Garantizar la seguridad de la información de los clientes, una nueva obligación para los abogados que entronca con su secreto profesional
|
21/12/2019 00:00
|
Actualizado: 21/12/2019 00:00
|
Según el Instituto Nacional de Ciberseguridad (Incibe), durante 2016 se reportaron en España al menos 70 ataques de ransomware a despachos de abogados. Estas situaciones, aparte de importantes pérdidas económicas, pueden tener graves consecuencias para la reputación.
Los despachos de abogados están en el punto de mira de los hackers. El secuestro de datos relevantes de los casos que llevan con el fin de obtener un rescate ramsonware es el ataque más habitual.
El cibercrimen amenaza a las empresas y se sustenta en medios tecnológicos sofisticados para capturar información de valor de terceros. Es un riesgo de negocio notable.
De hecho, el nuevo Código Deontológico de la Abogacía, aprobado el pasado mes de mayo en el transcurso del último Congreso Nacional del CGAE en Valladolid ratifica la necesidad del secreto profesional, uno de los principios básicos del profesional del Derecho.
Esta obligación, en virtud del artículo 5, permanece incluso después de haber cesado en la prestación de servicios.
En esta línea, el artículo 21 obliga a un uso responsable y diligente de la tecnología de la información y comunicación, que impone al abogado el deber de preservar la confidencialidad, asegurándose de la recepción de la comunicación y privándose de enviar información sin expreso consentimiento.
Para Francisco Pérez Bes, responsable de la nueva área de Derecho y Economía digital de Gómez-Acebo & Pombo, despacho al que acaba de incorporarse proveniente del Instituto de Ciberseguridad de España (INCIBE), donde fue Secretario General de esta entidad y su DPO, los despachos tienen que darse cuenta que están ante una obligación legal “el profesional del Derecho es, por tanto, una herramienta fundamental en el proceso de prevención de los ciberataques”.
Este abogado creador del primer Código Derecho para la Ciberseguridad, es además, miembro de la Comisión Jurídica del Consejo General de la Abogacía Española (CGAE), y de las comisiones de Derecho de la Ciberseguridad y de Compliance de esta entidad.
También es vicepresidente de la Asociación de Expertos Nacionales de Derecho TIC (ENATIC), y fue asimismo secretario de la Asociación Española de Responsables de Comunidades Online y Profesionales del Social Media (AERCO-PSM).
Para este experto “hay que darse cuenta que el propio Reglamento Europeo de Protección de Datos (RGPD) ya obliga a todas las empresas implementar medidas técnicas y organizativas adecuadas para la protección de datos personales que tiene cualquier entidad”.
Al mismo tiempo nos señala que “en cuanto al resto de información viene regulada por la Directiva NIS de ciberseguridad que se ha traspuesto en nuestro país desde el Real Decreto 12/2018 que solo aplica a operadores esenciales y otras entidades que señala la directiva como prestadores de servicios digitales, el resto de despachos deberían trabajar en la misma dirección aunque no estén en la órbita de la directiva”.
Los despachos deben proteger su información
Gómez-Acebo & Pombo acaba de recibir certificación basada en norma UNE-EN ISO/IEC 27001:2014 que ha sido otorgada por AENOR, que establece los requisitos para implantar, documentar y evaluar un sistema de gestión de seguridad de la información.
Este garantiza la implantación de un sistema de ciberseguridad orientada a los procesos y objetivos del negocio considerando el análisis de riesgos de TIC.
De este modo, los servicios jurídicos que la firma ofrece a los clientes tienen las máximas garantías de seguridad, como son la integridad, confidencialidad y disponibilidad de la información.
Esta certificación acredita y fortalece la gestión de riesgos en Gómez-Acebo & Pombo, al asegurar que éstos se identifican y se valoran frente a los procesos de negocio y los activos, considerando su impacto para la organización.
Además, la certificación confirma que se han implantado los controles y procedimientos más eficaces y coherentes con el servicio que presta la firma.
Pérez Bes recuerda que “lo más importante es hacer una reflexión en materia de ciberseguridad y en función de la estructura de la firma desarrollar la política adecuada de ciberseguridad».
«No hay modelos standard y es mejor no copiar lo que haga la competencia. Debemos saber nuestras necesidades y sobre ellas diseñar un Plan de Acción con medidas preventivas y reactivas a implementar”.
El objetivo en estas firmas legales, como ya lo es en otras empresas, es proteger la información que se maneja, que en el caso de los bufetes también supone información externa de clientes que han confiado en sus abogados para la llevanza de diferentes temas.
“No es necesario hacer grandes inversiones, es más importante a veces realizar tareas de concienciación y sensibilización para que la organización sepa qué tiene que hacer si hay un ciberataque”.
La importancia de la seguridad de la información
Desde su punto de vista hay que encontrar un equilibrio “de cara a lograr las medidas adecuadas para proteger nuestro despacho. Ya pasó el tiempo de la antigua LOPD de 1999 donde se resolvía con una auditoría que se hacía cada cierto tiempo».
«Ahora la normativa europea del RGPD nos señala que el objetivo es lograr ser eficaz en la protección de la información. Se trata de tener claro el camino para lograr ese reto en materia de protección de la información”.
Este jurista recuerda que “desde INCIBE la política siempre fue desarrollar herramientas de ayuda a las empresas en materia de ciberseguridad, de esa forma eran más sencillas implementarlas».
«Hay empresas que realizan jornadas de trabajo tanto internas o para nuestros clientes, simulacros o campañas internas de concienciación. Se trata de saber identificar y gestionar los incidentes que puedan llegar a cualquier bufete y reducir su impacto”.
Desde su punto de vista “los abogados tendemos a perdernos en la tecnología. Quizás porque es una práctica algo lejana a lo habitual, lo que hace que no seamos muy rápidos en la implementación de dichas medidas de seguridad de la información».
«Pero es fundamental que lo vean como un tema fundamental”.
Pérez Bes recuerda que también en su momento, tanto los riesgos como la prevención en el blanqueo de capitales tardaron en asumirse por los despachos de abogados “pero hay que normalizar la situación en materia de seguridad de la información».
«Los abogados deben proteger con celo la información de sus clientes. En este terreno el papel de los Colegios de abogados para las pequeñas firmas es importante a nivel formativo”.
En el futuro, este experto en seguridad de la información cree que “al igual que ya hacen muchas empresas con sus proveedores, los despachos de abogados tenderán a buscar el mismo nivel de seguridad a sus proveedores y colaboradores».
«Basta incluir alguna cláusula a nivel contractual sobre este tema. Es una de las mejores medidas para minimizar el riesgo de ciberataques”.
Sobre el ciberataque en sí, considera que es fundamental contar “con un protocolo de actuación bien definido donde cada profesional de la empresa sepa qué tiene que hacer. En el momento que tengas un incidente no puedes pararte a revisarla y perder tiempo valioso».
«Es importante tener a mano la cobertura del seguro y cómo vamos a notificar dicha brecha de seguridad y si será necesario notificarlo al regulador correspondiente”.
De todo este protocolo para Pérez Bes “lo más complejo es la coordinación interna de todas las actuaciones que deben ponerse en marcha».
«Se trata de hacer confluir los intereses de nuestro departamento legal con el de comunicación y el de tecnología que puede tener prisa en reparar el incidente».
«Lo que hay que conseguir es coordinarlo todo para que la reacción de la empresa sea una. Es bueno contar con un organismo que gestione los mensajes y lidere este tipo de situaciones”.
Noticias Relacionadas:
