La información es uno de los activos más importantes que posee un despacho de abogados.

Esa información, en caso de sustracción, pérdida o acceso no consentido por parte de terceros, puede ser utilizada para fines ilícitos.

Por ello, las fugas de información son una de las mayores amenazas a la que nos enfrentamos en el nuevo mundo conectado en el que vive una profesión como la abogacía. Ya que se basa en la confianza que los clientes depositan en estos profesionales.

En este post te explico cómo debes gestionar una brecha de seguridad en tu despacho.

¿Qué es una fuga de información?

La protección de la información se articula en torno al respeto de tres principios básicos:

  • La confidencialidad implica que la información sea accesible únicamente por el personal autorizado.
  • La integridad de la información implica que la información sea correcta y esté libre de modificaciones y errores.
  • La disponibilidad de la información se refiere a que la información esté accesible para las personas o sistemas autorizados, cuando sea necesario.

Llamamos fuga de información a la pérdida de la confidencialidad, de forma que personal no autorizado accede a información privilegiada.

Las consecuencias derivadas de un incidente de fuga de información en nuestro despacho serán siempre negativas:

  • El conocimiento público de la existencia de una filtración de información dañará la imagen pública del despacho, impactando muy negativamente en el negocio y generando desconfianza e inseguridad en los clientes.
  • La publicación de información puede generar consecuencias a terceros: grupos externos de usuarios y otras organizaciones cuyos datos se hayan hecho públicos.

En aquellos supuestos en los que una fuga de información conlleve una fuga de datos personales, el Reglamento Europeo de Protección de Datos contiene una serie de previsiones y obligaciones para el responsable del tratamiento. Entre ellas está la obligación de notificar a la autoridad competente esa fuga de datos tan pronto como sea conocida. Y, en todo caso, en un plazo máximo de 72 horas.

Existe una excepción en caso de que el responsable pueda demostrar la improbabilidad de que esa violación entrañe un riesgo para los derechos y libertades de las personas físicas afectadas. Por ejemplo, porque tales datos iban cifrados o porque se han adoptado medidas ulteriores eficaces que garanticen que ya no existe ese riesgo.

Y también deberá notificar esa fuga de datos a los interesados cuando pueda suponer un riesgo para sus derechos y libertades.

Origen de las amenazas

Las amenazas que provocan fugas de información pueden tener un origen interno o externo.

Internas

Se consideran de origen interno aquellas fugas de información ocasionadas por empleados propios de la empresa. Ya sea de forma inconsciente (por desconocimiento o por error) o dolosa (si los empleados de la organización facilitan voluntariamente el acceso o revelan tal información a terceros sin autorización).

Externas

Aquí se incluyen las amenazas provenientes de fuera de nuestra organización y que tienen por objetivo acceder de manera ilícita a información confidencial.

Entre estos supuestos podemos destacar, por ejemplo:

  • El hackitivismo. Terceros que quieren mostrar su desacuerdo con la actividad que realiza el despacho o los clientes a los que defiende.
  • La venganza de clientes descontentos o de antiguos empleados.
  • El robo de información confidencial.
  • El ataque de terceros que simplemente buscan el daño a la imagen del despacho.

Causas de las fugas de información

Los principales motivos de las fugas de información pueden clasificarse en dos grupos estrechamente relacionados. Aquellos que pertenecen al ámbito organizativo y los que hacen referencia al ámbito técnico.

Organizativas

Falta de clasificación

Uno de los primeros errores que se comete durante la protección de la información es la falta de clasificación de la misma.

Esta clasificación se puede realizar en base a su nivel de confidencialidad y en función de diversos parámetros como:

  • valor que tiene para la organización,
  • impacto que puede generar su filtración,
  • su nivel de sensibilidad o
  • si se trata de información personal o no.

No será posible diseñar ni implementar las medidas de protección adecuadas si no se conoce el valor de la información que trata la organización.

Falta de delimitación del ámbito de difusión

Delimitar correctamente el alcance de la información que maneja el despacho nos permitirá establecer el perímetro dentro del cual podrá ser difundida la información y su nivel de confidencialidad.

Disponer de estos recursos es fundamental para poder determinar quién debe conocer la información y qué tipo de acciones puede realizar sobre esta. Esto se conoce como principio de mínimo conocimiento.

Falta de conocimiento y formación

Esto facilita la producción de errores por parte de los integrantes del despacho, quienes, por un lado, deben utilizar los recursos que la organización pone a su disposición de forma responsable y diligente (como es el caso de los servicios en la nube, los dispositivos móviles, el correo electrónico, las redes sociales o la simple navegación por Internet).

Pero, de otro lado, también debe disponer de ciertos conocimientos y formación en materia de ciberseguridad. Es responsabilidad de la organización proporcionar a su plantilla y colaboradores la formación necesaria para que el empleado ejerza sus tareas de forma segura.

Ausencia de procedimientos

Es necesario establecer políticas que muestren al usuario claramente cuáles son los límites dentro de los cuales deberán desempeñar su actividad. Y procedimientos para aquellas actividades de especial importancia o riesgo. En ello disminuirá el riesgo de que se produzca una fuga de información.

Inexistencia de acuerdos de confidencialidad

Es importante solicitar por escrito la conformidad de los empleados con normas internas de esta naturaleza, como pueden ser la política de confidencialidad o de seguridad. De esta manera el futuro empleado acepta por escrito las políticas y condiciones de privacidad y seguridad aplicables a la organización.

Además, hay que tener en cuenta que la legislación laboral permite establecer límites a las actividades de sus trabajadores. Ofreciendo canales para ayudar a los empresarios a evitar un uso inadecuado o malintencionado de la información de la que es responsable el despacho.

Técnicas

Código malicioso o malware

El malware está muchas veces diseñado utilizando técnicas que permiten mantener oculto su código en un sistema mientras recoge y envía información. Lo que dificulta su localización.

Acceso no autorizado a sistemas e infraestructuras

Gran parte de estos accesos no autorizados se podrían evitar si los sistemas y aplicaciones estuvieran convenientemente actualizados. La actualización se considera parte fundamental de una buena gestión y de responsabilidad corporativa. Puesto que aporta mayor seguridad y denota un trabajo de mejora continua que redunda en beneficio de la aplicación. Y, por extensión, del usuario.

Generalización del uso de servicios en la nube

Esto puede llevar a la percepción de que en la nube nuestra información está segura, cuando lo cierto es que no sólo depende de eso. El nivel de seguridad que tiene depende de la robustez de las contraseñas de los propios usuarios y de su formación en ciberseguridad.

Uso de tecnologías móviles en el trabajo diario

El almacenamiento en ellos de información del despacho ha llevado a la generalización de medidas como el uso de herramientas de cifrado de la información o el uso de VPN en las comunicaciones.

Sin embargo, si la información almacenada en los dispositivos es realmente crítica, deben intensificarse las políticas y medidas de seguridad a implementar.

En todo caso, las medidas de seguridad deben haberse tomado con anterioridad al incidente. Porque una vez este ocurre hay poco margen de maniobra.

¿Cómo prevenir una fuga de información?

El factor humano es una de las causas principales de fugas de información. Por eso es muy importante llevar a cabo campañas de concienciación en materia de ciberseguridad dentro del despacho. Sin perjuicio de que podamos hacerlas extensivas a terceros con los que mantengamos relaciones comerciales o profesionales, tales como proveedores, colaboradores u otro personal externo.

También es aconsejable desarrollar y mantener actualizadas políticas claras y completas de acceso a la información. Asegurándonos de que son bien conocidas por todos los miembros de la organización y, en su caso, terceros ajenos a la misma que deban acceder a información del despacho en base a algún tipo de relación contractual.

Es importante que la organización siga el principio del mínimo privilegio. Esto se traduce en que un usuario sólo debe tener acceso a aquella información de carácter sensible estrictamente necesaria para desempeñar sus funciones diarias.

Nadie de la organización deberá tener permiso de acceso a información que no necesite por razón de su cargo o funciones.

Dentro de esta imprescindible labor de prevención, es importante conocer los productos y servicios que la industria de ciberseguridad ofrece para mitigar esta amenaza. Por citar algunos, podemos destacar aquellos destinados a la gestión del ciclo de vida de la información, productos para el control de dispositivos externos, u otros destinados específicamente a evitar la fuga de información.

Además de estar continuamente implementando nuevas medidas de protección, siempre debemos estar preparados por si se produce tal incidente:

  • disponer de un plan de riesgos adecuado,
  • tener un programa de compliance y
  • haber implementado medidas tecnológicas apropiadas.

Gestión de una fuga de información en el despacho

En los apartados siguientes desarrollaré los diferentes aspectos relacionados con la gestión del incidente una vez se haya producido, ya que hay que gestionar las posibles consecuencias del impacto de la fuga de información, tanto sobre la organización como sobre terceros.

Consecuencias

Las eventuales consecuencias derivadas de un incidente de fuga de información pueden agruparse en las siguientes categorías, que están relacionadas entre sí y pueden darse conjuntamente:

  1. Daños reputacionales. Se genera un impacto muy negativo de la imagen del despacho, lo que lleva aparejado la pérdida de confianza de clientes y proveedores.
  2. Consecuencias regulatorias. Un incidente de esta naturaleza puede derivar en sanciones de distinta entidad, tanto civiles, penales, administrativas o deontológicas, a veces de elevado importe.
  3. Consecuencias económicas. Estrechamente relacionadas con las anteriores están aquellas que suponen un impacto negativo a nivel económico, con una disminución de la inversión, negocio, etc.
  4. Otras consecuencias. En este apartado se incluyen aquellas que pueden suponer un impacto negativo en otros ámbitos como, entre otros, el político, diplomático, institucional o gubernamental.

Las consecuencias de una fuga de información dependen sobre todo del tipo de información que se maneja en el despacho, si esta es confidencial o no.

Otro de los factores que definen el escenario es el tipo de datos que se han podido ver afectados.

Aquí habría que diferenciar si afecta a datos personales o a otro tipo de datos.

Fases

El plan para la gestión de los incidentes de fuga de información que se propone a continuación recoge los principales puntos y aspectos a tener en cuenta por parte de un despacho de abogados que quiera reforzar su capacidad de prevención y reacción ante un incidente de estas características.

Inicial

Dentro de esta fase se incluyen las siguientes actuaciones:

  • Detección del incidente
  • Alerta del incidente a nivel interno
  • Inicio del protocolo de gestión

Lanzamiento

En esta fase destacamos las siguientes actuaciones:

  • Reunión del gabinete de crisis
  • Informe inicial de situación
  • Coordinación y primeras acciones

Auditoría

Dentro de esta fase debe realizarse una auditoría interna y externa para obtener información sobre el incidente.

Después se elaborará un informe preliminar.

Seguimiento

Comprende las siguientes acciones:

  • Valoración de los resultados del plan
  • Gestión de otras consecuencias
  • Auditoría completa
  • Aplicación de medidas y mejoras

Mitigación

Deben ejecutarse todas las acciones previstas en el plan.

Evaluación

Finalmente, debemos:

  • Reunir el gabinete de crisis
  • Presentar el informe de auditoría
  • Evaluar el resultado de las principales acciones realizadas
  • Planificar las distintas tareas

Igualmente debe comunicarse el incidente a las Fuerzas y Cuerpos de Seguridad del Estado (Policía Nacional y Guardia Civil). O a la Fiscalía de cibercriminalidad informática. A través de la presentación de una denuncia y otras acciones que puedan derivarse de la coordinación o la solicitud de información por parte de las fuerzas y cuerpos de seguridad.

Es posible que debas informar también a otros organismos con competencias en la materia como la AEPD, en el caso de datos de carácter personal, y el CERT de Seguridad e Industria, en otro caso.

Y esto es todo lo que necesitas saber para evitar o gestionar un incidente de seguridad en tu despacho de abogados.

Pero si tienes cualquier duda estaré encantada de ayudarte.

Cómo gestionar una brecha de seguridad en un despacho de abogados
4.7 (93.33%) 6 votos

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.