Los bufetes de abogados, diana para los ciberdelincuentes

A raíz de los Panama Papers sobrevuelan diversas cuestiones que afectan directamente al ejercicio profesional de los bufetes de abogados: ¿Están expuestos a los actos de ciberdelincuentes? ¿En qué grado? ¿Cómo mitigar esos peligros? Analizamos los riesgos de la red a los que se enfrenta este sector.

La amenaza de la ciberdelincuencia es cada vez mayor. Incluso ya se considera que el delito cibernético es más rentable que el tráfico de drogas. El desconocimiento de los peligros en la red supone pérdidas millonarias cada año para las empresas, superando los 100 millones de euros en los peores casos.

Los profesionales de la abogacía no están exentos de padecer casos de ciberdelito en su día a día. Al contrario: por su actividad habitual, los bufetes almacenan información confidencial de clientes, datos personales y corporativos. En definitiva, información susceptible a ataques de terceros (hackers), competidores o empleados malintencionados. Estas situaciones no solo conllevan una pérdida financiera importante para la empresa, sino también pueden causar un daño reputacional de difícil reparación, pérdida de clientes, riesgos de litigios, interrupción del negocio por caída de la red, etc.

Por ello, es esencial que los despachos de abogados cumplan con las obligaciones legales en materia de seguridad informática, y que tomen las medidas necesarias para protegerse y proteger a sus clientes. El objetivo último es minimizar su exposición a la amenaza de un ataque cibernético y para ello han de asegurarse de que siguen unas políticas y procedimientos específicos para hacer frente a estos riesgos y de que todo el personal recibe la formación necesaria.

Ante los ciberdelincuentes: ¿a qué riesgos se enfrentan los bufetes?

– Riesgos económicos y patrimoniales del cliente.

– Pérdida o robo de información confidencial del cliente, incluidos los datos personales.

– Inestabilidad financiera y estructural del despacho.

– En peligro la continuidad del negocio.

– Ciberextorsión.

– Hacer negocios con empresas ficticias.

– Daños de reputación.

Ciberriesgo: El Código de Conducta SRA 2011

De acuerdo con el Código de Conducta SRA 2011, los bufetes de abogados tienen el deber de proteger el patrimonio de sus clientes, muy atractivo para los ciberdelincuentes. Por ello, han de tener en cuenta aspectos fundamentales como:

–  Los riesgos de posibles delitos informáticos tanto para su negocio como para sus clientes. Llevar a cabo evaluaciones de riesgos ayuda a las empresas a identificar, evaluar y anticiparse a un posible ataque cibernético, previendo su impacto.

– Los riesgos de tratar con información confidencial. Los cibercriminales consideran que la información en poder de los bufetes de abogados es muy valiosa, por lo que analizan qué medidas de seguridad se están incumpliendo para atacar por ese resquicio de seguridad.

– Las consecuencias financieras y estructurales de un ataque cibernético. Si un virus informático se introduce en los sistemas informáticos de un bufete, puede provocar una interrupción significativa del negocio y del servicio prestado a los clientes. Al producirse, la empresa sufriría una pérdida de ingresos que, de mantenerse o dependiendo del grado de gravedad, daría lugar a una inestabilidad financiera.

Como despacho de abogados, pregúntate

Con la ciberdelincuencia convirtiéndose en un problema cada vez más acuciante, todos los bufetes de abogados deberían hacerse estas tres preguntas:

– ¿Cómo de seguro es nuestro sistema informático?

– ¿Podríamos ser víctimas de un ataque cibernético?

– ¿Resistirían nuestros sistemas a un ataque en la red?

¿Cómo mitigar los ciberriesgos? Decálogo para minimizar la exposición

El ciberriesgo no es como los demás riesgos a los que se enfrentan las organizaciones. No es posible evitarlo, ya que para ello habría que operar al margen de la red, impensable en plena sociedad de la información. “Ni el Gobierno, ni los Estados, ni el sector privado pueden defender sus sistemas de información por su propia cuenta contra las más poderosas fuerzas cibernéticas”, advierte Carolina Daantje, directora de Ciber Riesgos de Willis Towers Watson Iberia.

Si bien el ciberriesgo cero no existe, es fundamental llevar a cabo ciertas actuaciones para minimizar la exposición y mitigar los riesgos, como las contenidas en este decálogo:

1. Realizar evaluaciones de riesgo.
2. Revisar las políticas y procedimientos actuales en materia de seguridad para comprobar su eficacia y eficiencia.
3. Comprobar que los sistemas operativos, navegadores y antivirus están siempre actualizados.
4. Controlar el acceso a informaciones y sistemas informáticos mediante el uso de contraseñas seguras.
5. Realizar copias de seguridad frecuentes.
6. Limitar el uso de USB y otras formas de compartir información sin cifrar.
7. Limitar la cantidad de información delicada que se envía adjuntada en correos electrónicos.
8. Bloquear el acceso a sitios web inapropiados.
9. Revocar los derechos de acceso para el personal que ha dejado la empresa y cerrar las cuentas no utilizadas.
10. Formar a toda la plantilla sobre los peligros de la ciberdelincuencia y sobre los procedimientos correctos para mitigar el riesgo.

 

Gestión del ciberriesgo, ¿compleja y costosa?

Muchos directores y gerentes de empresas no entienden el alcance de los actos de ciberdelincuentes. No están en condiciones de formar al equipo ante dichos peligros, ni de implementar políticas de gestión de ciberriesgos apropiadas, ni tan siquiera de confiar en que sus proveedores externos, socios comerciales o asesores profesionales cuenten con una seguridad cibernética efectiva. Necesitan ayuda profesional que mitigue los riesgos y conciencie a la totalidad de la plantilla mediante formaciones al uso.

Por su parte, el sector asegurador ya ofrece una nueva póliza para hacer frente a este problema, la Póliza de Ciber Riesgos.

En definitiva, la mayoría de los bufetes de abogados todavía tiene una seguridad ante ciberdelincuentes frágil y sigue considerando la gestión del ciberriesgo como una acción compleja, costosa y, en última instancia, innecesaria.

Una eficaz gestión del ciberriesgo no tiene por qué ser ni compleja de manejar ni extremadamente cara para las cuentas de la empresa. Invertir en prevención siempre será un acierto, más si cabe cuando está en juego el valor incalculable de la información sensible, de la reputación del bufete y del futuro del mismo.