Despachos de abogados: todavía vulnerables

Los despachos de abogados son y continuarán siendo blancos atractivos para los ciberdelincuentes.  Sin embargo, pocos han tomado medidas de prevención.

Los despachos de abogados son y continuarán siendo blancos atractivos para los ciberdelincuentes.  Aunque resulta complicado obtener cifras concretas de despachos vulnerados (el no denunciar es común, para evitar desprestigio y pérdida de clientes), sí existen indicios confiables acerca de esta tendencia. A pesar de ello, son pocos (en su mayoría despachos grandes) los que han dado un giro a su cultura corporativa y han adoptado medidas preventivas.

A continuación algunos consejos y buenas prácticas para despachos que aún no aseguran su información de manera eficiente:

Todo inicia con un análisis y diagnóstico del entorno sobre: los tipos de amenazas de seguridad que existen, cómo vienen siendo vulnerados los despachos (y las empresas con giros de negocio similares), qué información es la más apetecida, cuáles son los escenarios de responsabilidad penal, civil y administrativa en los que otros despachos (o sus miembros) se han visto o se podrían ver envueltos (ENATIC y el ISMS Forum Spain han trabajado este tema), y cuáles son las opciones de protección disponibles.

Una vez analizado el entorno, será posible voltear la mirada a lo interno del despacho, para analizar y comparar con mayor criterio, según los recursos existentes: activos (tangibles e intangibles) y vulnerabilidades.  Por ejemplo, un tema medular dentro del contexto del aseguramiento de la información es el almacenamiento: ¿Sabemos en dónde se encuentra almacenada la información de nuestros clientes (servidor local, nube, centro de datos, dispositivos móviles)? ¿Conocemos y comprendemos las cláusulas del contrato suscrito con el proveedor de servicios en la nube? ¿Contamos con políticas internas de gestión documental?

Ahora bien, percatados de las amenazas que hay en el entorno y conociendo nuestras vulnerabilidades, será posible realizar un análisis de probabilidades de que ocurran las amenazas y conocer cuál sería el impacto en nuestro negocio.  En síntesis, se trata de gestionar los riesgos existentes y, para hacerlo, podemos recurrir a estándares internacionales y a profesionales expertos en la materia.

Considerando que en Iberoamérica un gran porcentaje de despachos de abogados tienen el perfil de micro, pequeñas y medianas empresas, en razón del número de profesionales que los integran, a continuación dos estándares que se pueden “amoldar” a estos negocios, ambos con reconocimiento internacional y una redacción amigable: (i) el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología, de los Estados Unidos de América (NIST Cybersecurity Framework), en particular, su reporte NISTIR 7621; y (ii) las normas ISO/IEC 27001:2013 (norma certificable que promuebe la creación de un Sistema de Gestión de Seguridad de la Información) e ISO/IEC 27002:2013 (buenas prácticas llamadas “controles”, útiles para optar por la certificación de la norma 27001:2013).

Junto con determinar el estándar de mayor conveniencia para el despacho, habrá que poner atención a otros dos temas de peso: los planes de respuesta a incidentes y los ciberseguros (Cyber-insurance).

Siendo que los incidentes se están dando de forma regular, el despacho debería contar con un plan de respuesta ante la crisis (una vez el daño esté consumado), que incluya, entre otros aspectos, la definición de los líderes de la investigación, los miembros del equipo de respuesta y el encargado de hablar por el despacho ante la prensa.  Las normas ISO 22301:2012 e ISO 22313:2012 sobre “Sistemas de Gestión de Continuidad de Negocio”, pueden ser de utilidad.  Además, en Internet es posible encontrar guías con sugerencias sobre cómo actuar en caso de incidentes.  Este es un ejemplo de modelo desarrollado por Hogan Lovells US LLP y compartido por la American Bar Association.

Por otro lado, el ciberseguro se ha convertido en una opción más para transferir el riesgo. Ya hay despachos medianos y grandes que cuentan con paquetes de seguro concretos; sin embargo, estos seguros usualmente no cubren varios de los costos asociados a ciberataques.  En Estados Unidos de América, por ejemplo, ya hay un número considerable de decisiones judiciales sobre conflictos cliente vs. aseguradora donde se discutieron coberturas de seguros por ciberataques.  Este tema es de particular interés para el gobierno estadounidense.

Finalmente, las medidas diseñadas e implementadas a partir de los estándares, planes y seguros deberán ajustarse de forma continua a los cambios del entorno.  En tal sentido, las auditorías (internas y externas), las iniciativas de hacking ético y los programas continuos de capacitación al personal (el factor humano es clave), serán muy importantes.  Posiblemente, en un corto plazo los clientes (cada vez más informados) solicitarán a los despachos tales estándares, planes y seguros como requisitos mínimos antes de contratar los servicios legales que les han sido ofertados.

Fabián Solís. Abogado

Facio & Cañas, Costa Rica. www.fayca.com

Miembro de ENATIC

Facebook: https://www.facebook.com/solissfabian

LinkedIn: https://www.linkedin.com/in/fabiansolis

Twitter: @fesotum