5 consejos de ciberseguridad para tu estudio

 
Silvia Barrera, criminóloga e inspectora de Policía Nacional de España, es experta en ciberseguridad y cibercrimen. Hace unos días estuvo junto a Lidia Zommer, socia directora de Mirada 360°, una oficina española especializada en marketing para abogados. Allí, hicieron un webinar para hablar sobre la ciberseguridad en los despachos de abogados.
 
Los estudios de abogados son atractivos para la ciberdelicuencia. No se sabe el número concreto de despachos vulnerados, porque el no denunciar es común, ya que esto afecta directamente a la reputación de la oficina. Pero., sí existen indicios confiables de que esto es una tendencia y que crece cada día, dice Zommer en la introducción de la charla.
 
Los intereses de la ciberdelicuencia pueden ser perjudicar a alguien de la competencia, publicar información confidencial, e incluso llegar a la extorsión. “El daño es directo a nuestros clientes, nuestro conocimiento y nuestra reputación”, comenta la socia directora.
 
Antes de evitar que aquello suceda en cualquier oficina de abogados, lo primero que hay que saber según Silvia Barrera es:
 
Riesgos específicos en el sector. Los ciber delincuentes buscan la información que más nos puede compremeter como despachos de abogados: información confidencial de los asuntos que llevamos, datos bancarios, y de nuestros clientes. Cuanto más comprometidos los datos, más valor tienen. Lo que hay que tener claro es que siempre va a haber un intrerés empresarial para obtener un fin económico.
 
¿Dónde radica la vulnerabilidad? No existe la seguridad perfecta. Siempre hay resquicios técnicos, actualizaciones y herramientas que se pueden implementar, para asegurar mejor los sistemas computacionales. Pero el componente humano es el principal factor vulnerable de la ciberseguridad, es la vía de entrada de los ciberdelincuentes a los despachos. No es necesario que sea la persona que sepa de informática la vulnerable, como el administrador de sistemas, sino que cualquier empleado, directivo, tesorero o persona que tenga acceso a la gestión de los casos, los clientes, los contactos claves dentro, pueden ser objetivo.
 
¿Cómo los despachos deben evitar esta fuga de información? Se puede evitar. Lo primero, como el factor humano es el más vulnerable, tanto como los que están dentro y los que van a pasar a formar parte de un despacho, es formar a las personas y hacerlas sentir parte que el principal factor de seguridad comienza en ellos mismos. Su propio comportamiento, no solo si mandamos un mensaje o no. Su higiene de seguridad que tienen que tener a la hora de manejar esa información, sobre todo unas pautas que no se tienen que dejar de cumplir.
 
¿A quién debemos recurrir en caso de ser víctimas? A personas expertas en squad informático que haga un protocolo de comportamiento. Pero quiero dejar claro que ni la policía, ni cualquier perito informático te va a dar la solución a un problema a una fuga de información. Solo sirve para saber, si es que se puede saber, quién es el autor de esa intromisión. En ningún caso, ninguna institución te va a proteger de fallos de información.
 
¿Qué hacer? En el momento en que se produce un delito hay que denunciarlo. Otra cosa es que las empresas por no dañar su reputación, no lo hagan. Pero se debe comunicar, por lo menos dentro de la empresa, para saber si hay más víctimas.

Pero quiero dejar claro que ni la policía, ni cualquier perito informático te va a dar la solución al problema de una fuga de información. Sólo sirve para saber, si es que se puede saber, quién es el autor de esa intromisión. En ningún caso, ninguna institución te va a proteger de fallos de información.

Políticas internas de gestión documental

Para proteger la información que tenemos almacenadas en nuestros equipos, la experta en ciberseguridad y cibercrimen, da los siguientes 5 consejos:
 
1. Servidor Privado.
Sé que hay otras alternativas y no estoy hablando desde el punto de vista comercial, pero es esencial tener un servidor privado dedicado. Es decir, un servidor donde nosotros alojemos la información preferente y, que ojalá sea uno nacional, no uno que esté en el extranjero. Primero, por tener cierta confianza de quién está tratando los datos; saber si es alguien que tiene una oficina o que trabaja desde el garage de su casa, es importante. Segundo, que sea un servidor que usemos solo nosotros, aunque no sea una gran cantidad de información; si lo estamos compartiendo con otras empresas, puede que nosotros no seamos el objetivo, pero sí una de las empresas con quien compartimos el servidor; por lo que, alguien puede entrar a llevarse la información de alguien más y de paso llevarse la nuestra.
 
2. Protocolo de emergencia rápido.
No quiero decir que se debe de tener un manual de 300 hojas. Pero sí, una persona que sea responsable de recopilar la información y que tenga claro qué es lo que hay que hacer en caso de que ocurra un cibercrimen. Si yo soy un empleado de la firma, y alguien me manda un mail con intento de estafa, me asusto y lo borro, sin saber que las evidencias o cualquier rastro o vestigio de un delito, se debe conservar. Esta persona encargada debe ser la interlocutora entre el perito forense o la policía para saber qué datos hay que emplear. Y debe estar atenta de que se debe de denunciar cuando alguien se hace pasar por una entidad financiera, si nos quieren vender un proyecto, si nos envían un documento infectado, o si alguien quiere que hagamos una transferencia de dinero, porque la oficina quiere abrir una nueva línea de negocio, algo secreto para todos, por lo que tenemos que hablar solamente con el jefe. Estos son fraudes muy elaborados, que buscan a la persona correcta, que ya conocen bien y con quien han estado hablando.
 
3. Tener dos redes diferenciadas.
Esto quiere decir, que tenemos una red interna nuestra, para pasarnos la información entre los ordenadores corporativos de la oficina y otra con el mundo exterior. La primera, es una red donde tengo la información de mis clientes, porque es confidencial. Desde esa red no saldré al exterior, como conectarme a Facebook, o Gmail, o a ningún servicio que me pueda mandar algún virus, ya que puede comprometer la seguridad. Y de esa red aislada del wifi, no va a entrar ni salir ningún tipo de dato. Si se necesita mandar un mail que sea desde el correo corporativo, debidamente encriptado y con claves. Esto es lo que llamo higiene de seguridad, ya que no sirve de nada tener todo encriptado, si se abre Gmail desde ese computador. En la red externa, no voy a meter ningún dato, ni voy a abrir ningún correo que no venga del correo corporativo, y tengo mi sistema asegurado para que detecte amenazas. Si no hay contacto con el exterior esta información nunca va a salir de ahí. Hay que ser muy estrictos en este tipo de comportamiento.
 
4. Copia de seguridad.
Tiene que estar almacenado en un dispositivo seguro, ojalá un disco duro conectado en línea a la red, para así programarlo y se vayan haciendo copias de seguridad periodicamente de forma automática. Esta copia es solo para información confidencial, no de cualquier ordenador que usemos en la empresa.
 
5. No llevar información confidencial en el celular.
Se puede tener un usb cifrado para que de ninguna manera alguien se lleve la información confidencial en el celular para seguir trabajando en la casa. Porque en el celular estamos expuestos a amenazas externas que se mueven constantemente. Otra alternativa sería tener dos celulares, uno personal, porque podemos bajar aplicaciones que son maliciosas a las que les estamos dando toda nuestra información confidencial, o podemos conectarnos a redes de WiFi públicas. Y otro para el trabajo, con información solamente de nuestros clientes y con aplicaciones corporativas y seguras. Pero cuidado con perder el celular corporativo.
 
Como conclusión hay que decir que manteniendo la información aislada se pueden evitar muchos problemas. Por último hay que decir que lo que se gasta en el item de informática no es tan grande y siempre va en proporción a lo que nosotros queramos, nuestros datos y nuestra información confidencial. Y no hay que pensarlo como un gasto, sino que es una inversión. El hecho de que nuestra información esté segura y esté controlada por nosotros todo el tiempo.