7 claves esenciales para gestionar las pérdidas de información en un despacho de abogados
Francisco Pérez Bes, abogado experto en nuevas tecnologías y secretario general del Instituto Nacional de Ciberseguridad (INCIBE), explica las siete medidas que hay que tomar tras detectar la fuga de información de los despachos de abogados.

7 claves esenciales para gestionar las pérdidas de información en un despacho de abogados

|
31/10/2016 06:55
|
Actualizado: 13/8/2020 13:28
|

Las fugas de información en las organizaciones son casi inevitables. Pero se pueden minimizar su impacto. La alianza entre el Consejo General de la Abogacía Española (CGAE), el Insituto Nacional de Ciberseguridad (INCIBE) y la Agencia Española Española de Protección de Datos (AEPD) ha propiciado una guía para orientar a los despachos de abogados a cómo gestionar dichas fugas.

La información se ha convertido en uno de los activos más importantes que posee un despacho de abogados. Tal información, en caso de pérdida, sustracción o acceso no consentido por parte de terceros, puede ser empleada con fines indeseados o utilizada con fines comerciales.

Es por ello que las fugas de información se están convirtiendo en una de las amenazas a la que se enfrenta en el nuevo mundo conectado una profesión como la abogacía, la cual se basa en gran medida en la confianza que los clientes depositan en estos profesionales.

A nivel legislativo la AEPD obliga a comunicar estas fugas a las 72 horas de su realización y el futuro Reglamento Europeo de Protección de Datos lo señala obligatorio y establece fuertes sanciones que pueden llegar al 4 por ciento de la facturación bruta de la empresa.

Francisco Pérez Bes, secretario general de INCIBE y hombre clave en esta relación a tres bandas de estas instituciones, nos sirve para conocer mejor esta nueva publicación.

Desde su punto de vista es fundamental que los despachos apliquen medidas de ciberseguridad para la protección de esa información.

“Ayuda a protegernos frente a las ciberamenazas (virus, daños informáticos, ataques a páginas web, fraude y robo de identidad online, destrucción de información,…) y el fomento de las medidas de prevención y reacción, son factores esenciales para evitar o minimizar las filtraciones de información y la consecuente pérdida de imagen de nuestro despacho”, afirma.

Por ese motivo le pedimos a Pérez Bes que nos ayude a diseñar unas claves para gestionar esa política que ayude a minimizar las fugas de información en un despacho de abogados.

Nuestro interlocutor nos advierte que desde el punto de vista deontológico “el abogado está obligado a tener diligencia en su actividad y a mantener el secreto profesional en relación con su cliente según Código Deontológico y Estatuto General de la Abogacía”.

En este sentido, considera siete las medidas fundamentales a tomar de inmediato. Son estas:

1. Ser diligente y rápido en la detección de la fuga de información:

“Una vez que hayamos tenido conocimiento del incidente en el despacho deberemos informar internamente de la situación, activando el protocolo o plan de actuación que tengamos diseñado en nuestra organización para la gestión de esos casos. Las fugas de información pueden tener un origen interno, por algún profesional descontento o ser producto de una amenaza externa, es el caso de los ciberataques. Se trata de lograr información valiosa y en muchos casos su venta a un tercero. Dentro de la información que compartamos con las personas de nuestra organización responsables de gestionar este tipo de incidentes, es importante incidir en la prudencia y confidencialidad, redirigiendo al interlocutor previamente designado cualquier duda o pregunta que pueda surgir, tanto desde los propios empleados como de terceros», explica Pérez Bes.

2. Convocar rápido a los miembros del comité de crisis de la firma.

“No todas las organizaciones cuentan con un gabinete de crisis o tienen los recursos necesarios. Pero eso no obsta a que cada bufete deba adaptarse a la gestión del incidente con los recursos con los que pueda disponer. En cualquier caso, será necesario contar como mínimo con un responsable con capacidad de decisión, ya sea personal propio de la organización o externo, que se encargará de la gestión y coordinación de la situación», señala.

3. Determinar dimensiones de la fuga. Puesta en marcha de auditorías.

“Una vez se han iniciado los pasos anteriores, daría comienzo la fase de obtención de información sobre el incidente. Para ello, será necesario iniciar una auditoría interna, con el objetivo de determinar con exactitud los datos sustraídos, su naturaleza, si son propios o de clientes. También es el momento de determinar el origen de la filtración, si ha sido un fallo humano o técnico. Además de la auditoría interna, también es necesario realizar una auditoría externa. El objetivo de ésta será conocer el tamaño, gravedad y nivel de difusión de la filtración en el exterior de la organización. El tiempo de reacción es crítico. De forma orientativa es recomendable conocer la mayor parte de los puntos anteriores en un plazo no superior a 12 horas, desde el momento en que se ha conocido el incidente”, indica.

4. Valorar el incidente y los impactos legales y económicos que pueda generar.

“Con la información recopilada se podrá iniciar el proceso de valoración del incidente, así como sus posibles consecuencias e impacto. Para ello es recomendable establecer las tareas a emprender, así como una planificación detallada para cada una de ellas. De esta forma se activa un plan de emergencia diseñado para el incidente de fuga de información. Su ejecución deberá de estar completamente coordinada y supervisada en todo momento por el gabinete de crisis”, apunta.

5. Mitigar el impacto de esa brecha de seguridad y evitar que se generen más incidentes de este tipo.

“Se tratará de minimizar la difusión de la información sustraída, en especial si se encuentra publicada en Internet. Por este motivo, se contactará con los sitios que han publicado información, con los motores de búsqueda y se solicitará su retirada, en especial si se trata de información sensible o protegida por el secreto profesional o la LOPD. Se trata de gestionar el asunto a nivel externo e interno desde la comunicación y al mismo tiempo contactar con las fuerzas de seguridad y denunciar este hecho. Este tipo de situaciones sin buena gestión pueden generar daños reputaciones al despacho y alguna sanción por parte del Colegio o del CGAE a medio plazo”, puntualiza.

6. Hay que hacer un seguimiento de la situación y evaluación de las acciones realizadas.

“Durante esta fase también se iniciará el proceso de estabilización de la situación generada por el incidente. Se comenzará con un proceso de valoración global del mismo, que supondrá una auditoría más completa a partir de la cual se puedan diseñar e implantar medidas definitivas para evitar nuevas fugas y restablecer el normal funcionamiento de los servicios e infraestructuras que pudieran haberse visto afectadas», asevera.

7. La seguridad absoluta no existe. Hay que tener un plan de prevención de incidentes. 

 “Hay que darse cuenta que todas las empresas, organizaciones y despachos están expuestos a situaciones de este tipo. No existe la seguridad absoluta. Es recomendable tener definido ese protocolo de actuación y como hemos visto en este repaso rápido ser diligente y proactivo en este tipo de situaciones. Al final, lo que podemos hacer es minimizar el riesgo de que aquello se produzca. Es bueno que en los despachos haya unas buenas prácticas asumidas internamente de tal forma que los documentos estén guardados y tengamos nuestras copias de seguridad. Contar con una cultura de ciberseguridad ayuda mucho, y más en determinados momentos”, concluye.

Noticias Relacionadas:
Lo último en Áreas y sectores