Tanto las empresas como los bufetes de abogados necesitan para su buen funcionamiento y para su acomodación a las necesidades de los mercados adaptarse a las últimas novedades tecnológicas. En la actualidad la actividad económica y de asesoramiento profesional se encuentra inmersa en un entorno tecnológico en constante cambio.
Por estos motivos la ciberseguridad se convierte en una prioridad para bufetes y empresas que precisan de profesionales especializados en Derecho Digital que aborden la seguridad con una visión integral del entorno, tanto interno como externo, pero que -aparte de los aspectos técnicos- también tengan en cuenta las necesidades organizativas y legales.
Requisitos de ciberseguridad
Al mismo tiempo las empresas llegan a sus clientes cada vez más por diferentes medios: correo electrónico, página web, redes sociales, aplicaciones móviles… En este entorno tecnológico, la ciberseguridad se constituye en un factor diferenciador para generar confianza entre clientes y proveedores.
Una empresa cibersegura necesita dar cumplimiento a diez cuestiones fundamentales que deben conocer los abogados y abogadas que presten este asesoramiento legal:
1. Política de seguridad
Para garantizar la seguridad es necesario documentar y difundir entre empleados y ejecutivos una política de seguridad que defina cómo se va a abordar este reto tecnológico y legal. Hay que desarrollar normativas y procedimientos que recojan las obligaciones a las que están sujetos los usuarios sobre el tratamiento y seguridad de la información.
Es fundamental crear un plan director de ciberseguridad para identificar los procesos críticos de la organización, los empleados, los equipos… y para determinar el nivel de seguridad que es necesario conseguir en función de las características de la empresa o del sector de negocio.
Existe otro tipo de seguridad imprescindible para proteger a empresas y despachos: la legal, mediante el cumplimiento de normas como la Ley Orgánica de Protección de Datos, Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico o la Ley de Propiedad Intelectual. Es necesario garantizar el cumplimiento de todas las normativas y leyes que afecten a los sistemas de información para evitar exponernos a posibles sanciones económicas, pérdida de clientes o daño reputacional.
2. Control de acceso
Al igual que en el mundo físico, en el mundo digital es necesario controlar el acceso a los recursos de información de la empresa y la primera forma de protegerlos es identificando quién puede acceder a dónde y para hacer qué. Las empresas se han adaptado a las últimas tecnologías para sus procesos y actividades, pero los sistemas son ahora más complejos y con servicios dispersos en equipos, aplicaciones y estándares. Además, el acceso ya no es sólo local e interno pues gran parte de los servicios empresariales se ofrecen a través de internet o de forma remota tanto a empleados como a clientes y usuarios externos. Estos avances dan lugar a un control de accesos más complejo.
3. Copias de seguridad
Es necesario garantizar la disponibilidad, integridad y confidencialidad de toda la información de la empresa, tanto en soporte digital como en papel. Las copias de seguridad son la salvaguarda básica para proteger la información. Dependiendo del tamaño y necesidades de la empresa, los soportes, la frecuencia y los procedimientos para realizar las copias de seguridad existen distintas opciones para activar este elemento clave de la ciberseguridad. El soporte escogido dependerá del sistema de copia seleccionado, de la fiabilidad que sea necesaria y de la inversión que se desee realizar.
4. Continuidad en caso de incidente
Empresas y bufetes deben estar preparadas para prevenir, protegerse y reaccionar ante incidentes de seguridad que pudiera afectarles en sus negocios. Es necesario proteger los principales procesos de negocio a través de un conjunto de tareas que permitan a la organización recuperarse tras un incidente grave en un plazo de tiempo que no comprometa su continuidad.
Esta respuesta planificada repercutirá positivamente en la imagen y reputación de la empresa además de aminorar el impacto financiero y de pérdida de información crítica ante estos incidentes.
5. Protección antimalware
Los delincuentes para conseguir sus objetivos suelen utilizar software especialmente diseñado para dañar o infiltrarse en los sistemas sin el consentimiento del usuario: el malware. La seguridad antimalware debe aplicarse a la totalidad de los equipos y dispositivos corporativos, incluidos los terminales móviles y los medios de almacenamiento externo como USB, discos duros portátiles, etc., y deben contar con las medidas necesarias para prevenir, detectar y contener cualquier tipo de amenaza a la que se vea expuesta nuestra organización.
6. Actualización continua
Para mantener un nivel adecuado de la ciberseguridad de los sistemas de información es imprescindible realizar una adecuada planificación de la seguridad de las aplicaciones que manejan la información. Es fundamental mantener constantemente actualizado y parcheado todo el software, tanto de los equipos como de los dispositivos móviles.
7. Red segura
Cualquier descuido al utilizar la web, correo electrónico o almacenamiento online, puede ser la puerta de entrada a un posible ataque que dañe la información y los sistemas informáticos. El nivel de seguridad de la red corporativa es clave para mantener unos parámetros aceptables de ciberseguridad.
8. Información global y en tránsito
Cada vez más se utilizan dispositivos móviles, de uso corporativo o personal, para acceder y compartir la información de trabajo desde cualquier lugar. Es necesario garantizar la seguridad en movilidad de estos dispositivos y de las redes de comunicación utilizadas para acceder a la información corporativa.
9. Gestión de soportes de almacenamiento
Es importante contar con medios y técnicas que permitan almacenar la información de la manera más adecuada. Una correcta gestión de este proceso permite mantener en todo momento la integridad, confidencialidad y disponibilidad de la información.
10. Registro de actividad
La monitorización es una herramienta imprescindible para detectar posibles problemas o deficiencias de los sistemas de información. Permite evaluar los parámetros de calidad establecidos en los distintos servicios, su grado de disponibilidad y rendimiento, así como el espacio de almacenamiento.
Conocer todos estos aspectos necesarios para establecer un plan de ciberseguridad es fundamental para los profesionales jurídicos que vean en el asesoramiento legal una salida laboral dentro del ámbito del Derecho Digital. Es fundamental una formación legal para asesorar en la potencialidad vital de las tecnologías emergentes.
