AD 7/2019
Abstract:
El presente articulo trata sobre la necesidad de los profesionales de la abogacía en proteger sus activos, tanto los digitales como los materiales. En ese sentido se aborda el «secreto profesional» como elemento clave de protección y a su vez como posible objeto de ciberataques. Siendo en conclusión del autor, imprescindible el diseño de un plan de ciberseguridad con el fin de minimizar los ciberriesgos, y así evitar la fuga de datos e información.
Palabras clave:
- Ciberseguridad
- Dato personal
- Secreto profesional
- Plan de seguridad
- Responsabilidad legal
En la actual sociedad de la información que vivimos, los profesionales necesitan proteger sus activos, tanto los digitales como los materiales, por lo que el diseño de un plan de ciberseguridad se hace esencial, con el fin de minimizar los ciberriesgos, y así evitar la fuga de datos e información.
En una profesión como la del abogado, donde la privacidad abogado-cliente se encuentra protegida jurídicamente al más alto nivel, a través del conocido secreto profesional, el cual permite garantizar el derecho de defensa del cliente/investigado. Encontrando amparo esta protección, a través de Derechos Fundamentales como son la intimidad y la seguridad jurídica, garantizando de esta forma el derecho de defensa.
El incumplimiento del citado secreto profesional podría llevar aparejado, tanto sanciones disciplinarias, como, en su forma más grave, la comisión de un delito contra la intimidad, o incluso, el tipo específico de revelación de secretos ajenos, cuando la información revelada es conocida por razón de su profesión. Sin olvidar daños colaterales, como podría ser la quiebra de confianza del cliente, y el daño a la imagen de la profesión y a su persona/despacho.
En consecuencia, igual que dotamos de privacidad y confidencialidad las reuniones con los clientes, está seguridad debe de implementarse al entorno digital, protegiendo nuestros activos de información del ilegítimo acceso por parte de terceras personas. Lo mismo ocurre con la custodia de la fuentes de prueba entregadas al abogado, que por la naturaleza de los tiempos, gran parte de ellas son pruebas tecnológicas, como por ejemplo fotografías digitales, grabación de conversaciones, información en redes sociales o mensajes de WhatsApp, …
¿Hasta cuándo se está obligado a la preservación del secreto confiado?, pues según el Proyecto del 2013, del Estatuto General de la Abogacía Española, el cual, aunque no se encuentre en vigor, tiene previsto establecer que la permanencia de la obligación se mantenga o perdure en el tiempo, incluso después de haber cesado la prestación de servicios, y sin que se encuentre limitado.
¿Qué información tiene que ser protegida?, para dar respuesta a esta pregunta acudimos a la referencia de Manzanares y Cremades (La Ley 1996), la cual nos dice que existe deber de secreto en “el conocimiento de un hecho reservado”, en la “consciencia de su intransmisibilidad a terceros, en aquello que “no tenga dimensión pública”, y exista un interés “legítimo en su ocultación”.
Por todos estos hechos, claramente, los despachos de abogados, son un blanco perfecto para los cibercriminales, ya que por un lado para pueden proceder al robo de información confidencial, pero también por otra parte, pueden encriptar la información del equipo o sistema, dejando al profesional sin acceso a la misma.
“En el año 2016, según datos del INCIBE, más de 70 despachos de abogados fueron víctimas de una ataque ransomware”
Con el fin de poder minimizar ser víctimas de un potencial ataque informático, a lo largo del artículo vamos a tratar de dar unas pequeñas pinceladas, con medidas que nos van a permitir evitar riesgos, así como posibles responsabilidades legales, y en cualquier caso, el generar daños a la imagen de nuestra marca.
En primer lugar, vamos a tratar de responder a la pregunta ¿qué entendemos por CiberSeguridad?, una de las muchas respuestas, sería el uso de herramientas informáticas, metodologías de trabajo y políticas de seguridad, encaminadas, todas ellas, a proteger los activos digitales de nuestras organizaciones. Y en caso de sufrir una quiebra de seguridad, conseguir minimizar la información comprometida.
Para acometer este plan lo primero que tendremos que realizar es una auditoría sobre los actuales sistemas de información de nuestro despacho, con el fin de poder identificar las potenciales amenazas y los posibles riesgos a los que nos enfrentamos.
En todo despacho el sistema de comunicación por excelencia es el correo electrónico, aunque sin embargo es la principal fuente de entrada de malware. Unas buenas prácticas de uso serían los siguientes: no utilizar los equipos informáticos con información confidencial para el uso regular de internet y el correo electrónico personal; definir una correcta política de uso del correo electrónico corporativo para todos los profesionales del despacho, instalación de antimalware y antispam, utilizar el cifrado y de la firma digital para proteger la información, desactivar la ejecución de macros y la descarga de imágenes, el uso de contraseñas robustas, no abrir ficheros adjuntos ni pinchar en los enlaces de los que no se tiene seguro se origen, y por último, pero no menos importante, ofuscar las direcciones de correo de los profesionales del despacho, es decir, no publicar en internet este tipo de información, siendo más recomendable mostrar su perfil en Linkedin.
Otra vulnerabilidad es el almacenaje de la información en la nube, pero sin embargo en organizaciones descentralizadas este medio es más que necesario, por lo que habrá que tomar ciertas medidas para minimizar los riesgos, en primer lugar y más importante sería cifrar la información, y/o seudonimización de los ficheros/documentos con datos personales, la definición de una política de copias de seguridad, así como asegurar que el servicio de almacenamiento contratado cumple con los criterios de seguridad específicos para nuestra organización.
Tanto de la información almacenada en la nube, como en nuestros servidores y/o equipos, debemos de garantizar los principios de confidencialidad, integridad y disponibilidad. En relación a la integridad de los datos, una medida bastante útil sería utilizar programas que calculen el código HASH de todos los documentos almacenados en una carpeta, así de esta manera tras una quiebra de seguridad, comparando el HASH calculado previamente con el posterior a la quiebra, podríamos garantizar que la información del fichero es la correcta, es decir, que no ha sido modificado un sólo bit del fichero.
“Resilencia. Propiedad que permite recuperar el Sistema, en el mínimo plazo de tiempo y con mínima perdida de información posible”
La clasificación de la información nos va a permitir mejorar la seguridad de aquella que realmente es importante, por ejemplo, en ficheros con datos confidenciales, aquellos que sólo están disponibles para el personal autorizado, información interna, accesible a todos los miembros de la organización, y pública como aquella información que es conocida por tercero y a la vez ajena a nuestro despacho. Para eso deberíamos definir políticas de grupos y usuarios, la asignación de permisos, la utilizando de mecanismos de autenticación para acceder a la información, y el control de registro de accesos.
Una vez auditadas las medidas anteriormente citadas, y aquellas otras específicas de cada despacho, deberíamos implementar un documento de seguridad, tras realizar un análisis DAFO de nuestra organización en relación a los activos digitales. En primer lugar, subsanando las debilidades observadas, e identificar las potenciales amenazas a las que estamos expuestos por el tipo de organización. Reseñar las fortalezas de nuestro Sistema de información, es decir, aquello que estamos haciendo. También deberíamos implementar un cronograma con las potenciales oportunidades, e implementar de forma proactiva aquellas medidas encaminadas a prevenir las amenazas detectadas. Y como último punto del documento de seguridad, sería necesario el diseño de un protocolo de resiliencia para, en caso de quiebra y/o fuga de información, poder recuperar la información.
Juan Carlos Fernández Martínez
Cuenca, 24 de enero 2019
Autor: Juan Carlos Fernández.
Profesional con perfil técnico y jurídico, creador de la marca TECNOGADOS.
Actualmente un blog sobre prueba tecnológica, en un futuro, quien sabe, quizás un despacho de abogados especialistas en nuevas tecnologías.
Ponente en varios Congresos de Seguridad Informática, universidades, en la Secretaria del Estado de la Seguridad, TEDx, …; hablando sobre ciberseguridad, evidencias digitales y nuevas tecnologías
