Inmersos prácticamente todos en los procesos de transformación digital, no podemos dejar de vigilar la ciberseguridad, es más, debemos afianzar las medidas preventivas que tengamos. Cuando instalamos soluciones digitales a abogados, muchos nos comentan que son conscientes de la ciberdelincuencia adherida el uso de Internet, pero, en la mayoría de los casos, no siempre tienen claro qué pasos concretos deben dar para estar realmente protegidos.
La naturaleza de la información que manejas
Sin rodeos: los datos con los que habitualmente trabajas, te pueden convertir en un objetivo claro. A través de un único ataque, pueden verse afectados casos, reputaciones y responsabilidades profesionales. Por todo esto, la cuestión que te plantees no debería ser: “¿me tocará a mí?”, sino más bien “¿cómo puedo reducir el impacto si ocurre?”.
La gestión como primer escudo
Puedo asegurarte que ningún firewall compite, hoy por hoy, con una buena cultura interna. Los ataques más frecuentes, como el phishing, las suplantaciones o los accesos no autorizados, entran por las personas, no por las máquinas.
Algunas medidas simples muy efectivas:
• En primer lugar, la formación periódica. Es imprescindible que todo el equipo de un despacho sepa reconocer los correos sospechosos, los posibles enlaces fraudulentos, las solicitudes atípicas del “cliente de siempre”.
• En segundo lugar, debes establecer una política clara de contraseñas. Estas deben ser largas y únicas. Lo más seguro es cambiarlas con regularidad (por ejemplo, cada tres meses).
• En tercer lugar, es conveniente disponer un doble factor de autenticación que sea imprescindible para acceder a plataformas internas, así como a los expedientes digitales.
• Y llegado el caso de un ciberataque, el equipo debe saber a quién avisar y cómo actuar: contar con protocolos de incidencias te ayudará a evitar improvisaciones peligrosas.
Lo mejor es pensar en la ciberseguridad como en la prevención de riesgos laborales; es cuestión de todos y si todos colaboran, el riesgo se reduce radicalmente.
Cómo blindar la infraestructura con facilidad
Ni hace falta ser un técnico informático ni dominar conceptos avanzados de tecnología, lo importante es establecer buenas prácticas y sensibilizar sobre su correcto cumplimiento. Por ejemplo:
- Realizar actualizaciones automáticas de los sistemas operativos, del software de gestión y de todas las aplicaciones que tengamos en uso.
- Apostar por programas antivirus y antimalware profesionales, las versiones gratuitas no ofrecen garantía de cobertura.
- Tanto en local (equipos informáticos), como en la nube, los backups (copias de seguridad del sistema) deben ser cifrados y automatizados.
- Utilizar siempre redes seguras. Es probable que pases mucho tiempo fuera del despacho y quieras aprovechar los tiempos de espera. Si es así, utiliza vpn o comparte datos de tu teléfono, pero evita trabajar con documentación sensible conectándote a Wi-Fi públicas o abiertas, sobre todo en estaciones de trenes, metros, aeropuertos.
- Esteblecer un sistema jerárquico para el control de accesos. Es decir, cada profesional debe acceder solo a los archivos que realmente necesite, no expongas toda la documentación a todo el bufete.
El papel imprescindible de la protección jurídica
Como es lógico, en un entorno legal los riesgos no son solo técnicos. Así que, con el fin de completar la protección es necesario que:
- Evalúes el impacto y el cumplimiento del RGPD.
- Exijas contratos de tratamiento y seguridad de los datos con tus proveedores tecnológicos.
- Cuentes con un inventario de datos para clasificarlos por niveles de criticidad.
- Definas planes de respuesta al posible incidente con responsabilidades asignadas.
Además de reducir riesgos, tu despacho demostrará diligencia profesional en el caso de sufrir un ciberataque.
Confiar en la auditoría interna
Muchos despachos creen que ya están protegidos, hasta que alguien revisa sus procesos. En las auditorías técnicas solemos identificar con facilidad: cuentas sin control, accesos heredados, dispositivos personales sin cifrar, contraseñas compartidas (o a la vista con el post-it de turno en el monitor), prácticas habituales de intercambio inseguro de documentos. A pesar de estas conclusiones, nadie debe percibir la auditoría como un examen, sino como una hoja de ruta que permitirá a todos avanzar con seguridad y crecer minimizando riesgos.
La ciberseguridad no es un lujo, es cosa de todos
Si bien hasta hace años, los clientes escogían uno u otro bufete fijándose en la experiencia o su reputación, en la era digital ya valoran su madurez digital, tenlo en cuenta.
Llegados a este punto, quizás creas que son muchas las tareas preventivas de ciberseguridad que debes implementar, sin embargo, ni hay que ejecutar todas las medidas de golpe y definir un plan para saber por dónde empezar y cómo continuar.
