Los despachos legales no son inmunes ante los hackers

Los despachos legales no son inmunes ante los hackers

Las recientes revelaciones de los Panama Papers y la masiva filtración de datos del despacho Mossack-Fonseca nos recuerdan que el hackeo en los despachos legales no es una novedad. ¿Cómo debe una firma de abogados detectar que se han filtrado datos? 

 

La mayoría de los despachos no cuenta con equipos de seguridad o privacidad de datos, e incluso asesoran a clientes en cuanto a las mejores prácticas de seguridad cibernética desde una perspectiva legal.

Ya en la práctica, las firmas de abogados no son diferentes de otros proveedores externos, con una salvedad de máxima importancia: sí manejan la información más valiosa de muchas empresas que mueve mercados. A estos despachos les aplica un juego estándar de herramientas de negocio de due diligence, como a cualquier proveedor; sin embargo, estaría bien justificado indagar a fondo —con preguntas realmente difíciles— en torno de la seguridad de datos.

Como una empresa responsable ante todo tipo de interlocutores, accionistas y empleados, es importante tener una lista de preguntas, no solamente desde la perspectiva de negocios, sino también técnica, y consultarlas con su equipo de abogados. A continuación detallamos unas áreas de seguridad de due diligence en particular, que vale la pena revisar con su despacho:

- ¿Qué tipo de protección utilizan en la colaboración e intercambio de documentos, por ejemplo en el caso de manejo de derechos? (Las firmas de abogados comparten enormes cantidades de documentos, no sólo internamente, sino también con clientes.)

- ¿Qué resultados obtuvieron en pruebas de penetración internas y externas?

- ¿Qué tan a menudo las realizan? ¿Cuándo fue la última?

- ¿Cómo monitorean redes y sistemas? ¿Tienen monitoreo de 24/7?

- ¿Cuenta el despacho con capacidad forense o mantiene algún contrato con un proveedor que ofrezca servicios ante incidentes, con buenos tiempos de respuesta y acuerdos por servicios prestados?

- ¿Ha participado el despacho en evaluaciones por amenazas de filtración de datos o para auditar el sistema existente y detectar indicadores de puntos vulnerables? ¿Con qué frecuencia realizan estas evaluaciones?

- En lo que respecta a marcos de la industria o marcos normativos, ¿cuáles siguen? ¿Tienen alguna certificación, como ISO o SSAE16? ¿Cuál fue el camino operativo y técnico de ejecución?

El nuevo ecosistema cibernético supone que todo sistema puede ser vulnerado: todo se puede hackear. Los mejores equipos empresariales logran detectar rápidamente a un atacante para eliminar el riesgo o la situación de amenaza. Esto exige contar con capital humano caro y productos que siempre se utilizan en estas operaciones de emergencia. Esta combinación de talento e ingeniería inteligente es lo que sirve para combatir exitosamente al crimen cibernético.

Los sistemas digitales se deben investigar constantemente por las intrusiones que reciben por parte de adversarios. AlienSpy es un gran ejemplo de este tipo de mala actuación. Como fui parte de muchas investigaciones forenses, soy testigo de que todas las organizaciones podrían estar mejor preparadas.

La práctica comercial habitual es realizar una prueba mediante la cual se determina si hay intrusos en la red. A estas pruebas generalmente se les conoce como evaluación de amenazas. Es importante llevar a cabo, al menos trimestralmente, una revisión técnica de los sistemas y programar sesiones de formación para educar a empleados y a profesionales de las tecnologías de la información. Próximamente abordaremos una lista de puntos “cibernéticos” que deben examinar los despachos de abogados. ¡Estén pendientes!

Notas

* Colaborador externo de Intralinks, y fundador y director de LIFARS LLC, firma de seguridad cibernética internacional y de ciencia forense digital.

5559-2250 / 5575-6321 / 5575-4935 - Aviso de Privacidad - Términos y Condiciones

El Mundo del Abogado