Durante los últimos años, los ciberataques se han convertido en una amenaza que sobrevuela los despachos de abogados. Para algunas firmas, la amenaza se ha convertido en importantes hackeosque han comprometido información sensible de la organización y que han supuesto un negocio muy lucrativo para los ciberdelincuentes. Todos los despachos, en mayor o menor medida, sienten ya la necesidad de invertir en ciberseguridad para proteger los valiosos datos que almacenan, pero aún son pocos los que apuestan por ello con decisión a pesar del riesgo que implica.
“El 50% de la pérdida del negocio es por ataques informáticos”, estima Álvaro Fernández de Araoz, director de Desarrollo de Negocio, Ciberseguridad y Digitalización de MrHouston, empresa especializada en ciberseguridad. Fue el último invitado al webinar producido por la consultora para el sector legal Mirada 360 y presentado y conducido por su socia directora, Lidia Zommer. La pregunta, evidente: ¿qué medidas deberían tomar desde ya los despachos de abogados para protegerse de las, cada vez más comunes, incidencias externas?
Lo primero que destaca Álvaro Fernández de Araoz es que no es necesario formar parte o dirigir un gran despacho de abogados, inmerso en grandes operaciones y con un volumen ingente de datos sensibles, para invertir en ciberseguridad. “Cualquier despacho es susceptible de tener una brecha de seguridad, incluso un autónomo”, explica Álvaro, quien recuerda que “no es una persona la que ataca, es una máquina, un señor del Europa del Este o unos coreanos con 5.000 ordenadores haciendo ataques de spam”.
Los ataques pueden ir desde el phishing —una suplantación de identidad que hace creer a la víctima que la página en la que está introduciendo sus datos es la real—, el man in the middle —que intercepta comunicaciones bidireccionales y modifica los datos sin que las víctimas se percaten—, o un ramsonware que accede, cifra y bloquea el acceso al sistema, entre otros. Todo ello, con el coste no solo económico, sino reputacional que ello supone. Y, como recuerda Lidia Zommer, “la pérdida de confianza te penaliza totalmente, porque nadie contrata si tiene miedo de que la confidencialidad no esté garantizada”.
Muchos de los datos robados o los ciberdelincuentes que atraviesan las barreras de seguridad de las organizaciones se encuentran en la denominada deep web, que Álvaro resume como “un mercado de malos a un precio asequible” y donde se trafica con datos extraídos ilegalmente o donde pueden encontrarse los bots, los malware o los profesionales del hackeo que accederán a las tripas de la organización para apoderarse de información valiosa.
Medidas técnicas, de concienciación y de procedimientos
El trabajo en ciberseguridad se compone de diversas medidas. La primeras de ellas son, según el departamento de ciberseguridad de MrHouston, las técnicas o lógicas, que incluyen “seguridad en el puesto, antivirus, antiramson, capas de cifrado…”. En segundo lugar, las medidas de concienciación y los planes de contingencia, capaces de medir la resiliencia, el tiempo que tarda el despacho en “levantarse después de un ataque, que puede ser de semanas o de minutos si lo has entrenado previamente”. Por último, la ciberseguridad ha de incidir en los procedimientos del despacho.
No obstante, como explica Fernández de Araoz, “la seguridad no tiene que afectar a la operativa del negocio”, de forma que una protección exhaustiva suponga más un obstáculo para la labor diaria del despacho en vez de una ayuda. Es por eso que debe haber “un balance” y aplicar las medidas razonables de seguridad. Medidas que, por otro lado, repercuten en acciones tan diarias como las aplicaciones móviles que los profesionales de la firma utilizan o incluso los procesos de despido dentro de la compañía.
“Cuando el despacho despide a gente, lo comunican a Recursos Humanos, pero a informática se lo dicen un día después. Esa persona puede hacer muchas cosas en 24 horas…”, alerta Álvaro. Para ello existe una serie de acciones que pueden bloquear el acceso al sistema del despacho una vez dejas la organización o si pierdes el móvil. Se trata de establecer una política clara y razonable para evitar males innecesarios respecto a la seguridad, más aún cuando la aplicación del Reglamento General de Protección de Datos ha aumentado el nivel de exigencia para todas las compañías respecto a la información y los datos que gestionan.
Para ello es necesaria una cultura de cumplimiento, que debe incluir “formación, un análisis de riesgos continuo y una evaluación constante”. Gran parte de ese trabajo lo deberá desarrollar el especialista en seguridad de la empresa, que debe estar diferenciado del responsable de informática, en opinión del experto de MrHouston. “Si el mismo se encarga de informática y seguridad, en el momento en que haya una vulnerabilidad, tratará de protegerse a sí mismo, por lo que es mejor subcontratar la ciberseguridad”, asegura.
No obstante, la gran duda para todos los despachos es el precio que cuesta armar una buena infraestructura de seguridad, que a menudo suele asociarse a una protección costosa. “Por unos 3.000 euros al año, y durante unos tres años, un despacho de entre siete y diez empleados puede crear una infraestructura de en torno al 85% de seguridad”.
En cualquier caso, “el precio hay que ponerlo en relación al riesgo”, como recuerda Álvaro. Y, en ciberseguridad, el riesgo para el negocio de un ataque informático supera ampliamente a la inversión. Se trata de prevenir para después no lamentar, de centrarse en minimizar los riesgos. Nada ajeno al día a día de cualquier abogado.
Si quieres ver lo que hablamos en el webinar con Álvaro Fernández de Araoz, haz click AQUÍ
Alejandro es un periodista con experiencia en comunicación corporativa y actualmente estudiante de derecho. Redacta, revisa y corrige artículos para los despachos de abogados, aumentando su alcance mediático y reputación.
