Extracto del webinar que hemos celebrado con Silvia Barrera, Inspectora de Policía Nacional
Los despachos de abogados somos un objetivo de los ciberdelincuentes. Gestionamos abundante información confidencial cuya divulgación podría ocasionar daños a nuestros clientes y destruir nuestra reputación. El asunto no es baladí. En la era de la información, esta amenaza que todavía no entendemos de dónde viene crece cada día. Los intereses pueden ser variados: perjudicar a la competencia, publicar información confidencial o la extorsión. Es una amenaza real, grave y ante la que somos vulnerables.
Lidia Zommer: ¿Qué información es la más buscada por este tipo de delincuencia? ¿Qué tipos de amenazas a la ciberseguridad de los despachos existen? ¿Dónde radica la mayor vulnerabilidad de los despachos?
Silvia Barrera: La información que buscan los ciberdelincuentes es aquella que más nos puede comprometer. En los despachos, la información confidencial de los asuntos que llevamos, la información de nuestros clientes, cuanto más comprometida, mas valor tiene y, por lo tanto, esa es la información que debemos proteger.
Por lo tanto, la mayor vulnerabilidad de los despachos radica en su componente humano. La seguridad perfecta no existe. El ciberataque es uno de las principales vías de entrada para los despachos de abogados. Cualquier empleado, directivo, o persona que tiene acceso a la información del despacho puede ser un objetivo por parte de los ciberdelincuentes.
Lidia Zommer: Gestionamos información confidencial de clientes y tenemos activos intangibles difíciles de proteger. ¿Pueden los despachos de abogados evitar fugas de información? ¿Cuáles son las opciones de protección disponibles?
Silvia Barrera: Se pueden evitar las fugas de información en las firmas de abogados. Lo primero que deben hacer los despachos es formar a las personas y hacerles sentir que el principal factor de seguridad empieza por ellos mismos. La Policía es el último eslabón al que se debe acudir. Tenemos que recurrir a personas expertas en seguridad informática. Ni la Policía, ni cualquier perito informático te va a ofrecer una solución a cualquier fuga de información de un despacho. Su actuación sirve para saber el autor, en el caso de que se llegue a conocer en todo caso, esa intrusión o delito que hemos sufrido. Ninguna institución te protege de las pautas que debes tener en cuenta para prevenir cualquier tipo de actividad delictiva.
Lidia Zommer: ¿Qué recomendaciones podrías darnos en cuanto al almacenamiento? ¿Hay mayor o menor seguridad o recomendaciones específicas para cada una de las opciones: servidor local, nube y dispositivos móviles?
Sivia Barrera: Lo ideal es que los despachos tengan un servidor privado dedicado donde alojen información a la cual tengamos acceso preferentemente. Asimismo, tenemos que evitar en la medida de lo posible que este servidor esté en el extranjero, puesto que siempre tendremos un mejor acceso a las empresas españolas (podemos acceder a su lugar físico, conocer cómo almacenan la información, etc…). Si compartimos la información con otras empresas puede ser que, aunque nosotros no seamos el objetivo de un posible delincuente, puede que nuestra información sea objeto de un ciberataque.
En cuanto al tema de la nube, si puede ser un servidor local, mejor. Siempre digo que la inversión en informática no es tan grande. No es un gasto, es una inversión el hecho de que controlemos nuestra propia información confidencial.
Lidia Zommer: Proteger al conocimiento es proteger a un activo que constituye una ventaja competitiva. ¿Contamos los despachos con políticas internas de gestión documental? ¿Podrías decir cuáles son las recomendaciones clave que darías para esta gestión sea segura?
Silvia Barrera: Lo primero que recomiendo es tener un protocolo de emergencia básico para el despacho. Un protocolo que pase por tener una persona responsable que tenga claro en todo momento qué es lo que hay que hacer. Es necestario contar con alguien que por lo menos sepa que las evidencias de la posible comisión de un delito, por ejemplo, se debe conservar. También, debemos tener la red interna securizada con datos sobre nuestros clientes, tener una copia de seguridad con toda la información delicada y, sobre todo, no debemos almacenar la información del despacho en un dispositivo móvil. Además, siempre recomiendo que, en el momento que se produzca un delito, hay que comunicárselo a la Policía. Cualquier persona puede hacerlo a través de la página web de la Policía.
Lidia Zommer: Las redes sociales no son buenas o malas en sí mismas, son una herramienta, como un martillo. Con un martillo puedes construir un palacio o romperte un dedo: la clave está en el uso que le demos. En ellas pueden colisionar dos derechos: la libertad de expresión con el derecho al honor. ¿La legislación actual está preparada para la era digital?
Silvia Barrera: La legislación hay que completarla y precisarla. Hay vacíos legales que se contemplan, por ejemplo, en el caso de la planta de los Juzgados. No hay Juzgados especializados, y es necesario que existan Tribunales dedicados a la ciberdelincuencia. Por ejemplo, hay casos en los que los autores están en el extranjero y los actos que cometen repercuten en miles de víctimas, y esto asusta. Por otro lado, falta por precisar la colaboración con las empresas privadas. En otros países, por ejemplo, todas estas cuestiones ya están dirimidas. En Alemania, por ejemplo, hay grupos especializados en investigación tecnológica que colaboran con empresas privadas, de manera que la Policía utiliza todos los medios con los que cuentan las organizaciones empresariales.
Lidia Zommer: ¿Cuáles son las cinco principales medidas que aconsejarías tomar como prevención a un ciberataque?
Silvia Barrera: En primer lugar, debemos ponernos en manos de un informático o de un perito que nos aconseje. Debemos decidir que información de nuestra empresa es intocable, nuestro bien intangible máximo, y volcar esa información en una red aislada. Lo segundo, hacer una copia de seguridad de toda nuestra información. Lo tercero, utilizar nuestros propios dispositivos (cifrados y con medidas de seguridad) para transportar la información del despacho. Cuarto, tener herramientas de trabajo y herramientas personales para instalar nuestras propias aplicaciones (por ejemplo, en el caso de los móviles. Utilizar un móvil de forma personal y el otro únicamente con herramientas de trabajo). Quinto, tener una desconfianza racional hacia lo que viene de fuera. Antes de hacer una transferencia bancaria, antes de abrir un documento, asegurarnos de con quién mantenemos ese vínculo o intercambio de información.
Para ver el webinar completo haz clic aquí.
