Los ciberataques son un riesgo real al que se enfrentan todas las empresas. Si, también los despachos de abogados son objetivo. Cualquier compañía, grande o pequeña, es susceptible de sufrir un riesgo de este tipo: una brecha en su seguridad con impacto no solo operativo de daños económicos, sino de imagen pública y la reputación al romperse la percepción de confianza, en una gran mayoría de casos por pérdida de la confidencialidad al accederse a información privilegiada.
Sin embargo, el aspecto de la seguridad digital parece que todavía no ha arraigado lo suficiente para dotarle de los recursos estratégicos y tácticos operativos necesarios a fin de prevenir y estar preparados en cómo abordar una situación de este tipo. Las ciberamenazas han pasado a ser algo del día a día. Según los datos del INCIBE (Instituto Nacional de Ciberseguridad), en 2020 los ciberataques crecieron un 24% frente al 2019 situándose en más de 130.000 incidentes graves.
Una gran mayoría de los bufetes son micropymes que asignan menos medidas técnicas a la hora de proteger la infraestructura de su negocio ante los posibles ataques e intentos de robo de información confidencial. La ciberseguridad es un concepto que no aplica solo a la dimensión tecnológica, del equipo técnico especializado en garantizarla. Es imprescindible un abordaje con una visión integral, complementaria, que considere el área legal de asesoramiento jurídico, a los responsables de tratamiento de datos y también la parte reputacional a través de la gestión de la comunicación.
Para proteger la reputación hay que diseñar los escenarios y los protocolos de comunicación de cómo se maneja esta crisis de ciberseguridad con cada uno de los grupos de interés (stakeholders) de la cadena de valor del despacho (clientes, partners, empleados, proveedores, autoridades de control - Agencia Española de Protección de Datos, el CERT de Seguridad e Industria (CERTSI) -, fuerzas y cuerpos de seguridad – Policía Nacional y Guardia Civil-, medios de comunicación, etc). El área de comunicación es por tanto un pilar imprescindible que hay que activar tanto por imperativo de procedimientos normativos como por necesidad para reducir riesgos del impacto de la vulnerabilidad.
Fugas de información y protección de datos
Vivimos en un contexto de dispositivos conectados en donde la relación con terceros puede ser vía de acceso a este tipo de riesgos. Lo más habitual es sufrir un ransomware o “secuestro de datos”, un tipo de virus informático que encripta los ordenadores donde los ciberdelincuentes reclaman un pago para liberarlos. Por ejemplo, Allen Grubman, uno de los más prestigiosos de Hollywood, ha sido objeto de este cibechantaje al robarle 756 gigabytes de datos y solicitarle 21 millones para no divulgar datos confidenciales de sus clientes como Madonna, Lady Gaga y Robert de Niro.
En otros casos los ciberdelincuentes utilizan ingeniería social para suplantar identidad o interceptar los correos electrónicos del bufete y suplantan la identidad de sus clientes o proveedores. Es el llamado phishing que se lleva a cabo con la única intención de robar datos para hacer daño y usarlos en beneficio de los hackers. Como lo que le ocurrió al despacho de abogados estadounidense Holland & Knight, que se enfrenta a una demanda millonaria por haber sido engañado durante una operación de compraventa de acciones.
Los ciberriesgos son cada vez más sofisticados e intensos. Sin duda, es un desafío su abordaje y no debe evitarse, si no empezar cada despacho por valorar cuál es su perfil de riesgo y los recursos con los que cuenta para poder mitigar este tipo de violaciones de seguridad. Es decir, anticiparse. Adoptar una postura proactiva ante este desafío. Ello requiere el tener un Plan de Actuación donde se define cómo proceder en todos los niveles para resolver la situación, las medidas inmediatas a tomar y para contener el daño y minimizar los efectos negativos.
En estos casos con carácter de urgencia se deben tomar medidas si la fuga de información conlleva datos personales. El Reglamento Europeo de Protección de Datos recoge que el responsable del tratamiento tiene la obligación de notificar la violación de seguridad a la Agencia Española de Protección de Datos en las 72 horas siguientes a haber tenido conocimiento de que se ha producido. Y también se deberá notificar al interesado si ésta entraña un alto riesgo para sus derechos y libertades.
Clave el factor humano: las personas lo primero
Implementar un entorno seguro en el despacho (como en cualquier tipo de organización) pasa por proteger los equipos - actualización del sistema y un buen antivirus y antimalware, trabajar en la nube- y por tomar en consideración el factor humano como un riesgo. Este debe estar muy presente ya que las personas son el eslabón más débil de la cadena de seguridad. Por ello, hay que apostar por su sensibilización, formación y establecer políticas de conducta con medidas concretas de concienciación en ciberseguridad y en el correcto uso de la tecnología al personal.
Se calcula que al menos un 80% de los ciberincidentes se debe a descuidos y errores humanos por lo que concienciar y educar a los empleados del despacho sobre estos riesgos es un aspecto clave. Además, el 41% de los ciberataques a empresas en España se producen a través de los teléfonos móviles, ya sean corporativos (22%) o personales usados para trabajar (19%).
Hay que tener en cuenta que los bufetes están inmersos también en un proceso de transformación digital y que aumentan las vulnerabilidades la hiperconectividad y por manejar información sensible. En el impacto de estos casos, no solo nos enfrentamos a cuestiones como recuperar el acceso de nuevo a dicha información si no a la continuidad de la actividad normal del bufete, mantener los clientes, afrontar sanciones por fuga de datos, la responsabilidad civil, y mitigar el daño reputacional. Entre los consejos para hacer frente con éxito a la tarea de recuperar la reputación figuran un cambio de cultura en la máxima dirección donde la prevención no puede quedar solo en la inversión tecnológica de sistemas, trabajar en una concienciación de los abogados y resto de personal del bufete; tener un enfoque preventivo y proactivo desde el análisis de los ciberriesgos, contar con procedimientos y asegurar tener siempre canales activos de comunicación.
Prevención y liderazgo de la comunicación
Hay que estar capacitado para identificar, analizar y clasificar la brecha de seguridad; tener definidas las personas que integran el comité de crisis en estos casos y si se cuenta con apoyo externo para la comunicación, que es un gran aliado si se sabe manejar. Lo óptimo para manejar la situación y para una mejor recuperación de la crisis es tener sistematizados procesos de prevención.
En estos casos hay que dar la información que proceda en tiempo y forma a cada uno de sus grupos de interés y mantener un flujo constante de comunicación, ser capaz de hacer frente a aspectos de desinformación, afrontar el protagonismo en conversaciones negativas en las redes sociales… siempre desde la transparencia y preservando la integridad y la credibilidad. Y todo ello debe hacerse de una manera coordinada atendiendo el cumplimiento legal de proceder en estos casos, junto la labor del área de seguridad.
En estas situaciones críticas hay que liderar la comunicación y controlar el diálogo que se produzca. Para lograrlo se debe trasladar a todos los públicos afectados aquella información que sea necesaria de manera precisa, clara y empática. Frente a lo ocurrido hay que transmitir la postura de que se actúa de una manera responsable, haciendo todo lo necesario para subsanarlo. Al respecto, se deberán abrir los canales de comunicación que sean necesarios para atender a los afectados por el ciberataque, algo que en sí generará muchas dudas, inseguridades y reclamaciones.
En función del incidente, puede que los canales de comunicación habitual del bufete con sus stakeholders estén inhabilitados, por lo que se deberá buscar cómo comunicar con ellos, algo que de estar previsto previamente cómo actuar facilita las labores de mitigar el impacto. Manejar la crisis depende tanto de los recursos informáticos como saber atender las necesidades de los diferentes públicos pendientes del asunto.
La conclusión es clara: la reputación, y con ello sostenibilidad del bufete, depende de cómo se gestione el hecho de asumir el problema de ciberseguridad, ser transparente, reaccionar y actuar de manera diligente en tiempo y forma.
ENLACES
Allen Grubman
https://www.elperiodico.com/es/gente/20200513/chantaje-ciberataque-bufete-abogados-famosos-hollywood-7960483
despacho de abogados estadounidense Holland & Knight
https://www.eleconomista.es/legislacion/noticias/10700793/07/20/Ciberataque-grave-en-un-bufete-los-piratas-se-hacen-con-3-millones-de-una-operacion.html
consejos para hacer frente con éxito a la tarea de recuperar la reputación
https://slfcrisis.com/crisis-de-reputacion-por-ciberataque-tres-consejos-para-su-abordaje-con-exito/
.