La Ciberseguridad en los Despachos de Abogados. Parte 3

Despachos de Abogados. La Ciberseguridad. (Parte 3)

Origen de las Amenazas

Señalábamos en el artículo anterior: La Ciberseguridad en los Despachos de Abogados. Parte 2., que el origen de las amenazas podía ser tanto Interno como Externo.

  • Origen Interno

Aquí incluiríamos las Fugas de Información producidas por los propios empleados del despacho de abogados, ya sea de manera inconsciente: Por error o desconocimiento, o bien de forma Dolosa.

Por lo que aquellas veces que la fuga se produce de forma voluntaria, facilitando el acceso a datos o revelando información a terceros sin autorización, se les denomina: “insider”.

  • Origen Externo

Es cuando la fuga viene desde fuera del despacho y que tienen por objeto acceder de forma ilícita a “información confidencial”.

Por lo tanto, los distintos tipos serían:

1.- Hackitismo. Producido por terceras personas que quieren mostrar su desacuerdo con la actividad que desarrolla el despacho o los clientes a los que defiende.

2.- Venganza de Clientes descontentos

3.- Venganza de antiguos empleados

4.- Robo de Información Confidencial. Aquí se contempla el acceso no consentido a información privilegiada del cliente para buscar, entre otras razones, una ventaja competitiva e incluso la obtención de un beneficio económico.

5.- Ataque de terceros. Que simplemente buscan dañar la imagen del despacho de abogados.

6.- Competencia Desleal

Causas y cómo prevenirlas

Además, cuando se produce una Fuga de Información de cualquier despacho de abogados, normalmente es debido a la inexistencia de algún tipo de medida o procedimiento de seguridad.

Por lo tanto, esta carencia de control sobre la información, hace que aumente de manera importante la probabilidad de que se produzca un incidente de seguridad.

Las causas principales se pueden clasificar en dos grupos:

1.- Causas Organizativas

Uno de los principales errores que se suele cometer durante la protección de la información es la falta de clasificación de la misma.

Dicha clasificación se puede realizar en base al nivel de confidencialidad.

También puede clasificarse por el impacto que puede generar la filtración, nivel de sensibilidad, si se trata de información personal o no, delimitación del alcance de la información (Quién puede conocer la información y qué tipo de acciones puede realizar con ella).

Si no conocemos el valor de la información, no será posible diseñar ni implementar medidas de protección adecuadas.

Otro de los errores viene determinado por la falta de conocimiento o formación, facilitando la producción de errores por parte de los integrantes del despacho.

Estos deben de actuar de una manera responsable y diligente (utilizando los servicios de la nube, dispositivos móviles, correos electrónicos, redes sociales o la simple navegación por internet).

El despacho debe de proporcionar ciertos conocimientos a sus empleados sobre Ciberseguridad, siendo una responsabilidad de la propia organización.

Otra de las causas organizativas sería la falta de procedimientos de seguridad dentro de la organización. Establecer las pautas y obligaciones para los trabajadores en el ámbito de la Ciberseguridad (en actividades de especial importancia o riesgo).

Por último señalamos también la inexistencia de acuerdos de confidencialidad con la plantilla.

De esta manera el empleado debe de aceptar por escrito las políticas y condiciones de privacidad y seguridad que deben de aplicarse en el despacho de abogados.

2.- Causas Técnicas

Como causas técnicas señalamos las siguientes:

2.1.- Código Malicioso o Malware (P.ej. Troyanos). Aquí lo que se persigue es el robo de información y muchas veces es difícil poder localizarlos.

2.2.- Acceso no autorizado a sistemas e infraestructuras. Por ello la importancia de realizar las correspondientes actualizaciones en tiempo y forma.

2.3.- Generalización del uso de servicios en la nube para el almacenamiento de todo tipo de información.
De todas maneras el hecho de que la información se encuentre en la nube no significa que dicha información esté perfectamente segura. Todo dependerá de la robustez en las contraseñas de los propios usuarios y de su formación en Ciberseguridad.

2.4.- Uso de tecnologías móviles para el trabajo diario.
Por lo que si dicha información almacenada en los dispositivos es crítica, deberán intensificarse las políticas y medidas de seguridad-
De Legalis Consultores sobre artículo referido al tema dentro de su web: Agencia de Protección de Datos.

Despachos de Abogados. Ciberseguridad.
Despachos de Abogados. Ciberseguridad.

Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Síguenos también por FACEBOOKwww.facebook.com/legalisconsultores.es

y en TWITTER@LegalisConsult

Gracias y…Te esperamos.

La Ciberseguridad en los Despachos de Abogados. Parte 2

La seguridad en los Despachos de Abogados. Parte 2

Artículo anterior:  Ciberseguridad en Despachos de Abogados (I)

Amenazas. Origen Interno y Externo

Seguimos con los artículos dedicados a la seguridad en los despachos de abogados. Hoy vamos a tratar el segundo artículo de un total de 8, dedicado a la Fuga de Información.
La protección de la Información, se debe articular en base a tres principios básicos:
1.- CONFIDENCIALIDAD. La Información del Despacho solo será accesible por el personal autorizado.
2.- INTEGRIDAD de la INFORMACIÓN. Es decir, que dicha información sea correcta, y esté libre de modificaciones y errores.
Que no haya sido objeto de alteraciones o modificaciones malintencionadas, ya que supondría un riesgo si estamos basando nuestras decisiones en ellas.
3.- DISPONIBILIDAD. La información estará accesible para las personas o sistemas autorizados, cuando sea necesario.

Fuga de Información en los Despachos de Abogados

También llamamos Fuga de Información a la pérdida de la confidencialidad, de manera que personal del despacho que no esté autorizado, accede a dicha información privilegiada.
Las consecuencias de una Fuga de Información de nuestro despacho van a ser siempre negativas: Por un lado, en lo que se refiere a la Reputación del Despacho, dañará la imagen pública del mismo, generando desconfianza e inseguridad en los clientes y, por otro lado, la publicación de la información puede generar consecuencias a terceras personas, cuyos datos se hayan hecho públicos.

Por otra parte hay un conjunto de normas y leyes, que ponen especial atención al uso y tratamiento de datos de carácter personal:

  • Ley 15/1999 de 13 de diciembre, de Protección de Datos de carácter Personal. Más conocida como LOPD.
  • Su Reglamento de desarrollo: Real Decreto 1720/2007, de 21 de diciembre.
  • El recientemente publicado Reglamento Europeo 2016/679 de 27 de abril, de Protección de Datos y que será de obligado cumplimiento a partir del 25 de mayo de 2018. (RGPD).

En esta última norma destaca la Obligación de Seguridad en el tratamiento de los datos y que está recogido en el artículo 32 (apartado 1 y 2):

Artículo 32. (RGPD):

1.-Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2.- Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Despachos de Abogados. Seguridad en la Información.
Despachos de Abogados. Seguridad en la Información.

Competencias

Por lo tanto en relación a la competencia para conocer este tipo de situaciones, La Agencia Española de Protección de Datos (AEPD), es la autoridad estatal encargada de velar por el cumplimiento de la normativa sobre Protección de Datos.

Sus competencias son garantizar y tutelar el Derecho Fundamental a la Protección de Datos de carácter personal de los ciudadanos.

Reglamento Europeo de Protección de Datos

El Reglamento Europeo de Protección de Datos contiene una serie de previsiones y obligaciones para el Responsable de Tratamiento y que vienen recogidos en los Considerandos 85 al 87 y en los artículos del Reglamento 33 y 34, donde se establece la obligación por parte del Responsable de Tratamiento de que, tan pronto como tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, deberá, sin dilación indebida, y a más tardar 72 horas después de que tenga constancia, de comunicarlo a la autoridad de control competente, a menos que pueda demostrar la improbabilidad de que citada violación entrañe un riesgo para los derechos y libertades de las personas físicas afectadas (p.ej. Porque tales datos iban cifrados…).
También deberá comunicar al afectado, en caso de que pueda entrañar un grave riesgo para sus derechos y libertades, manteniendo le en todo momento informado sobre las acciones y gestiones que se vayan produciendo. (Artículo 34 del RGPD).

Por lo tanto, este deber de información se producirá a fin de que el afectado pueda cambiar las contraseñas, números secretos de las tarjetas de crédito o cuentas bancarias y correos electrónicos.

En el próximo post trataremos entre otros asuntos EL ORIGEN DE LAS AMENAZAS

De Legalis Consultores, sobre textos de la propia Agencia Española de Protección de Datos (AEPD) sobre la materia y publicados en su página web.

Legalis Consultores

Logotipo Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

También, puedes seguirnos por FACEBOOKwww.facebook.com/legalisconsultores.es

Además, estamos presentes en TWITTER@LegalisConsult

Gracias y…Te esperamos

La Ciberseguridad en los Despachos de Abogados. Parte 1

La Información en los Despachos de Abogados

 Vamos a tratar en los próximos 6 artículos que iremos publicando a partir de hoy y durante todas las semanas, la importancia que tienen para los despachos de abogados, los “bienes intangibles”.

Sobre todo en lo que respecta a la INFORMACIÓN de los DESPACHOS DE ABOGADOS.

Dichos bienes deben ser debidamente protegidos de una manera fundamental.

Información. Bienes Intangibles

La INFORMACIÓN de los Despachos de Abogados, en caso de pérdida, sustracción o acceso no consentido por parte de terceros, puede ser empleada con fines no deseados: extorsión, desprestigio…e incluso para comercializar con ella.

Por tanto, la Fuga de Información en los Despachos de Abogados, es una de las mayores amenazas a las que nos enfrentamos hoy en día.

Sobre todo porque la profesión de abogados se fundamenta en la Confianza que los clientes depositan en estos profesionales.

Estamos obligados a adoptar una serie de medidas que salvaguarden de la responsabilidad legal y deontológica a la que estamos sujetos como profesionales.

La Ciberseguridad

Por ello la Ciberseguridad debe ser un elemento indispensable en la estrategia de nuestro despacho. La protección frente a las amenazas: virus, daños informáticos, ataque a páginas web, fraude, robo de identidad online, destrucción de información… nos debe llevar a reaccionar con medidas de prevención para poder evitar o minimizar las filtraciones de información y la posible pérdida de imagen de nuestro despacho.

Cualquier incidencia de este tipo en nuestra organización, necesariamente va a afectar a terceras personas: clientes, proveedores u otros compañeros de profesión.

Tampoco deberemos de olvidar las posibles medidas que ayudan a la sensibilización, formación, concienciación y educación de todos los miembros de la organización.
Precisamente porque la mayoría de los datos son tratados por “personas”, es por ello que cada vez se producen ataques basados en la “ingeniería social” (p.ej. Suplantación de identidad del socio del despacho debido a la información que consta de él en las redes sociales), cuyo objetivo va a ser el engañar al personal de la organización o provocar errores en la gestión interna al objeto de que el Ciberataque tenga éxito.

En cuanto a la Ciberseguridad se dice que “el usuario es el eslabón más débil de la cadena”.

En el próximo artículo (parte 2), profundizaremos más sobre el aspecto real de la fuga de información dentro de los despachos de abogados.

De Legalis Consultores sobre textos de la materia publicados por la Agencia Española de Protección de Datos (AEPD) en su página oficial. Agencia de Protección de Datos.

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es
Síguenos también por 
FACEBOOKwww.facebook.com/legalisconsultores.es
y en 
TWITTER@LegalisConsult
Gracias y…Te esperamos.

Esta web utiliza cookies propias y de terceros para analizar nuestros servicios y mostrarle publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de sus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de sus datos para estos propósitos. Más informaciónPersonalizar Cookies   
Privacidad