Este sitio utiliza cookies para ofrecerle un servicio más ágil y personalizado. Al utilizar este sitio, acepta el uso que hacemos de las cookies. Puede obtener más información sobre el uso que hacemos de las cookies y tecnologías similares y sobre sus opciones consultando nuestra Política de privacidad. Al hacer clic en "Acepto", acepta nuestro uso de cookies y tecnologías similares.
¿Están los bufetes de abogados en el punto de mira de los ciberdelincuentes?
Desde los Papeles de Panamá hasta la reciente inculpación de tres ciudadanos chinos por uso de información privilegiada a partir de datos robados sobre fusiones y adquisiciones, los bufetes de abogados se han convertido en objetivo de robos de información. En muchos casos, el bufete atacado representa a clientes que han realizado importantes inversiones en su propia ciberseguridad, y los adversarios reconocen que las redes de sus abogados suelen ser un objetivo mucho más fácil. Además de los ciberataques que aparecen en los titulares de las noticias, cada vez se producen más violaciones que no se hacen públicas.
Cada vez son más los bufetes de abogados que se protegen a sí mismos como lo harían con sus clientes.
Los bufetes de abogados son gestores de datos como cualquier otra empresa. Tienen datos sobre sus propios empleados, sus clientes y las actividades comerciales de sus clientes. Todos esos datos se encuentran en una red digital para la que las herramientas necesarias para la práctica -teléfonos inteligentes, inicio de sesión remoto, dispositivos portátiles, etc.- crean inevitablemente riesgos. - crean inevitablemente riesgos. Además, los despachos de abogados que prestan servicios a clientes en entornos regulados, como entidades financieras y proveedores de asistencia sanitaria, se encuentran inevitablemente sujetos al mismo régimen regulador que sus clientes.
Por ejemplo, el Departamento de Servicios Financieros del Estado de Nueva York ha publicado una normativa de ciberseguridad para entidades reguladas y proveedores terceros(23 NYCRR 500). Las entidades reguladas deben garantizar, antes de marzo de 2019, que todos los proveedores externos que posean datos confidenciales de una entidad regulada cumplan determinadas disposiciones de la normativa. Además, la normativa HIPAA exige igualmente que todos los socios comerciales de las entidades reguladas cumplan sus disposiciones sobre privacidad y seguridad. Ninguna de las dos normativas establece una excepción para los bufetes de abogados en cuanto a su consideración como proveedores o asociados comerciales.
Y la presión sigue aumentando. El 29 de marzo, la Association of Corporate Counsel publicó su Modelo de Protección de la Información y Controles de Seguridad para Abogados Externos que Posean Información Confidencial de la Empresa ("el Modelo"), describiéndolo como "un punto de referencia para las prácticas de ciberseguridad de los bufetes de abogados". Calificar las directrices de exigentes sería quedarse corto. Comenzando con una definición de "información confidencial de la empresa" que incluye una amplia gama de datos e información del cliente, el Modelo aborda la retención de datos, el manejo y disposición de datos, el cifrado, las violaciones de datos, la seguridad física, los controles de acceso, la supervisión y seguridad de la red, las evaluaciones de riesgos, el derecho del cliente a revisar las prácticas de seguridad de datos del bufete de abogados, la verificación de antecedentes del personal del bufete que entra en contacto con los datos del cliente, el seguro cibernético y la incorporación del Modelo en cualquier contrato con proveedores que presten servicios relacionados con los datos del cliente. Se trata claramente de un toque de atención para que todos los bufetes de abogados se tomen en serio sus prácticas de ciberseguridad.
Por supuesto, la llamada de atención sobre ciberseguridad para los bufetes de abogados lleva sonando algún tiempo. Una reciente acusación puso al descubierto el plan de unos ciudadanos extranjeros que penetraron en los sistemas informáticos de varios bufetes de abogados para robar información privilegiada con la que orientar sus inversiones. Según la acusación, los acusados pasaron meses dentro de las redes de los bufetes robando información. La revelación masiva de información confidencial de clientes, conocida comúnmente como los Papeles de Panamá, subraya cómo ha evolucionado en la era de Internet la obligación ética de los bufetes de proteger la confidencialidad de los clientes.
Además, a un nivel muy práctico, más allá de cuestiones de confidencialidad y titulares embarazosos, los esfuerzos por imponer la ciberseguridad a los bufetes de abogados se están convirtiendo en umbrales para poder hacer negocios. La abogacía es un sector competitivo. La capacidad de un bufete para comercializar y demostrar su cumplimiento de los principios de ciberseguridad puede proporcionarle una clara ventaja competitiva sobre otros bufetes que puedan ofrecer servicios jurídicos idénticos. El incumplimiento de la normativa puede dejar a un bufete tan obsoleto como si siguiera utilizando cintas de máquina de escribir y corrector.
Juan Torres
Presidente, Consultoría de Seguridad y Tecnología
John P. Torres es el presidente de la práctica de Consultoría de Seguridad y Tecnología de Guidepost Solutions. John tiene una amplia experiencia en investigación y seguridad. Anteriormente, se desempeñó como Agente Especial a Cargo de Investigaciones de Seguridad Nacional en Washington, D.C. y Virginia. Su experiencia incluye más de 27 años de experiencia en la gestión de investigaciones y seguridad para los Departamentos de Seguridad Nacional y Justicia de los Estados Unidos, incluido el cargo de Director Interino y Director Adjunto del Servicio de Inmigración y Control de Aduanas de los Estados Unidos.
InvestigaciónLíneas directas