nº 983 - 31 de marzo de 2022
Ciberseguridad: un 25 % de los despachos americanos han tenido alguna brecha de seguridad en 2021
Fernando J. Biurrun. Consultor Social Media. Fundador Lawandtrends.com
Un 80 % de los abogados independientes se declara responsable principal del sistema de seguridad de su despacho
Un 17 % de los encuestados reconoce no tener una política de seguridad
EL 80 % de las firmas con más de 100 abogados tienen planes para incidencias
En el Informe presentado por la American Bar Association (ABA) sobre la ciberseguridad de los despachos de abogados en 2021 revela que un 25 % de las firmas estadounidenses sufrieron algún tipo de brecha de seguridad.
Es uno de los resultados más llamativos de la encuesta que realizo ABA entre los bufetes de abogados. La violación de los sistemas de seguridad resulta un objetivo atractivo para los ciberdelincuentes. Estos son conocedores de la gran cantidad de datos que tienen los despachos de personas y empresas. Los bufetes de abogados son puntos neurálgicos para acceder y recopilar una gran cantidad de información de los clientes.
La ABA establece una serie de obligaciones deontológicas a los abogados en los referentes a la confidencialidad de los datos de los clientes, la comunicación, la confidencialidad de la información y la supervisión de los sistemas.
Responsables de seguridad
Normas que deberían preocupar a los abogados, pero que nos parece ser tal cuando un 80 % de los abogados independientes se declara responsable principal del sistema de seguridad de su despacho. Así, cuanto más grande es la firma de abogados más se traslada esta responsabilidad a un director de tecnología o a una empresa externa.
Aun así, solo un 13 % de las firmas de 100 a 499 abogados cuentan con un director de seguridad y un 16 % en las firmas de más de 500 abogados. Dato que sorprende conociendo la relevancia de los datos y de la información que almacenan este tipo de bufetes.
Un 9 % señala que no hay un responsable de seguridad.
Políticas de seguridad
Tan importante como tener un responsable de seguridad es contar con políticas de tratamiento de datos e información en los despachos. Un 53 % de los despachos encuestados reconoce tener alguna política de seguridad de la información.
Así un 60 % tiene una política sobre el uso del correo electrónico, el 56 % para el uso de Internet, el 57 % para el uso del ordenador, el 56 % para el acceso remoto, el 48 % para las redes sociales, el 32 % para el uso de tecnología personal/BYOD (Bring Your Dispositivo Propio) y un 44 % para la privacidad de los empleados. Estos números tienden a ser más altos en los despachos grandes, mientras que para los pequeños establecer políticas regulatorias no es una gran prioridad.
Dos respuestas que plantean una preocupación son las que informan que no tienen políticas (17 % en general) y las que informan que no conocen las políticas de seguridad (8 %).
Planes de respuesta a incidentes
Solo el 36 % de los despachos encuestados dice que tiene un plan de respuesta a incidentes. Incide más en tamaño de la firma. Así, el 12% de las firmas individuales cuentan con un plan de este tipo, al igual que el 21 % de los despachos de dos a nueve abogados. El número salta al 80 % en firmas con más de 100 abogados.
Al igual que con un programa de seguridad integral, todos los abogados y firmas de abogados deben tener un plan de respuesta a incidentes, adaptado al tamaño de la firma. Para empresas individuales y pequeñas, puede ser solo una lista de verificación más a quién llamar para qué, pero deben tener un plan básico, señalan desde ABA.
Brechas de seguridad
El 25 % de los encuestados en general informaron de que sus empresas habían experimentado una brecha de seguridad en algún momento. Una infracción que incluye, en términos generales, incidentes como un portátil o un teléfono inteligente perdido o robado, un hacker, un allanamiento o la explotación de un sitio web.
El porcentaje de firmas que experimentaron una infracción osciló entre el 17 % de los despachos individuales individuales y con 2 a 9 abogados, aproximadamente el 35 % para firmas con 10 a 49, el 46 % con 50 a 99 y aproximadamente el 35 % con más de 100.
ABA aclara que los despachos más grandes tienen más personas, más tecnología y más datos, por lo que hay un mayor riesgo de exposición, pero también deberían tener más recursos para protegerlos.
La consecuencia más grave de una brecha de seguridad para un despacho de abogados sería muy probablemente el acceso no autorizado a datos sensibles de los clientes, aunque la pérdida de datos también sería muy grave. En la encuesta solo un 7% de los despachos reconocen haber tenido una brecha de estas características.
Alrededor del 24% de los encuestados respondió que notificaron a un cliente o clientes sobre la infracción, cuando es una obligación de ABA hacerlo. EL 14% en general informaron a la policía, el 13% de las firmas pequeñas y un 70% de los grandes despachos.
Exigencias de ciberseguridad por los clientes
Por último, la encuesta recoge que el 30 % de los despachos habían recibido un documento o pautas de requisitos de seguridad del cliente, en su mayoría en grandes despachos. Solo el 27 % de los bufetes de abogados informaron a sus clientes que tenían una evaluación de seguridad completa y, en su mayoría, también, eran bufetes grandes. ■