¿Cómo prevenir ciberataques en los despachos de abogados? Esto dicen los expertos

La ciberseguridad ocupa una posición cada vez más destacada en el seno de las compañías y organizaciones. Actualmente, el coste medio por ciberincidente en las grandes empresas se aproxima a los 4 millones de euros, mientras que en las pequeñas y medianas sociedades se estima en unos 75.000 euros.

Pese a la disparidad de estas cifras, la mayoría de ciberincidentes tienen un elemento común: el factor humano. Y es que más del 90% de los incidentes detectados involucran al propio personal interno de las organizaciones. Estos casos han crecido más de un 300% solo en el último año, y el sector legal no es, ni mucho menos, ajeno a esta tendencia.

Esta es una de las premisas que se han abordado en ‘Cómo prevenir ciberataques en el sector legal’, una sesión formativa virtual organizada por Grupo Paradell, consultora especializada en la lucha contra el riesgo digital.

Portada del artículo titulado «Papeles de Pandora: ¿puede verse afectada la reputación de la abogacía?» publicado el 14/10/2021. (Diseño: Miguel Galán y Álvaro Navarro/Economist & Jurist)

El evento, que ha centrado parte de su interés en analizar cómo una adecuada concienciación del capital humano de una compañía en materia de ciberseguridad podría evitar un elevado número de ciberincidentes, ha contado con la intervención de Fernando Dombriz, Director de Desarrollo de Negocio en Grupo Paradell, y David Sánchez, Chief Sales Officer en Kymatio.

Dombriz comenzó su intervención destacando la alta responsabilidad que asumen los profesionales de la abogacía, habituados a manejar intangibles de gran valor, principalmente información confidencial y datos de clientes que deben ser tratados con especial precaución. Y lo hizo aludiendo a los recientemente publicados Papeles de Pandora, una filtración de más de 12 millones de documentos secretos que ha afectado a 14 despachos de abogados.

“Creo que todos somos conscientes de que la ciberseguridad debe ser un elemento indispensable en la estrategia de los despachos de abogados. Las medidas de prevención y reacción son factores vitales para evitar o minimizar las filtraciones de información y el daño reputacional para la firma”, señala el experto.

Durante la intervención, los expertos pusieron de manifiesto que la implantación de medidas tecnológicas de ciberseguridad son muy importantes pero, sobre todo, “no podemos descuidar la implementación de medidas organizativas que ayuden a la sensibilización, formación y concienciación de todas las personas que forman parte del despacho”. “El factor humano es el eslabón más débil de la cadena en lo concerniente a temas de ciberseguridad, por lo que es básico el fortalecimiento constante del mismo”, apunta el profesional de Grupo Paradell.

Tres primeros pasos

Los especialistas también hicieron referencia a las tres cuestiones clave que, a su parecer, todos los despachos y organizaciones deberían contemplar para hacer frente al ciberriesgo humano y lograr concienciar y preparar a la firma para responder con garantías ante este tipo de incidentes:

1. ¿Qué tipo de riesgos quiero prevenir?
2. ¿Cómo puedo preparar al equipo humano de forma eficiente?
3. ¿Cómo obtener la información necesaria para medir la evolución de la organización?

Sánchez, por su parte, destacó que “cuando un despacho sufre un ciberataque, los ciberdelincuentes buscan obtener un beneficio económico, pero a la firma le puede ocasionar graves daños reputacionales o legales”. Solicitar rescate por desbloquear equipos o servidores, vender tarjetas o datos bancarios a terceros o llevar a cabo una suplantación de identidad para obtener dinero mediante transferencias, son algunos de los delitos más comunes a los que se enfrentan.

Tras repasar algunos de los ciberataques más mediáticos que han tenido como protagonistas a firmas como Mossack Fonseca, Appleby o DLA Piper, entre otras, recordaron cómo “el creciente número de ciberataques ha puesto de manifiesto la urgente necesidad de implementar itinerarios formativos dirigidos a incrementar el nivel de seguridad de cualquier empresa”. El cumplimiento del Reglamento General de Protección de Datos para la protección de datos personales forma parte de esta vía de titulización que concierne a los procesos y a las personas, incluso antes que a las tecnologías.

En conclusión, el uso de programas de concienciación y evaluación pone de relieve los problemas de privacidad y protección de datos, y el uso responsable de Internet, malware, passwords, workplace, como puntos cruciales para reducir el riesgo de convertirse en víctima de ataques y violaciones que podrían implicar la sustracción de datos personales.