Brechas de seguridad: Consejos para hacerlas frente y gestionar la reputación del despacho

La seguridad plena no existe en un mundo global e hiperconectado como el que nos ha tocado vivir. En este entorno digital empresas y despachos de abogados diseñan su estrategia de cara a proteger sus activos y evitar las brechas de seguridad. Tarea complicada ante los diferentes tipos de amenazas con los que uno se enfrenta.

Amenazas externas, ataques informáticos, o internos, profesionales despechados que roban información o errores involuntarios en la firma. Hay que tener una estrategia preventiva. El problema generado en Lexnet o el ataque cibernético con el virus Ramsonware son dos muestras de que pueden generarse brechas de seguridad en cualquier momento.

Gracias a la experiencia en esta práctica de Paz Martín, directora de Derecho Digital  del despacho Herreros & Asociados, profesional que conoce bien este campo de la seguridad y las brechas de información En la conversación que mantuvimos con ella hemos sintetizado lo más importante en este texto.

Al mismo tiempo puedes revisar la Guía sobre Fuga de Información que editaron  a finales del pasado año AEPD, INCIBE y CGAE. El mensaje que todos los expertos lanzan  es la necesidad de proteger tu despacho, salvaguardar el secreto profesonal de estos juristas y sus activos porque la seguridad al cien por cien no existe para nadie.

Una buena política de ciberseguridad exige un mantenimiento constante con los recursos y personal adecuado. Hay que tomárselo en serio y no dejarlo como algo pendiente.  La información digital exige unas medidas adecuadas y profesional que conozca bien este terreno nuevo. Nunca se debe descuidarse. En una etapa como la de verano incluso hay que mantener la guardia alta en estos temas.

Estos son algunos expertos esenciales para proteger nuestros activos frente a cualquier ataque cibernético que podamos recibir. Es fundamental trabajar con rapidez y tener una política diseñada para este tipo de situaciones.

a) Fase de Prevención: Establecer diversas medidas para proteger la información 

Martín destaca que es “muy necesario contar con diferentes herramientas e iniciativas que sirvan para frenar dicho ataque externo o problema surgido en nuestro sistema informático por otros motivos. Es evidente que dependiendo del despacho estas herramientas e iniciativas serán más sofisticadas.

1.-Definir riesgos del despacho:  Lo primero que habrá que saber cuáles son los riesgos del despacho y a partir de ahí definir las medidas que vamos a implantar. Hablamos de políticas de seguridad escalables en función de esas necesidades.

2.-Realizar copias de seguridad de forma periódica salvaguarda todos los activos a nivel de información. Contar con una política de contraseñas que se modifica de forma periódica ayuda mucho, lo dice la actual LOPD.

3.-Definir política de accesos restringidos es otra medida. No todo el mundo tiene acceso a toda la información, sino que establecen niveles que pueden ir en relación a la jerarquía del bufete.

4.-Contar con buena organización de la información: Otra medida ayuda mucho tiene que ver con una buena organización de la información en sus correspondientes ficheros.

5.-Evitar salidas de información a través de cualquier dispositivo: si se trabaja en remoto con pendrives y otras herramientas parecidas. Habrá que revisar su usabilidad y sus garantías adecuadas. En algunas organizaciones se tapan los puertos USB de los ordenadores para que no se incluyan dichos pendrives

6.-Contar con pendrives cifrados para evitar que la información esté al alcance de cualquiera. Se trata de que en pérdida del mismo por cualquier motivo, la información acabe en manos de terceros.

7.-Crear conciencia sobre la seguridad desde la formación. De crear una cultura de seguridad en el despacho. De tal forma que todo el mundo conozca bien lo que tiene que hacer a nivel de protección de los activos de la firma.

Sin esa política formativa los llamados errores humanos pueden aflorar, como puede ser el caso de enviar un correo electrónico en abierto para cientos de contactos.  El mismo cuidado que tenemos con nuestros dispositivos móviles hay que adoptarlo con los de la firma legal.

b) Como reaccionar ante una brecha de seguridad

“Pese a todo, hay que darse cuenta que la seguridad plena no existe. Y como hemos visto en estos días cualquier entidad, pública o privada puede sufrir una brecha de seguridad”, destaca Martín. En su opinión hay que trabajar este tipo de aspectos:

1.-Contar con un procedimiento claro en el que se defina las personas que van a estar involucradas en el mismo

Se trata de contar con una capacidad de reacción importante.  Hay que recordar que con el virus WannaCry en muchas empresas apagaron sus ordenadores como medida inmediata.

2.-Se crea un Comité de Crisis en el despacho para identificar qué ha pasado y cómo lo vamos a solucionar

En él, tendrá que estar involucrados DG, Asesoría Jurídica, Sistemas e Informática y Comunicación, éste último por el tema de la reputación del suceso.

Todos ellos tendrán que valorar si el incidente tiene la fuerza para notificarlo a la AEPD dentro del plazo que marca la ley de 72 horas. En el caso que el hecho trascienda a terceros, la notificación es muy necesaria.

3.-Notificar una brecha de seguridad no es una sanción directa

“Este es un asunto que puede generar que no notifiquemos el hecho a la AEPD. En el caso de que hayamos sufrido un ataque externo pero contemos con medidas de seguridad adecuadas, no tiene porqué haber una sanción importante. Otra cosa es una negligencia y que se haya bajado la guardia en materia de ciberseguridad.

Ahora con el nuevo RGPD europeo las sanciones pueden alcanzar los 20 millones de euros y el 4 por cien de la facturación de la empresa. De todas formas corresponde al regulador la modulación de la sanción.  Al notificar dicha brecha se puede aportar documentación de lo acaecido, tanto a nivel de auditoria como si se ha resuelto el tema, explicar cómo se hizo.

4.-Cuidar los efectos del conflicto sobre todo a nivel reputaciónal

En este escenario es fundamental tranquilizar y ser diligente con los posibles clientes, proveedores etc. Se dejará claro lo que estamos haciendo y que la situación ya se está controlando.  En este terreno la transparencia es fundamental para que se perciba al despacho como una organización moderna volcada a resolver el asunto.

5.-Evaluar el impacto del problema con auditorías externas

De todas estas experiencias se aprende mucho. Es el momento de sacar conclusiones positivas de lo que ha pasado y trabajar en la política de seguridad de la información del despacho para evitar que este episodio surja de nuevo. Las auditorías externas ayudarán mucho a ello.  También hay que darse cuenta que las medidas descritas a nivel preventivo hay que actualizarlas de forma periódica.

6.-Seguridad de una empresa es un proceso sin pausas, continuado

“El proceso de seguridad en una empresa o despacho es continuado. Cada organización debe tenerlo al día y todo el mundo debe ser consciente de la importancia de la seguridad en las organizaciones. En algunas ocasiones, supone hacer inversiones importantes pero al final merece la pena estar al margen de este tipo de ataques a la privacidad”.

Noticias Relacionadas:

CMS asesora al Grupo ALPLA en la adquisición de Heinlein Plastik – Technick

Mireia Sabaté nueva socia codirectora de Baker McKenzie, releva a Bruno Domínguez

Todos los imputados por los ‘Papeles de Panamá’ absueltos en el mayor escándalo de blanqueo

Tu mascota, QWERTY, o «password»: las contraseñas más comunes que no protegen tus datos frente a hackeos

El ICAM pide elevar al Supremo la causa contra los fiscales de Madrid investigados en la querella del novio de Ayuso

Clifford Chance asesora a Idealista y a sus accionistas en la venta a Cinven de una participación mayoritaria por 2.900 millones de euros