Ciberseguridad. El gran debate para el 2014.

El pasado mes publiqué en el blog de Inkietos una entrada titulada “La ciberseguridad en los despachos de abogados”. El año 2014 definitivamente va a ser un año en el que la seguridad en internet y privacidad de los datos y la información sensible estará en pleno debate. En estos momentos nos encontramos en un momento de gran incertidumbre y se tiene una percepción global de gran inseguridad donde incluso los propios estados están participando de actividades en las que el ciudadano de a pié queda totalmente expuesto y desprotegido de sus derechos a la privacidad. Y en todo este escenario, los abogados y los despachos de abogados no pueden quedar al margen, debiendo por el contrario tomar la iniciativa para garantizar protección y seguridad.

Comparto aquí el texto íntegro:

Imagen

     La seguridad y la privacidad en Internet ha sido uno de los temas que ha saltado a la opinión pública en el año que despedimos y que seguramente será de los más debatidos durante el próximo año 2014.

    

     El espionaje masivo e indiscriminado a ciudadanos, líderes y empresas realizado por la Agencia de Seguridad Nacional de EEUU (NSA) puso en alerta a la sociedad y sus ciudadanos a través de los documentos facilitados a los medios de comunicación por el extécnico de dicha agencia, Edward Snowden.
 
     En esta línea, y dado el debate público generado, han comenzado a florecer con mucha más fuerza distintos proyectos de herramientas, muchas de ellas de software libre, que permiten hacer virtualmente anónima tu conexión a Internet. Algunas de ellas como Tor Project, que siendo existente desde hace varios años, ha pasado de ser  una red de orígenes “oscuros”, por haber sido utilizada para acciones ilícitas como pornografía o hacking, a ser usada por usuarios, familias y empresas preocupados por la privacidad de sus conexiones y la seguridad de la información. Otro ejemplo lo encontramos en GnuPG, una aplicación especializada en criptografía que permite proteger datos y correos electrónicos del riesgo de ser interceptados. Este proyecto en particular, lanzó una campaña de microfinanciación colectiva o crowdfunding en la plataforma Goteo donde en 26 horas consiguió la cantidad óptima de 24.000 euros que los organizadores solicitaban para financiar el proyecto.
 
     Por otro lado, el impacto económico que produce el cibercrimen, y otras actividades delictivas en Internet es enorme. Según el estudio publicado el pasado mes de julio por el Centro de Estudios Estratégicos e Internacionales de EEUU y la empresa de seguridad informática McAfee, las estimaciones realizadas solo en EEUU arrojan pérdidas de hasta 100 billones de dólares anuales y la destrucción de medio millón de puestos de trabajo, forzando a sufrir con ello reordenaciones de la situación laboral y actividad económica del país.
 
     El robo de la propiedad intelectual y la información confidencial del negocio, son las dos áreas más importantes en las que opera el ciberespionaje económico, que incurren en pérdidas financieras directas e incluso, y según qué casos, en manipulaciones de la información del stock market en el que operan las empresas. El cibercrimen a su vez genera la pérdida de oportunidades como nuevos servicios disruptivos comerciales en Internet por la pérdida de la confianza online, además de elevar los costes adicionales de implantación de redes de seguridad y gastos para la recuperación de ciberataques, y por supuesto, el daño reputacional de la compañía o empresa hackeada.

Ciberseguridad y Despachos
 
     Si bien es cierto que ha existido siempre un cierto ludismo entre los abogados y sus despachos, nos encontramos ahora en un nuevo escenario tecnológico y cibernético donde no solo deben abandonar ese rechazo a la tecnología, si no que deben posicionarse los primeros en el uso de las tecnologías basadas en ciberseguridad de la información y la privacidad de las comunicaciones. Y no sólo tienen que velar por su conexiones y su propia información almacenada electrónicamente , si no que tienen la responsabilidad de proteger la información de sus clientes.
 
     Al custodiar en muchos casos tanto la propiedad intelectual y la información comercialmente sensible de los clientes, los bufetes de abogados son particularmente atractivos para el ciberespionaje. Por tanto, ¿Se están adoptando las medidas necesarias para ello?
 
     Según el Hildebrandt Institute los bufetes de abogados se encuentran en una situación precaria cuando se trata de seguridad cibernética. En una reciente encuesta de firmas de abogados del Reino Unido, mientras que el 68 por ciento de los empleados de las firmas encuestadas creían que los despachos son un objetivo probable, sólo el 35 por ciento contaban con un plan de contingencia ante un ataque de estas características.
 
     Para Seth Berman , director general ejecutivo de la consultora de  seguridad e inteligencia digital y risk management Stroz Friedberg “El fracaso de los bufetes de abogados para hacer frente a la seguridad digital online está dejando a clientes cada vez más vulnerables a los ataques”.
 
     La revista Legal Week realizó un estudio junto con esta consultora, en la que los encuestados, una muestra de unos 400 ejecutivos senior en UK, al menos la mitad eran profesionales del sector legal. En el reporte del estudio, la pérdida potencial de datos de los clientes era la principal preocupación citada por los encuestados, un 32 por ciento entre los profesionales del sector legal. Por otro lado, mientras que el 36 por ciento de los encuestados pensaban que sus sistemas podrían soportar un ataque, sólo el 9 por ciento entre los del sector legal habían creado una estimación de cuánto costaría un ataque de estas características, ante el 26 por ciento de los ejecutivos de otras empresas ajenas al sector legal.
 
     Se extrae del mismo estudio la suspicacia y recelo del sector legal. A la vista de un fallo de seguridad, los profesionales legales son dos veces más propensos a sospechar de sus empleados, frente aquellos pertenecientes a otros sectores. Además es mucho menos probable (en un 35 por ciento) incluir a expertos externos en seguridad digital en cualquier planificación de contingencia que los ejecutivos de otras profesiones (53 por ciento).
 
     Teniendo en cuenta estos datos y porcentajes del mercado legal en Reino Unido, uno de los más importantes a nivel global, es fácil imaginar que el mercado legal español tiene igualmente muchísimo margen de mejora, cada vez más necesaria para los intereses de los clientes, que estarán más sensibilizados en este aspecto.
 
Prevención
 
“Si fallas al preparar, te estas preparando para fallar” · Benjamin Franklin.
     Como en toda gestión para eludir una posible contingencia, es necesario adoptar medidas preventivas y estar preparados para minimizar el riesgo o hacer frente al mismo con las mayores garantías.
 
     Ante un incidente de seguridad en un despacho de abogados, como en cualquier otra empresa que gestione información sensible de sus clientes y su propia información y “know how”, el objetivo principal es, en caso de fallo, recuperar el nivel habitual de funcionamiento de los sistemas y servicios cuanto antes y minimizar las pérdidas todo lo posible.
 
Para ello medidas básicas a contemplar serían:
 

1.     Ser conocedor de los principales problemas que pueden darse y sus características, como la denegación o caídas de servicios, compromisos o carencias del propio sistema, infecciones por malware, intentos de phissing, hacking, explotación de vulnerabilidades o violación de políticas.

2.     Tener planificada la respuesta ante la contingencia con sus fases de actuación: Identificación, contención y o mitigación, preservación de evidencias, consideraciones legales, recuperación de servicio y documentación final.

3.     Informar a los empleados de los riesgos y responsabilidades en materia de prevención IT y protección de los sistemas y los datos a los que accede. El mejor momento es como siempre, cuando un nuevo miembro llega al despacho mediante la firma de un documento de normas de uso de los sistemas y sus responsabilidades y tener el mismo publicado en la intranet, con recordatorios periódicos en la comunicación interna.

4.     Proteger y auditar el sistema con ayuda de profesionales en informática técnica, la gestión del riesgo digital y servicios de hacking ético que cada vez cobran más importancia de cara a la protección externa. 

Anuncios


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s