La Ciberseguridad en los Despachos de Abogados. Parte 6 y última

La Ciberseguridad en los Despachos de Abogados

La Fuga de datos como ilícito Deontológico

Artículo anterior: La Ciberseguridad en los Despachos de Abogados. Parte 5

Como señalábamos, este tipo de incidentes (“Fuga de Información del Despacho”), dentro del colectivo de la Abogacía tiene un componente añadido, como es el de la aplicación de la normativa deontológica, tanto desde el punto de vista de la prevención, como del sancionador, gracias a la cual se protegen los principios sobre los que se asienta el ejercicio de la profesión y, en particular, la obligación de no defraudar la confianza del cliente.

En este caso y, sin perjuicio de la eventual responsabilidad del despacho por los daños que pueda ocasionar a sus clientes, el actual “Código Deontológico” de la abogacía española contiene una serie de preceptos con incidencia directa en esta materia.

Código Deontológico de la Abogacía en España

En su Preámbulo señala: “El Abogado debe actuar siempre honesta y diligentemente, con competencia, con lealtad al cliente, respeto a la parte contraria, guardando secreto de cuanto conociere por razón de su profesión y si cualquier abogado así no lo hiciere, su actuación individual afecta al honor y dignidad de toda la profesión”.

Este deber de diligencia del abogado para con su cliente, también se contempla en el artículo 13.10 del Código Deontológico, cuando dice: “El abogado asesorará y defenderá a su cliente con diligencia y dedicación, asumiendo personalmente la responsabilidad del trabajo encargado, sin perjuicio de las colaboraciones que recabe”.

Estatuto General de la Abogacía Española

Por su parte el Estatuto General de la Abogacía española,
también se refiere a este deber de diligencia en varios de sus artículos.

Si bien a los efectos que ahora interesan destacan:

Artículo 42.1 y 2. En virtud del cual, “el abogado está obligado con la parte por él defendida, además de las que se deriven de sus obligaciones contractuales, a cumplir con la misión de defensa que se le encomienda, con el máximo celo y diligencia, y guardando el secreto profesional”.

Para ello, en el apartado 2 del artículo 42 se establece:

“el abogado realizará diligentemente las actividades profesionales que le imponga la defensa del asunto encomendado, ateniéndose a las exigencias técnicas, deontológicas y éticas adecuadas a la tutela jurídica del asunto en cuestión”.

Secreto Profesional

En todo este aspecto relativo a la “Fuga de Información”, cobra una especial relevancia todo lo relacionado con el Secreto Profesional, el cual se erige como Derecho y Deber primordial de la Abogacía.

Este tipo de “Obligaciones de Confidencialidad”, no son sólo personalísimas del abogado afectado, sino que también debe hacerlas extensivas al resto del personal del despacho y a todos sus colaboradores con carácter ilimitado en el tiempo.

A la vista de la existencia de riesgos derivados de la “Fuga de Información”, el artículo 21.1 del Código Deontológico obliga a la cobertura de su responsabilidad profesional con medios propios o con aseguramiento en cuantía adecuada a los riesgos que implique.

Pólizas de Seguro de Responsabilidad Civil

De ahí la importancia de que las Pólizas de Seguros de Responsabilidad Civil que se contraten, …

… cubran los eventuales daños causados por eventos provocados por ciberincidentes de esta naturaleza.

De Legalis Consultores sobre textos legales.

Y en especial sacados de la propia web de la Agencia Española de Protección de Datos (AEPD): www.aepd.es

Logotipo Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Siguenos también por FACEBOOK: www.facebook.com/legalisconsultores.es
y en TWITTER: @LegalisConsult

Gracias y…Te esperamos.

 

La Ciberseguridad en los Despachos de Abogados. Parte 5

La Ciberseguridad en los Despachos de Abogados. Parte 5.

“Gestión de la Fuga de Información”.

Post anterior: Ciberseguridad en Despachos de Abogados. Parte 4

Vamos a analizar el Plan para la Gestión de la Fuga de Información a tener en cuenta en un Despacho de Abogados, para reforzar su capacidad de prevención y de acción ante un incidente de estas características.

1.- Fase Inicial.

Los momentos inmediatamente posteriores a la detección de una Fuga de Información son especialmente críticos.

Una adecuada y rápida gestión en las primeras fases pueden suponer una eficaz reducción del impacto del incidente y una minimización de sus efectos.

Por lo tanto, una vez tengamos conocimiento del incidente, deberemos informar internamente de la situación, activando el Protocolo de Actuación que tengamos diseñado en nuestra organización para estos casos.

Hay que incidir en la “prudencia” y “confidencialidad”.
Si la Fuga de Información conlleva Datos Personales, el Reglamento Europeo de Protección de Datos recoge que el Responsable de Tratamiento tiene obligación de comunicar la violación de seguridad ante la Agencia Española de Protección de Datos en las 72 horas siguientes a haber tenido conocimiento de que se ha producido la misma.

Además deberá comunicar al interesado si ésta entraña un alto riesgo para sus derechos y libertades.

2.- Fase de Lanzamiento.

Habrá que convocar a los miembros del Comité o Gabinete de Crisis, es decir, al equipo de gestión, responsable de tomar las decisiones durante este proceso.

Hay que mantener la calma y actuar de forma coordinada y organizadamente, a fin de evitar decisiones incorrectas o que puedan provocar consecuencias negativas adicionales.

3.- Fase de Auditoría.

En esta Fase se trata de obtener la máxima información posible sobre el incidente.

Por eso es necesario llevar una Auditoría Interna con el objeto de determinar:

A.- Cantidad de Información que ha podido ser sustraída.

B.- El tipo de Datos. Si son datos de carácter personal y de que nivel.

C.- Examinar si la información es de la misma entidad o es externa, con especial consideración a los datos de nuestros clientes.

D.- Establecer y acotar la causa principal de la filtración. Si tiene un origen técnico o humano.

Además de la Auditoría Interna, habrá que realizar una Auditoría Externa, con el objeto de conocer el tamaño, gravedad y nivel de difusión de la filtración en el exterior de la organización.

E.- Determinar el alcance de la información sustraída.

F.- Establecer que información se ha hecho pública.

G.- Recoger las noticias y otros contenidos que hayan aparecido en los medios de comunicación o redes sociales.
H.- Conocer las reacciones.

En esta Fase el tiempo de reacción es crítico. (Plazo no superior a 12 horas desde que se ha conocido el incidente).

Imagen quienes somos

4.- Fase de Evaluación.

Es por ello que, con toda la información recopilada, se podrá iniciar el proceso de valoración del incidente, así como sus posibles consecuencias e impacto.

Es recomendable establecer las tareas a emprender, así como una planificación detallada para cada una de ellas.
También se debe de actuar con agilidad.

Dentro de las principales tareas de Ciberseguridad, se encuentran las siguientes:

Actuaciones para cortar la filtración y evitar nuevas Fugas de Información.

  • Revisión de la difusión de la Información y mitigación de la misma. En especial si se trata de información confidencial o datos de carácter personal.
  • Actuación con los afectados, ya sean internos o externos.
  • Tareas para la mitigación de las consecuencias legales o posibles incumplimientos de la normativa de Protección de Datos de carácter Personal o de otra normativa.
  • Determinación de consecuencias económicas que puedan afectar a la organización y su posible mitigación.
  • Examinar los activos de la organización que hayan podido ser afectados y su alcance.
  • Planificación del contacto y la coordinación con los cuerpos y fuerzas de seguridad del estado.

5.- Fase de Mitigación

Esta fase se centra en tratar de reducir la brecha de seguridad y evitar que se produzcan nuevas Fugas de Información en el menor tiempo posible.

También en esta Fase se trata de mitigar la difusión de la información sustraída, en especial si se encuentra publicada en internet.

Se contactará con los sitios que han publicado la información, con los motores de búsqueda, y se solicitará su retirada, en especial si se tratase de información sensible o protegida por el secreto profesional o la Ley de Protección de Datos.

También se pondrá el incidente en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado (Policía y Guardia Civil) o de la Fiscalía de Cibercriminalidad Informática y también hay que ponerlo en conocimiento de la Agencia Española de Protección de Datos (AEPD).
Convendría además que se ponga en conocimiento del propio Colegio de Abogados, si se considerase adecuado por la gravedad del incidente o de la cantidad o calidad de los datos afectados.

6.- Fase de Seguimiento

Una vez completadas las Fases anteriores, se procederá a evaluar el resultado y la efectividad de las acciones realizadas en relación con las consecuencias y su impacto.
Se podrá realizar en esta fase una Auditoría más completa de Ciberseguridad, a partir de la cual se puedan diseñar e implementar medidas definitivas para evitar nuevas Fugas y restablecer el normal funcionamiento de los servicios e infraestructuras que pudieran haberse visto afectadas.

De Legalis Consultores (Ignacio Puig Carles) sobre varios textos jurídicos sobre la materia y en especial de la página web de la Agencia Española de Protección de Datos.

Legalis Consultores

Logotipo Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales este artículo sobre“Ciberseguridad en los Despachos de Abogados. Parte 5y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Síguenos también por FACEBOOK: www.facebook.com/legalisconsultores.es

y en TWITTER: @LegalisConsult

Gracias y…Te esperamos.

 

La Ciberseguridad en los Despachos de Abogados. Parte 3

Despachos de Abogados. La Ciberseguridad. (Parte 3)

Origen de las Amenazas

Señalábamos en el artículo anterior: La Ciberseguridad en los Despachos de Abogados. Parte 2., que el origen de las amenazas podía ser tanto Interno como Externo.

  • Origen Interno

Aquí incluiríamos las Fugas de Información producidas por los propios empleados del despacho de abogados, ya sea de manera inconsciente: Por error o desconocimiento, o bien de forma Dolosa.

Por lo que aquellas veces que la fuga se produce de forma voluntaria, facilitando el acceso a datos o revelando información a terceros sin autorización, se les denomina: “insider”.

  • Origen Externo

Es cuando la fuga viene desde fuera del despacho y que tienen por objeto acceder de forma ilícita a “información confidencial”.

Por lo tanto, los distintos tipos serían:

1.- Hackitismo. Producido por terceras personas que quieren mostrar su desacuerdo con la actividad que desarrolla el despacho o los clientes a los que defiende.

2.- Venganza de Clientes descontentos

3.- Venganza de antiguos empleados

4.- Robo de Información Confidencial. Aquí se contempla el acceso no consentido a información privilegiada del cliente para buscar, entre otras razones, una ventaja competitiva e incluso la obtención de un beneficio económico.

5.- Ataque de terceros. Que simplemente buscan dañar la imagen del despacho de abogados.

6.- Competencia Desleal

Causas y cómo prevenirlas

Además, cuando se produce una Fuga de Información de cualquier despacho de abogados, normalmente es debido a la inexistencia de algún tipo de medida o procedimiento de seguridad.

Por lo tanto, esta carencia de control sobre la información, hace que aumente de manera importante la probabilidad de que se produzca un incidente de seguridad.

Las causas principales se pueden clasificar en dos grupos:

1.- Causas Organizativas

Uno de los principales errores que se suele cometer durante la protección de la información es la falta de clasificación de la misma.

Dicha clasificación se puede realizar en base al nivel de confidencialidad.

También puede clasificarse por el impacto que puede generar la filtración, nivel de sensibilidad, si se trata de información personal o no, delimitación del alcance de la información (Quién puede conocer la información y qué tipo de acciones puede realizar con ella).

Si no conocemos el valor de la información, no será posible diseñar ni implementar medidas de protección adecuadas.

Otro de los errores viene determinado por la falta de conocimiento o formación, facilitando la producción de errores por parte de los integrantes del despacho.

Estos deben de actuar de una manera responsable y diligente (utilizando los servicios de la nube, dispositivos móviles, correos electrónicos, redes sociales o la simple navegación por internet).

El despacho debe de proporcionar ciertos conocimientos a sus empleados sobre Ciberseguridad, siendo una responsabilidad de la propia organización.

Otra de las causas organizativas sería la falta de procedimientos de seguridad dentro de la organización. Establecer las pautas y obligaciones para los trabajadores en el ámbito de la Ciberseguridad (en actividades de especial importancia o riesgo).

Por último señalamos también la inexistencia de acuerdos de confidencialidad con la plantilla.

De esta manera el empleado debe de aceptar por escrito las políticas y condiciones de privacidad y seguridad que deben de aplicarse en el despacho de abogados.

2.- Causas Técnicas

Como causas técnicas señalamos las siguientes:

2.1.- Código Malicioso o Malware (P.ej. Troyanos). Aquí lo que se persigue es el robo de información y muchas veces es difícil poder localizarlos.

2.2.- Acceso no autorizado a sistemas e infraestructuras. Por ello la importancia de realizar las correspondientes actualizaciones en tiempo y forma.

2.3.- Generalización del uso de servicios en la nube para el almacenamiento de todo tipo de información.
De todas maneras el hecho de que la información se encuentre en la nube no significa que dicha información esté perfectamente segura. Todo dependerá de la robustez en las contraseñas de los propios usuarios y de su formación en Ciberseguridad.

2.4.- Uso de tecnologías móviles para el trabajo diario.
Por lo que si dicha información almacenada en los dispositivos es crítica, deberán intensificarse las políticas y medidas de seguridad-
De Legalis Consultores sobre artículo referido al tema dentro de su web: Agencia de Protección de Datos.

Despachos de Abogados. Ciberseguridad.
Despachos de Abogados. Ciberseguridad.

Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Síguenos también por FACEBOOKwww.facebook.com/legalisconsultores.es

y en TWITTER@LegalisConsult

Gracias y…Te esperamos.

La Ciberseguridad en los Despachos de Abogados. Parte 1

La Información en los Despachos de Abogados

 Vamos a tratar en los próximos 6 artículos que iremos publicando a partir de hoy y durante todas las semanas, la importancia que tienen para los despachos de abogados, los “bienes intangibles”.

Sobre todo en lo que respecta a la INFORMACIÓN de los DESPACHOS DE ABOGADOS.

Dichos bienes deben ser debidamente protegidos de una manera fundamental.

Información. Bienes Intangibles

La INFORMACIÓN de los Despachos de Abogados, en caso de pérdida, sustracción o acceso no consentido por parte de terceros, puede ser empleada con fines no deseados: extorsión, desprestigio…e incluso para comercializar con ella.

Por tanto, la Fuga de Información en los Despachos de Abogados, es una de las mayores amenazas a las que nos enfrentamos hoy en día.

Sobre todo porque la profesión de abogados se fundamenta en la Confianza que los clientes depositan en estos profesionales.

Estamos obligados a adoptar una serie de medidas que salvaguarden de la responsabilidad legal y deontológica a la que estamos sujetos como profesionales.

La Ciberseguridad

Por ello la Ciberseguridad debe ser un elemento indispensable en la estrategia de nuestro despacho. La protección frente a las amenazas: virus, daños informáticos, ataque a páginas web, fraude, robo de identidad online, destrucción de información… nos debe llevar a reaccionar con medidas de prevención para poder evitar o minimizar las filtraciones de información y la posible pérdida de imagen de nuestro despacho.

Cualquier incidencia de este tipo en nuestra organización, necesariamente va a afectar a terceras personas: clientes, proveedores u otros compañeros de profesión.

Tampoco deberemos de olvidar las posibles medidas que ayudan a la sensibilización, formación, concienciación y educación de todos los miembros de la organización.
Precisamente porque la mayoría de los datos son tratados por “personas”, es por ello que cada vez se producen ataques basados en la “ingeniería social” (p.ej. Suplantación de identidad del socio del despacho debido a la información que consta de él en las redes sociales), cuyo objetivo va a ser el engañar al personal de la organización o provocar errores en la gestión interna al objeto de que el Ciberataque tenga éxito.

En cuanto a la Ciberseguridad se dice que “el usuario es el eslabón más débil de la cadena”.

En el próximo artículo (parte 2), profundizaremos más sobre el aspecto real de la fuga de información dentro de los despachos de abogados.

De Legalis Consultores sobre textos de la materia publicados por la Agencia Española de Protección de Datos (AEPD) en su página oficial. Agencia de Protección de Datos.

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es
Síguenos también por 
FACEBOOKwww.facebook.com/legalisconsultores.es
y en 
TWITTER@LegalisConsult
Gracias y…Te esperamos.

Esta web utiliza cookies propias y de terceros para analizar nuestros servicios y mostrarle publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de sus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de sus datos para estos propósitos. Más informaciónPersonalizar Cookies   
Privacidad