridad es algo que pocos pueden permitirse. Sin embargo, la estrategia digital es fundamental para hacer crecer el negocio. Igual que se cuenta con un contable o un financiero, el despacho debe tener un experto en riesgo digital. El futuro que viene será digital y tendrá que haber alguien que se responsabilice y que gestione de forma adecuada el riesgo.
7. Tener la seguridad del sistema externalizado tampoco exime de implementar controles y medidas de seguridad: el día que pase algo sacarán la letra pequeña, el compromiso de mantenimiento.
Buenas prácticas
El riesgo cero en ciberseguridad no existe. Es imprescindible que, además de contar con métodos de seguridad física y analógica, los miembros del despacho estén concienciados, e interiorizar una serie de buenas prácticas. Estas son las cinco reglas de oro:
1. Actualizar los sistemas. Siguiendo la política de ciberseguridad del despacho, es necesario vigilar el estado de actualización de los sistemas, instalándolas tan pronto se publiquen, y configurar actualizaciones automáticas.
2. Pautas de seguridad en la red. Restringir al máximo los accesos, controlar los dispositivos de almacenamiento externo, eliminar cuentas y contraseñas por defecto, monitorizar y definir responsabilidades son puntos clave para la seguridad de la red.
3. Prácticas para combatir el malware. En ciberseguridad, el eslabón más débil es el humano. Estos riesgos se combaten con formación y concienciación. Hay una serie de consejos, que muchas veces tienen que ver con el sentido común: evitar conexión de dispositivos en sitios no confiables, utilizar un gestor de contraseñas, configurar bien los parámetros de privacidad, utilizar siempre el segundo factor de autenticación, y, sobre todo, tener en cuenta que nada es gratis, si lo ofrecen a coste cero.. es que el producto somos nosotros.
4. Bring Your Own Devide (BYOD). Hay que tener especial atención a este modo de trabajo. Para minimizar los riesgos derivados del uso de estos dispositivos se debe involucrar a los usuarios en su protección. Es aconsejable mantener una base de datos de usuarios y dispositivos. Por otro lado, hay que tener especial cuidado con las herramientas utilizadas para el almacenamiento de datos corporativos, especialmente a la hora de utilizar aplicaciones de intercambio de archivos en la nube.
5. ¿Qué hacer en redes wifi? Algunas buenas prácticas para aumentar la seguridad de la red wifi corporativa son: cambiar el usuario y la contraseña de acceso a la configuración del router, ocultar el nombre de la red wifi (SSID) del despacho, para que esta no sea visible o permitir acceder a la red únicamente a los dispositivos de trabajo.
ESPACIO ABOGACÍA + ABOGACÍA DIGITAL
Te presentamos “Espacio abogacía” y “Abogacía digital” dos nuevas iniciativas del ICAM para facilitar tu ejercicio profesional. Ni el despacho, ni el ordenador, ni los programas, ni las bases de datos serán ya algo de lo que te tengas que preocupar. Déjalo en nuestras manos y dedícate a lo realmente importante, tus clientes.
Conoce todas las posibilidades de “Espacio abogacía” y “Abogacía digital” accediendo a este enlace.