nº 994 - 30 de marzo de 2023
Ciberseguridad y trabajo remoto, una cuestión a tener en cuenta en el despacho
Fernando J. Biurrun. Consultor Social Media. Fundador Lawandtrends.com
Según una encuesta realizada por la American Bar, el año pasado cerca del 70 % de los encuestados afirmaba que teletrabaja de forma habitual o a tiempo parcial
Se hace necesario establecer unas políticas de ciberseguridad que deban ser adoptadas por toda la organización, bien sea cuando se realiza trabajo en remoto de una forma puntual o de forma habitual
Con el paso de la pandemia el trabajo en remoto de forma habitual o a tiempo parcial se ha consolidado en la mayoría de los trabajaos y, también, en los despachos de abogados. El trabajo híbrido es otra de las fórmulas que han adoptado muchos despachos de abogados, unos días de oficina, otros de teletrabajo en casa, una combinación que cada despacho la está adaptando a su medida y en función de sus necesidades organizativas.
Según una encuesta realizada por la American Bar el año pasado el 87 % de los abogados encuestados tenía posibilidades de teletrabajar de forma remota. Cerca del 70 % de los encuestados afirmaba que teletrabaja de forma habitual o a tiempo parcial. Este cambio de la forma de trabajar de los abogados lleva que la preocupación por la ciberseguridad aumente.
La producción legal se ha descentralizado y los datos confidenciales, tanto del despacho como de los clientes, circulan en entornos susceptibles de riesgo. Conceptualmente, el hecho de estar fuera de la oficina supone que se relajen muchos de los controles existentes y que la propia predisposición de la persona que teletrabaja sea más laxa a seguir determinados protocolos de seguridad.
De un lado, se es más vulnerable a estafas con el phishing, ataques de malware, y ransomware, etc. y, de otro, si el trabajo en remoto se realiza en lugares públicos (aeropuertos, cafeterías, coworkings…) las pantallas están expuestas a que terceros puedan estar observando la información o controlando las formas de acceso a las diferentes herramientas. Lo mismo si las conexiones se realizan a través de wifis públicas donde las probabilidades de que pueda haber terceros «observando» pueden ser mayores.
Por todo ello, se hace necesario establecer unas políticas de ciberseguridad que deban ser adoptadas por toda la organización, bien sea cuando se realiza trabajo en remoto de una forma puntual o de forma habitual.
Formación básica a los riesgos del trabajo en remoto
Junto con la normativa de seguridad es conveniente que los miembros del despacho tengan una formación básica a los riesgos del trabajo en remoto. Aspectos como el reconocimiento de las estafas de phishing, prevención y control en la descarga de documentos o de enlaces provenientes de terceros que pueden contener virus o facilitar a terceros a acceder y/o monitorizar la actividad de los dispositivos, restricción de acceso a sitios webs de confianza o ajenos a la actividad, uso y control de contraseñas, tener activados los antivirus corporativos en todo momento, así como actualizados los programas habilitados en el dispositivo conforme a las reglas establecidas en la organización, etc.
Así, siempre será conveniente contar con un responsable de ciberseguridad que determine las políticas a seguir, pueda formar a los miembros de la organización requiriendo el tiempo necesario en función del diferente grado de familiarización a los dispositivos electrónicos y que además tenga la disponibilidad con los usuarios para gestionar dudas y situaciones que puedan surgir.
La actualización de los dispositivos es un requerimiento básico para evitar, en muchos casos, problemas de ciberseguridad. En ocasiones solo se instalan cuando se emplean los dispositivos en la red de la oficina y los usuarios en remoto puede ser más descuidados en actualizar aplicaciones y sistemas. Por ello, puede ser aconsejable establecer auditorias puntuales para verificar la actualización de dispositivos.
Control de las contraseñas
Otro aspecto importante es el control de las contraseñas de acceso a los sistemas corporativos. Es conveniente que para la creación de contraseñas se obligue a combinar diferentes tipos de caracteres y que las contraseñas tengan que ser actualizadas periódicamente, evitando que se puedan utilizar contraseñas anteriores. Todo esto unido a la formación de los usuarios para que no anoten las contraseñas en otros dispositivos, cuadernos o las guarden en archivos susceptibles de ser pirateados.
En organizaciones más exigentes el acceso a determinados programas corporativos requiere de una doble verificación, parecida a la que usan bancos o algunas aplicaciones de uso habitual, en la que se requiere que el usuario introduzca una clave que le llega a través de otra vía, un SMS, un correo electrónico o una aplicación de autentificación. La confidencialidad de los datos de expedientes y clientes puede llevar, en ocasiones, a instalar sistemas de acceso que requieran un control de seguridad importante.
Asimismo, siempre hay que estar actualizado y conocer tanto las novedades de protección y prevención como cualquier tipo de nuevas prácticas que realizan los ciberdelincuentes ya que ninguna organización es ajena a que se puedan producir vulneraciones de seguridad. ■