nº 999 - 28 de septiembre de 2023
Plan de prevención de ciberataques en el bufete
Fernando J. Biurrun. Consultor Social Media. Fundador Lawandtrends.com
Una filtración de datos supondría la pérdida de confianza de los clientes, no solo de los afectados, sino que también afectaría a la reputación de la marca del despacho en el sector
Es necesaria una dirección concienciada con la seguridad y que transmita a los equipos de trabajo la importancia de las políticas de prevención y de control
El valor de los datos y de la información que contienen los servidores de un despacho de abogados puede ser incalculable. La protección de los datos y de la información del despacho es uno de los aspectos más delicados en la gestión de los despachos. Después de los ataques recibidos en un hospital en Cataluña y el recientemente sufrido por el Ayuntamiento de Sevilla, no hacen más que mostrarnos una nueva realidad del valor que tiene la información que se maneja en las instituciones, en las empresas y, también, en los despachos y los riesgos que conlleva el que terceros puedan acceder a ella.
Qué información y datos corren riesgo de hackeo
Cuando hablamos de despachos de abogados, la información más sensible y que estaría bajo el deber de secreto que tienen que mantener los profesionales legales serían los datos de los clientes, sus asuntos, los informes económicos, sus declaraciones, sus datos estratégicos… En suma, todo un gran elenco de datos que podrían vulnerar su intimidad y su patrimonio en el caso de personas físicas o atentar contra su estrategia comercial o su posición en el mercado en el caso de sociedades mercantiles. Y lo peor de todo, una filtración de datos supondría la pérdida de confianza de los clientes, no solo de los afectados, sino que también afectaría a la reputación de la marca del despacho en el sector.
Otro grupo de datos sensibles son los del propio despacho. Los datos financieros, la facturación de los clientes, los rendimientos de cada profesional… información estratégica de cómo se gestiona el despacho. Además, estarían los datos de los empleados, su información personal, no solo desde el punto de vista de la información laboral, sino de su aportación en los casos, el Know-how de la estrategia jurídica, de la metodología de casa caso…
En suma, una información valiosa para competidores, tanto de los propios clientes como del propio despacho.
Mapa de riesgos
Identificar los riesgos existentes en el despacho en los que puede darse una brecha de seguridad es una de las labores fundamentales.
No todos los riesgos vienen de fuera del despacho, aunque suelen ser los más peligrosos. Estos riesgos externos vienen en gran medida por el uso de los componentes del despacho de las herramientas informáticas. La recepción de correos maliciosos, el phishing, los ataques de malware o de ransomware… son los supuestos más habituales, por los que además de establecer sistemas preventivos en la arquitectura digital y de los servidores del despacho, es conveniente una formación de todos los usuarios que le ayude a identificar potenciales problemas, un reciclaje permanente y un plan de integración para los nuevos fichajes.
Los riesgos internos pueden venir de los propios empleados. Es importante establecer diferentes niveles de seguridad para acceder a determinada información, con los registros de los usuarios y con las alarmas que se consideren oportunas para establecer mecanismos de prevención. Todo ello con una gestión eficiente del uso de contraseñas personales y la política de actualización. No será la primera vez que un empleado descontento, conocedor que se va a prescindir de él o con intención de cambiar a otro despacho trate de acceder a información que pueda utilizar para beneficio personal o para dañar la imagen del despacho.
Además de estos riesgos dolosos, podemos añadir los derivados de la imprudencia, como podría ser la pérdida o el hurto de un portátil, un usb o cualquier otro sistema de almacenamiento que podría ser susceptible de llegar a manos de terceros.
Mecanismos de control
Ya hemos anticipado algunos, como puede ser una política de contraseñas, normativa de custodia de los soportes electrónicos de la empresa (smartphone, portátil, usb…), formación de los equipos y actualización permanente de los nuevos riesgos digitales…
Además, se deberá contar con los mecanismos suficientes para impedir el acceso de terceros a los servidores del despacho, el uso de VPN seguras, el cifrado de los datos, los cortafuegos y los sistemas de detección de intrusos serán fundamentales para garantizar la seguridad de la información. Sin olvidar las políticas de copias de seguridad y la recuperación de datos que pueden en determinados momentos ser vitales para el funcionamiento de la actividad del despacho.
Así que establecer un responsable de seguridad puede ser una de las principales decisiones para que desarrolle un plan de actuación y de revisión contante que garantice el óptimo funcionamiento y active todas las medidas de prevención. Al igual que una dirección concienciada con la seguridad y que transmita a los equipos de trabajo la importancia de las políticas de prevención y de control. ■