Fernando Dombriz Sanz, abogado y responsable de Desarrollo de Negocio en Grupo Paradell, publica esta interesante tribuna en Cinco Días en la que reflexiona sobre las diversas medidas y procedimientos que deben implementar los despachos de abogados para garantizar un correcto uso de la información y una óptima protección de los datos personales que manejan. Todo ello, con el fin de prevenir y evitar ciberataques contra su propia organización, pues debemos destacar que en más de un 90% de los casos, el factor humano es responsable de este tipo de fallos de seguridad.
A continuación, reproducimos el contenido íntegro de la citada columna de opinión.
La ciberseguridad en el sector legal
Los incidentes relacionados con la ciberseguridad suelen tener que ver con temas relacionados con la seguridad de la información que manejan. Cualquier fuga de información puede tener repercusiones legales y, además, afectar muy negativamente a la reputación de la organización. El uso de la tecnología y lo sencillo que hoy resulta mover grandes volúmenes de datos puede originar la pérdida o mal uso de información confidencial.
El artículo 32 del Reglamento General de Protección de Datos (RGPD) indica que tanto el responsable como el encargado del tratamiento de datos están obligados a aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo en relación con la protección de datos.
En el caso de los despachos de abogados, la información que manejan de sus clientes es, sin duda, de un gran valor. Cualquier expediente de un cliente contiene infinidad de datos sensibles: médicos, económicos, personales, datos identificativos, ideológicos…. El correcto tratamiento de esos datos debe ser una prioridad en materia de protección de datos y de ciberseguridad, por lo que es vital la toma de medidas y procedimientos sobre la gestión de esos datos.
En definitiva, la gestión correcta de la información dentro del despacho es lo que va a permitir minimizar al máximo los riesgos relacionados con la ciberseguridad. La seguridad de la información se debe articular siempre sobre tres pilares básicos: la integridad, la disponibilidad y la confidencialidad.
Cuando hablamos de la integridad de la información nos estamos refiriendo a que esa información sea la correcta y no tenga modificaciones o errores. Si la información que se maneja ha sido alterada, se pueden tomar decisiones basadas en una información incorrecta. La integridad hace también referencia a quién puede modificarla.
Al referirnos a la disponibilidad de la información estamos hablando de que tiene que ser accesible cuando queremos acceder a ella. Es decir, hay que definir cuándo y para quién tiene que estar disponible esa información. Lo contrario puede implicar la parálisis en la gestión de la organización.
Por último, cuando hablamos de la confidencialidad estamos aludiendo a que la información deber ser accesible solo para las personas que la organización ha determinado que están autorizadas para acceder a la misma.
El análisis de los riesgos
No toda la información considerada como sensible puede protegerse de la misma manera, ya que se puede correr el riesgo de paralizar el negocio. Un análisis preciso de los riesgos es un requisito previo imprescindible para definir aquellos que son verdaderamente estratégicos y vitales. Y así definir mejor las condiciones adecuadas para definir la protección de la información.
Lo primero que debería plantearse a la hora de estructurar la seguridad de la información de un despacho de abogados es hacer una completa revisión de la información que se maneja y realizar una evaluación de riesgos.
Una situación clásica en muchas organizaciones es mantener archivadas informaciones que ya no tienen utilidad, que se recabaron para un determinado asunto y que en ocasiones incluso no se llegaron a emplear. También es habitual que la misma información esté alojada en diversos soportes, lo cual genera un exceso de volumen de datos y repercute negativamente en la seguridad de la información. Toda la información digital debe ser archivada siguiendo un método que permita una gestión eficaz de la misma.
Se debería elaborar un listado de los miembros del despacho y se debería crear una ficha de empleado con una descripción detallada del puesto de trabajo y del uso y acceso a la información que maneja cada empleado en la firma.
Lo que se pretende a través del establecimiento de políticas sobre la seguridad de la información es aplicar barreras y procedimientos que permitan el acceso a los datos solo de las personas que están autorizadas.
Cualquier organización, por pequeña que sea, debe tener su propia estrategia en lo que concierne a la ciberseguridad y al tratamiento de la información. Esa estrategia deber ser definida, actualizada, accesible, conocida y comprendida por todos los miembros que forman la estructura. Lógicamente, las necesidades pueden variar en función del tamaño.
Para despachos de una cierta estructura es necesario establecer un proceso de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. La externalización de estos procesos a través de empresas especializadas en la realización de auditorías de seguridad de la información puede ser de gran utilidad, permitiendo buscar vulnerabilidades o errores en la organización y el manejo interno que se hace de la información.
En relación a la ciberseguridad se pueden realizar tests de intrusión (pentesting) basados en hacking ético. El objetivo de estas soluciones es conocer las vulnerabilidades y fallos de seguridad de un sistema para que sean corregidas y no puedan ser explotadas por los cibercriminales.
Fernando Dombriz Sanz
Grupo Paradell