La Ciberseguridad en los Despachos de Abogados. Parte 3

Despachos de Abogados. La Ciberseguridad. (Parte 3)

Origen de las Amenazas

Señalábamos en el artículo anterior: La Ciberseguridad en los Despachos de Abogados. Parte 2., que el origen de las amenazas podía ser tanto Interno como Externo.

  • Origen Interno

Aquí incluiríamos las Fugas de Información producidas por los propios empleados del despacho de abogados, ya sea de manera inconsciente: Por error o desconocimiento, o bien de forma Dolosa.

Por lo que aquellas veces que la fuga se produce de forma voluntaria, facilitando el acceso a datos o revelando información a terceros sin autorización, se les denomina: “insider”.

  • Origen Externo

Es cuando la fuga viene desde fuera del despacho y que tienen por objeto acceder de forma ilícita a “información confidencial”.

Por lo tanto, los distintos tipos serían:

1.- Hackitismo. Producido por terceras personas que quieren mostrar su desacuerdo con la actividad que desarrolla el despacho o los clientes a los que defiende.

2.- Venganza de Clientes descontentos

3.- Venganza de antiguos empleados

4.- Robo de Información Confidencial. Aquí se contempla el acceso no consentido a información privilegiada del cliente para buscar, entre otras razones, una ventaja competitiva e incluso la obtención de un beneficio económico.

5.- Ataque de terceros. Que simplemente buscan dañar la imagen del despacho de abogados.

6.- Competencia Desleal

Causas y cómo prevenirlas

Además, cuando se produce una Fuga de Información de cualquier despacho de abogados, normalmente es debido a la inexistencia de algún tipo de medida o procedimiento de seguridad.

Por lo tanto, esta carencia de control sobre la información, hace que aumente de manera importante la probabilidad de que se produzca un incidente de seguridad.

Las causas principales se pueden clasificar en dos grupos:

1.- Causas Organizativas

Uno de los principales errores que se suele cometer durante la protección de la información es la falta de clasificación de la misma.

Dicha clasificación se puede realizar en base al nivel de confidencialidad.

También puede clasificarse por el impacto que puede generar la filtración, nivel de sensibilidad, si se trata de información personal o no, delimitación del alcance de la información (Quién puede conocer la información y qué tipo de acciones puede realizar con ella).

Si no conocemos el valor de la información, no será posible diseñar ni implementar medidas de protección adecuadas.

Otro de los errores viene determinado por la falta de conocimiento o formación, facilitando la producción de errores por parte de los integrantes del despacho.

Estos deben de actuar de una manera responsable y diligente (utilizando los servicios de la nube, dispositivos móviles, correos electrónicos, redes sociales o la simple navegación por internet).

El despacho debe de proporcionar ciertos conocimientos a sus empleados sobre Ciberseguridad, siendo una responsabilidad de la propia organización.

Otra de las causas organizativas sería la falta de procedimientos de seguridad dentro de la organización. Establecer las pautas y obligaciones para los trabajadores en el ámbito de la Ciberseguridad (en actividades de especial importancia o riesgo).

Por último señalamos también la inexistencia de acuerdos de confidencialidad con la plantilla.

De esta manera el empleado debe de aceptar por escrito las políticas y condiciones de privacidad y seguridad que deben de aplicarse en el despacho de abogados.

2.- Causas Técnicas

Como causas técnicas señalamos las siguientes:

2.1.- Código Malicioso o Malware (P.ej. Troyanos). Aquí lo que se persigue es el robo de información y muchas veces es difícil poder localizarlos.

2.2.- Acceso no autorizado a sistemas e infraestructuras. Por ello la importancia de realizar las correspondientes actualizaciones en tiempo y forma.

2.3.- Generalización del uso de servicios en la nube para el almacenamiento de todo tipo de información.
De todas maneras el hecho de que la información se encuentre en la nube no significa que dicha información esté perfectamente segura. Todo dependerá de la robustez en las contraseñas de los propios usuarios y de su formación en Ciberseguridad.

2.4.- Uso de tecnologías móviles para el trabajo diario.
Por lo que si dicha información almacenada en los dispositivos es crítica, deberán intensificarse las políticas y medidas de seguridad-
De Legalis Consultores sobre artículo referido al tema dentro de su web: Agencia de Protección de Datos.

Despachos de Abogados. Ciberseguridad.
Despachos de Abogados. Ciberseguridad.

Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Síguenos también por FACEBOOKwww.facebook.com/legalisconsultores.es

y en TWITTER@LegalisConsult

Gracias y…Te esperamos.

La Ciberseguridad en los Despachos de Abogados. Parte 1

La Información en los Despachos de Abogados

 Vamos a tratar en los próximos 6 artículos que iremos publicando a partir de hoy y durante todas las semanas, la importancia que tienen para los despachos de abogados, los “bienes intangibles”.

Sobre todo en lo que respecta a la INFORMACIÓN de los DESPACHOS DE ABOGADOS.

Dichos bienes deben ser debidamente protegidos de una manera fundamental.

Información. Bienes Intangibles

La INFORMACIÓN de los Despachos de Abogados, en caso de pérdida, sustracción o acceso no consentido por parte de terceros, puede ser empleada con fines no deseados: extorsión, desprestigio…e incluso para comercializar con ella.

Por tanto, la Fuga de Información en los Despachos de Abogados, es una de las mayores amenazas a las que nos enfrentamos hoy en día.

Sobre todo porque la profesión de abogados se fundamenta en la Confianza que los clientes depositan en estos profesionales.

Estamos obligados a adoptar una serie de medidas que salvaguarden de la responsabilidad legal y deontológica a la que estamos sujetos como profesionales.

La Ciberseguridad

Por ello la Ciberseguridad debe ser un elemento indispensable en la estrategia de nuestro despacho. La protección frente a las amenazas: virus, daños informáticos, ataque a páginas web, fraude, robo de identidad online, destrucción de información… nos debe llevar a reaccionar con medidas de prevención para poder evitar o minimizar las filtraciones de información y la posible pérdida de imagen de nuestro despacho.

Cualquier incidencia de este tipo en nuestra organización, necesariamente va a afectar a terceras personas: clientes, proveedores u otros compañeros de profesión.

Tampoco deberemos de olvidar las posibles medidas que ayudan a la sensibilización, formación, concienciación y educación de todos los miembros de la organización.
Precisamente porque la mayoría de los datos son tratados por “personas”, es por ello que cada vez se producen ataques basados en la “ingeniería social” (p.ej. Suplantación de identidad del socio del despacho debido a la información que consta de él en las redes sociales), cuyo objetivo va a ser el engañar al personal de la organización o provocar errores en la gestión interna al objeto de que el Ciberataque tenga éxito.

En cuanto a la Ciberseguridad se dice que “el usuario es el eslabón más débil de la cadena”.

En el próximo artículo (parte 2), profundizaremos más sobre el aspecto real de la fuga de información dentro de los despachos de abogados.

De Legalis Consultores sobre textos de la materia publicados por la Agencia Española de Protección de Datos (AEPD) en su página oficial. Agencia de Protección de Datos.

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es
Síguenos también por 
FACEBOOKwww.facebook.com/legalisconsultores.es
y en 
TWITTER@LegalisConsult
Gracias y…Te esperamos.

Las Empresas y la Protección de Datos.(VI). Los Afectados (1ª parte).

Las Empresas y la Protección de Datos. Los Afectados (I).

Apuntes Jurídicos.

Los «afectados» o «interesados» son las personas físicas titulares de los datos personales que vayan a ser objeto de tratamiento.

Es decir, las personas que forman parte de un fichero de datos o cuyos datos personales se vayan a someter a tratamiento.

“Tratamiento” son las operaciones y procedimientos técnicos, automatizados o no, que permiten la recogida, grabación, conservación, elaboración, bloqueo y cancelación, así como la cesión de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

En las Empresas serían pues:

Los clientes, Proveedores, candidatos que aspiran a un puesto de trabajo en la entidad, Empleados, Colaboradores…

Debemos tener en cuenta que el Responsable de Ficheros es el titular de los ficheros, fue quien los creó, por ello deberá informar a los “afectados” y les debe de comunicar la finalidad del tratamiento, usos, destinatarios de los datos y la posibilidad de ejercer los derechos de acceso, rectificación, cancelación u oposición (Derechos A.R.C.O.).

Es por ello que los “afectados” tienen una serie de mecanismos legales en defensa de sus derechos.
El personal o “afectado” no responderá en el procedimiento administrativo de la Agencia Española de Protección de Datos de posibles “infracciones”.

Otra cosa es que por la vía Civil o Penal es donde la empresa podría pedir todo tipo de responsabilidades.

El Personal que somete datos a tratamiento debe:

  • Guardar el “Deber de Secreto” (art. 10 de la LOPD).
  • Guardar el “Secreto Profesional”, aún después de finalizar la relación laboral con el Responsable de Ficheros. Independientemente del nivel de seguridad.

Cuando se trata datos personales por terceros ajenos a la empresa (por ejemplo Una Asesoría Fiscal…),
se debe de celebrar un contrato que se guardará en el “documento de seguridad”.

Los empleados forman parte de un fichero: De Personal de la Empresa, De Recursos Humanos (RR.HH) es el Responsable de Ficheros quien le pone el nombre de su registro.

En ese momento el personal debe de ser informado de que sus datos quedan archivados en dicho fichero.

Los que tratan datos personales o información reservada deberán firmar un contrato o “compromiso de confidencialidad” que está relacionado con el deber de secreto.

El Código Penal reconoce como delito conductas que se refieren a la protección de datos y al apoderamiento de bases de datos personales, utilizarlas o modificarlas, sin estar autorizados o en beneficio de otros.

(art.197 y siguientes del Código Penal) .

En el próximo artículo trataremos también el tema de los Afectados: Las empresas y la Protección de Datos (2ª parte).
De Legalis Consultores (sobre apuntes de la AEPD).

 

Logotipo Legalis Consultores

Legalis Consultores.

Si te ha gustado el artículo, nos gustaría lo puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

También, puedes seguirnos por FACEBOOK: www.facebook.com/legalisconsultores.es

Además, estamos presentes en TWITTER: @LegalisConsult

Gracias y…Te esperamos.

4ª Parte. Las Empresas y La Protección de Datos. Infracciones de algunos Empleados.

Las Empresas y La Protección de Datos. Infracciones de algunos Empleados.

Apuntes Jurídicos.

Hoy vamos a tratar de describir las principales “Infracciones” (más habituales) que suelen cometerse en las empresas por algún trabajador (Empleados).

Es decir, de los comportamientos abusivos e ilegales del personal:

Infracciones.

  • Creación de una empresa paralela. Se crea una empresa paralela con los activos de la empresa actual. El trabajador funda una nueva empresa aprovechando los recursos de la empresa donde trabaja. Esta conducta suele hacerse aliándose con otros trabajadores y lo hacen antes de darse de baja de la anterior. Al margen de poderse considerar como “Competencia Desleal”, la revelación de secretos ajenos que un trabajador conozca por su relación laboral es además, un “Delito Penal”.
  • Revelar datos Personales y otras informaciones de carácter Confidencial. Estas conductas suelen producirse en los puestos de trabajo y con los recursos que tienen los trabajadores para el desarrollo de su actividad. Aquí se trata de “Revelar” datos a terceros de datos personales del personal de la empresa, proveedores y clientes. La Cesión de Datos a terceros, sin el consentimiento de los afectados, además de no estar autorizado por la empresa va en contra de la Ley de Protección de Datos. A veces se producen accesos no autorizados a datos importantes por parte de personal con amplios conocimientos informáticos. También en estos casos estamos ante un Delito Penal.

Además…

  • Uso Abusivo de Internet. El uso de internet, cuando es abusivo, incluyendo el uso desmedido de correos electrónicos, aunque sea dentro de la red corporativa de la empresa, es el mayor perjuicio que se puede causar a los sistemas y recursos de las empresas. Aquí se pueden vulnerar conocimientos empresariales, revelar datos confidenciales.
  • Producir Daños Informáticos en los Sistemas de la Empresa. Se suele dar con trabajadores que están descontentos con su situación laboral o que han sido despedidos o no se les ha renovado su contrato. Aquí lo que se produce es que se altera, se destruye o inutiliza los recursos o datos de la empresa. Entraríamos aquí en un nuevo tipo de Delitos: “Delitos de Daños”, además de las responsabilidades administrativas que puede pedir la Agencia Española de Protección de Datos (A.E.P.D.).
  • Amenazas, Injurias y Calumnias a través de medios informáticos. Son delitos tipificados como tales por el Código Penal y de los que he tratado en otros post de forma individualizada.
  • Copia de Programas de Ordenador o de bases de datos, o de cualquier otro activo inmaterial de la empresa. Aquí se está infringiendo, cuando se transmiten a terceros, un Delito contra la Propiedad Intelectual, Derechos de Autor… pero también contra  delitos del código penal.
  • Intercambio de música, vídeos y Programas de Ordenador a través de la Red Corporativa de la empresa. Es también un delito tipificado en el código penal al margen de las responsabilidades que la empresa pueda tomar contra el trabajador.

En el próximo Post trataremos de la figura del “RESPONSABLE DE SEGURIDAD” (No del Responsable de Ficheros),
que toda empresa tiene que tener, así como de sus funciones.
De Legalis Consultores.

 

Logotipo Legalis Consultores

Legalis Consultores.

Si te ha gustado el artículo, nos gustaría lo puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Síguenos también por FACEBOOK: www.facebook.com/legalisconsultores.es

y en TWITTER: @LegalisConsult

Gracias y…Te esperamos.