Resumen

Una sólida estrategia de ciberseguridad puede ayudar a proteger su marca y la confianza de sus clientes en su bufete. Aquí es donde entran en juego las 3P -personas, procesos, políticas- y ayudan a elaborar un plan de acción que pueden seguir los despachos de abogados de todo el mundo.

1. Introducción

Llevamos tiempo hablando de la posibilidad de que todo el mundo sea objeto de ciberdelitos a pequeña o gran escala. Las amenazas cibernéticas son universales y están creciendo tanto en número como en intensidad. Los actores que están detrás de estas amenazas no sólo intentan entrar en la red de una organización, sino que también buscan embolsar sus datos y venderlos al mejor postor.

Hoy en día, como la mayoría de las empresas, los despachos de abogados operan en línea por múltiples razones: mayor exposición, facilitación de servicios y alcance, etc. En consecuencia, son objeto de ataques cada vez más frecuentes. Los despachos de abogados forman parte de toda una cadena de intercambio de datos, siendo el nodo de conexión entre clientes, autoridades, poder judicial, contables, etc. Esto lleva a la conclusión de que la información sensible se comunica entre las partes y está en manos de los despachos de abogados de todo el mundo como parte de su actividad normal. Los clientes confían a las firmas legales datos personales sensibles, como informes financieros, información sanitaria o secretos comerciales, lo que convierte a los bufetes en el objetivo perfecto para los ciberdelincuentes.

2. Peligros de un bufete de abogados no preparado ante las ciberamenazas

¿Por qué es tan importante para un despachos de abogados no sólo detectar y recuperarse ante un ciberataque, sino también prevenir en lo posible estas amenazas? La respuesta es bastante clara y viene en forma de otra pregunta que deberías hacerte: ¿Cómo me verán mis clientes si pierdo sus datos? La confianza de los clientes y el mantenimiento de un buen nombre es vital para cualquier organización, más aún cuando se trata de bufetes de abogados. Y es que la confianza, en este sector, no sólo es deseable, sino obligatoria. Piense, por ejemplo, en el privilegio abogado-cliente.

Implica que la confidencialidad de las comunicaciones entre abogados y clientes es sagrada, y suele estar regulada a nivel nacional. La razón de ser es que anima a los individuos a compartir abiertamente la información con sus abogados y a dejar que los abogados proporcionen una representación eficaz. Una filtración de datos en este sector conllevará inevitablemente daños a la reputación y, por lo general, multas de gran cuantía, por no mencionar la posibilidad de que, si su red se ve comprometida debido a un ransomware, todo su negocio podría quedar bloqueado durante semanas. 

Dicho todo esto, es obvio que hay que tomarse en serio la ciberseguridad, así lo pone de manifiesto un reciente estudio realizado por PwC en el que el 100% de las empresas afirma haber sufrido algún tipo de ciberataque.

3. Las 3P de la ciberseguridad

Ahora es el momento de pasar a hablar de las formas en que se pueden prevenir los peligros mencionados, responder de manera eficiente y, en última instancia, conducir a la resiliencia por parte de la empresa. Toda estrategia cibernética debe tener como objetivos la prevención, la detección y la recuperación cuando se trata de amenazas cibernéticas. Esto se debe simplemente a que, como se ha dicho antes, se quiere evitar ser objeto de un ciberataque, en primer lugar. Sin embargo, si las cosas maliciosas superan sus medidas preventivas, debe ser capaz de detectarlas rápidamente para mitigar los daños en la medida de lo posible y, por último, disponer de un sistema que pueda ayudarle a recuperarse del ataque.

Para conseguir estos tres objetivos, hay tres tipos de controles que hay que tener en cuenta a la hora de elaborar una estrategia de ciberseguridad. Suelen denominarse las "3P de la ciberseguridad": Personas, Procesos y Políticas. Estos tres temas forman un ecosistema y son igualmente importantes para el buen funcionamiento del plan interno de ciberseguridad de una empresa.

Están correlacionados y su desarrollo debe estar sincronizado, ya que un personal sin formación podría anular el uso de sofisticados procesos tecnológicos, por ejemplo. Voy a detallar más cada uno de ellos, dando algunas muestras de cómo pueden ser utilizados eficientemente.

3.1. Personas

Empecemos por los recursos humanos de una empresa. Los empleados suelen ser los eslabones más débiles de la seguridad de una organización, y ya se sabe el dicho: el eslabón más débil de la cadena define la fuerza de la misma.

Las personas comparten contraseñas, pueden hacer clic en enlaces comprometidos y abrir archivos adjuntos de correo electrónico no verificados y, por lo tanto, son susceptibles de ser engañados. Las acciones de un solo empleado son suficientes para comprometer la red de toda una empresa. Los hackers utilizan técnicas de ingeniería social para manipular a las personas con el fin de obtener el control de los sistemas.

Más concretamente, pueden utilizar la técnica del spear phishing, realizando ataques después de haber investigado sobre el objetivo. Se trata de ataques dirigidos a una persona/organización en particular con conocimientos internos recogidos de fuentes abiertas, como publicaciones de los empleados en las redes sociales, datos abiertos disponibles en Internet, etc. En este caso, los actores maliciosos buscan información confidencial, secretos comerciales y otra información sensible, lo que convierte a los bufetes de abogados en un objetivo claro.

La ingeniería social y el phishing representan entre el 70% y el 90% de las infracciones, lo que lleva a la conclusión de que, en contra de las ideas preconcebidas sobre ciberseguridad, no basta con tener una infraestructura técnica sólida. Hay que ser capaz de proteger a la empresa contra los errores humanos. Lo primero es lo primero, el personal tiene que ser educado digitalmente y estar dotado de habilidades de pensamiento crítico para poder detectar un correo electrónico falso o un enlace malicioso, por ejemplo.

Después de invertir en la formación del personal, cualquier empresa podría utilizar una herramienta para poner a prueba a los empleados y sus acciones cuando se enfrentan a un ataque de phishing. La simulación de phishing ético proporcionada por una empresa con experiencia puede ser una herramienta de este tipo y puede darle una idea de la capacidad de resistencia de usted y de su empresa cuando se enfrentan a técnicas de ingeniería social.

Estas simulaciones funcionan mediante la recopilación de datos de la empresa, la creación de una estrategia de ataque, el lanzamiento de la campaña, la recopilación de datos de los empleados que cayeron en la trampa de la simulación y, en última instancia, la creación de un programa educativo personalizado y una campaña de phishing periódica para poner a prueba la concienciación del personal. 

3.2. Procesos

La segunda "P" se refiere a todas las técnicas de software y hardware que se pueden implementar para limitar, en la medida de lo posible, el riesgo de ser objeto de un ataque. Se refiere a toda la cadena de sistemas tecnológicos que pueden utilizarse para la seguridad de la empresa y que son eficaces en la mayoría de las circunstancias, acabando con las amenazas incluso de forma automática, sin tener que recurrir manualmente a la acción humana. Algunos ejemplos podrían ser garantizar que la infraestructura de la red está bien construida o asegurarse de que el sitio web de la empresa es seguro.

Además, a través de la tecnología, algunos de los errores provocados por el ser humano mencionados en la sección anterior podrían solucionarse desde una perspectiva arquitectónica, dando acceso a los datos en función del puesto específico y el rol interno de un empleado.

Una herramienta útil es una prueba de penetración frecuente que puede permitir a las empresas descubrir sus vulnerabilidades y las formas de mitigarlas proactivamente. Aquí es donde entran en juego los expertos en pruebas de penetración. Es vital poner a prueba sus procesos para identificar posibles fugas, ya que una prueba de este tipo le ayuda a pensar como el enemigo, observando sus propias redes desde la perspectiva de un actor malicioso en busca de vulnerabilidades ocultas. Los hallazgos del equipo de penetración le informan sobre la eficiencia y eficacia de su programa de seguridad, ayudándole a mejorar su protección y a reducir los riesgos. 

3.3. Política

La última "P" se refiere a las políticas aplicadas por una empresa como forma de proporcionar un marco de conducta a los empleados, socios, consultores y otras partes interesadas similares. En este contexto, las políticas regulan el acceso en línea, el intercambio de datos, el uso de la red, etc., todo ello con el fin de garantizar la seguridad de la empresa. Un sistema de políticas bien elaborado funciona como un plan de acción que puede ser aplicado por cualquier persona o cosa y describe las funciones, expectativas y responsabilidades generales de cada actor. De este modo, una política de ciberseguridad sólida ayuda a crear responsabilidad. 

Las políticas técnicas son las más utilizadas y proporcionan un sistema completo de salvaguardias que, por lo general, tienen como objetivo prevenir los ataques en primer lugar. Algunos ejemplos podrían ser la aplicación de normas estrictas a la hora de crear contraseñas o el uso de un sistema de filtrado o señalización del correo electrónico. Además, puede incluso restringir el acceso a determinados sitios web, como páginas de redes sociales, desde la red de la empresa, para limitar al máximo el peligro de la ingeniería social.

3.1. Personas

Empecemos por los recursos humanos de una empresa. Los empleados suelen ser los eslabones más débiles de la seguridad de una organización, y ya se sabe el dicho: el eslabón más débil de la cadena define la fuerza de la misma.

Las personas comparten contraseñas, pueden hacer clic en enlaces comprometidos y abrir archivos adjuntos de correo electrónico no verificados y, por lo tanto, son susceptibles de ser engañados. Las acciones de un solo empleado son suficientes para comprometer la red de toda una empresa. Los hackers utilizan técnicas de ingeniería social para manipular a las personas con el fin de obtener el control de los sistemas.

Más concretamente, pueden utilizar la técnica del spear phishing, realizando ataques después de haber investigado sobre el objetivo. Se trata de ataques dirigidos a una persona/organización en particular con conocimientos internos recogidos de fuentes abiertas, como publicaciones de los empleados en las redes sociales, datos abiertos disponibles en Internet, etc.

En este caso, los actores maliciosos buscan información confidencial, secretos comerciales y otra información sensible, lo que convierte a los despachos de abogados en un objetivo claro.

La ingeniería social y el phishing representan entre el 70% y el 90% de las infracciones, lo que lleva a la conclusión de que, en contra de las ideas preconcebidas sobre ciberseguridad, no basta con tener una infraestructura técnica sólida. Hay que ser capaz de proteger a la empresa contra los errores humanos.

Lo primero es lo primero, el personal tiene que ser educado digitalmente y estar dotado de habilidades de pensamiento crítico para poder detectar un correo electrónico falso o un enlace malicioso, por ejemplo. Después de invertir en la formación del personal, cualquier empresa podría utilizar una herramienta para poner a prueba a los empleados y sus acciones cuando se enfrentan a un ataque de phishing.

La simulación de phishing ético proporcionada por una empresa con experiencia puede ser una herramienta de este tipo y puede darle una idea de la capacidad de resistencia de usted y de su empresa cuando se enfrentan a técnicas de ingeniería social. Estas simulaciones funcionan mediante la recopilación de datos de la empresa, la creación de una estrategia de ataque, el lanzamiento de la campaña, la recopilación de datos de los empleados que cayeron en la trampa de la simulación y, en última instancia, la creación de un programa educativo personalizado y una campaña de phishing periódica para poner a prueba la concienciación del personal.

3.1. Personas

Empecemos por los recursos humanos de una empresa. Los empleados suelen ser los eslabones más débiles de la seguridad de una organización, y ya se sabe el dicho: el eslabón más débil de la cadena define la fuerza de la misma. Las personas comparten contraseñas, pueden hacer clic en enlaces comprometidos y abrir archivos adjuntos de correo electrónico no verificados y, por lo tanto, son susceptibles de ser engañados. Las acciones de un solo empleado son suficientes para comprometer la red de toda una empresa.

Los hackers utilizan técnicas de ingeniería social para manipular a las personas con el fin de obtener el control de los sistemas. Más concretamente, pueden utilizar la técnica del spear phishing, realizando ataques después de haber investigado sobre el objetivo. Se trata de ataques dirigidos a una persona/organización en particular con conocimientos internos recogidos de fuentes abiertas, como publicaciones de los empleados en las redes sociales, datos abiertos disponibles en Internet, etc. En este caso, los actores maliciosos buscan información confidencial, secretos comerciales y otra información sensible, lo que convierte a los bufetes de abogados en un objetivo claro.

La ingeniería social y el phishing representan entre el 70% y el 90% de las infracciones, lo que lleva a la conclusión de que, en contra de las ideas preconcebidas sobre ciberseguridad, no basta con tener una infraestructura técnica sólida. Hay que ser capaz de proteger a la empresa contra los errores humanos. Lo primero es lo primero, el personal tiene que ser educado digitalmente y estar dotado de habilidades de pensamiento crítico para poder detectar un correo electrónico falso o un enlace malicioso, por ejemplo. Después de invertir en la formación del personal, cualquier empresa podría utilizar una herramienta para poner a prueba a los empleados y sus acciones cuando se enfrentan a un ataque de phishing.

La simulación de phishing ético proporcionada por una empresa con experiencia puede ser una herramienta de este tipo y puede darle una idea de la capacidad de resistencia de usted y de su empresa cuando se enfrentan a técnicas de ingeniería social. Estas simulaciones funcionan mediante la recopilación de datos de la empresa, la creación de una estrategia de ataque, el lanzamiento de la campaña, la recopilación de datos de los empleados que cayeron en la trampa de la simulación y, en última instancia, la creación de un programa educativo personalizado y una campaña de phishing periódica para poner a prueba la concienciación del personal. 

3.2. Procesos

La segunda "P" se refiere a todas las técnicas de software y hardware que se pueden implementar para limitar, en la medida de lo posible, el riesgo de ser objeto de un ataque. Se refiere a toda la cadena de sistemas tecnológicos que pueden utilizarse para la seguridad de la empresa y que son eficaces en la mayoría de las circunstancias, acabando con las amenazas incluso de forma automática, sin tener que recurrir manualmente a la acción humana. Algunos ejemplos podrían ser garantizar que la infraestructura de la red está bien construida o asegurarse de que el sitio web de la empresa es seguro. Además, a través de la tecnología, algunos de los errores provocados por el ser humano mencionados en la sección anterior podrían solucionarse desde una perspectiva arquitectónica, dando acceso a los datos en función del puesto específico y el rol interno de un empleado.

Una herramienta útil es una prueba de penetración frecuente que puede permitir a las empresas descubrir sus vulnerabilidades y las formas de mitigarlas proactivamente. Aquí es donde entran en juego los expertos en pruebas de penetración. Es vital poner a prueba sus procesos para identificar posibles fugas, ya que una prueba de este tipo le ayuda a pensar como el enemigo, observando sus propias redes desde la perspectiva de un actor malicioso en busca de vulnerabilidades ocultas. Los hallazgos del equipo de penetración le informan sobre la eficiencia y eficacia de su programa de seguridad, ayudándole a mejorar su protección y a reducir los riesgos. 

3.3. Política

La última "P" se refiere a las políticas aplicadas por una empresa como forma de proporcionar un marco de conducta a los empleados, socios, consultores y otras partes interesadas similares. En este contexto, las políticas regulan el acceso en línea, el intercambio de datos, el uso de la red, etc., todo ello con el fin de garantizar la seguridad de la empresa. Un sistema de políticas bien elaborado funciona como un plan de acción que puede ser aplicado por cualquier persona o cosa y describe las funciones, expectativas y responsabilidades generales de cada actor. De este modo, una política de ciberseguridad sólida ayuda a crear responsabilidad. 

Las políticas técnicas son las más utilizadas y proporcionan un sistema completo de salvaguardias que, por lo general, tienen como objetivo prevenir los ataques en primer lugar. Algunos ejemplos podrían ser la aplicación de normas estrictas a la hora de crear contraseñas o el uso de un sistema de filtrado o señalización del correo electrónico. Además, puede incluso restringir el acceso a determinados sitios web, como páginas de redes sociales, desde la red de la empresa, para limitar al máximo el peligro de la ingeniería social.

Otro aspecto en el que debe implementar políticas es la protección de datos y el cumplimiento de instrumentos reguladores específicos como el GDPR (UE) o la CCPA y CDPA (California y Virginia). Cuando se trata del GDPR, este documento legalmente vinculante establece una norma estricta para los datos de los clientes, permitiéndoles hacer valer sus derechos. Por otro lado, puede suponer una carga para cualquier organización, ya que deben establecerse procesos y procedimientos/políticas internas para garantizar el cumplimiento y evitar multas elevadas. Entre otros requisitos que impone el Reglamento, las empresas deben contar con un responsable de la protección de datos (en algunas condiciones), encargado de la buena gestión de los datos de los clientes y de notificar los incidentes.

También deben aplicarse procedimientos internos generales para garantizar que se responda a los incidentes de manera eficiente. La notificación de actividades sospechosas debería ser obligatoria y una piedra angular de toda política de seguridad. De este modo, se evitaría una forma de pensar común: No he caído en la trampa de hacer clic en este archivo adjunto, así que todo está bien. Todos los empleados deberían señalar cualquier posible amenaza para detectar un ataque antes de que se produzca. Esto deja claro que un sistema integral de gobernanza de la ciberseguridad es de suma importancia para su empresa como una forma de complementar los procesos técnicos mencionados en la sección anterior y asegurar que el recurso humano es consciente y entiende los esfuerzos de mitigación de la ciberseguridad de la empresa. 

4. Importancia de la consultoría de expertos

Como puedes ver, son bastantes los aspectos que debes tener en cuenta a la hora de elaborar una estrategia de ciberseguridad eficaz. Buscar el asesoramiento de expertos a la hora de hacerlo puede tener algunas ventajas que pueden hacer que el proceso sea menos intimidante y garantizar mejores resultados. En primer lugar, subcontratar y utilizar un equipo de ciberexpertos sólo cuando sea necesario supone una alternativa más barata que un departamento de TI tradicional que no sólo tendría que gestionar la asistencia técnica habitual, sino también crear y gestionar el plan de seguridad. En segundo lugar, un equipo de expertos ayuda a reducir los riesgos, ya que proporciona orientación y las mejores medidas de seguridad personalizadas para maximizar su eficacia. Por último, pueden ayudar a educar a su personal sobre las últimas tecnologías, las prácticas más seguras en el lugar de trabajo y crear conciencia sobre las amenazas de ciberseguridad, mejorando el riesgo de errores provocados por el ser humano que se ha presentado anteriormente.

5. Conclusión

Dado que la seguridad no puede considerarse un estado perpetuo y que siempre existe el riesgo de que se produzca un ataque con éxito, las empresas deben hacerse cargo e invertir en la formación del personal, utilizar nuevos controles técnicos y emitir un sistema de políticas exhaustivas. Siguiendo la estructura de las "3 P", se pueden alcanzar los objetivos presentes en todo plan de ciberseguridad: prevención, detección y recuperación. Para terminar y de forma sencilla, cualquier empresa debería establecer primero sus mayores amenazas. Después, debe elaborar un plan sobre cómo prevenirlas y descubrirlas. Por último, debe haber un sólido plan de respuesta/recuperación de incidentes en caso de que estas amenazas superen todas las demás salvaguardias, siendo toda esta estrategia más fácil de enmarcar con la ayuda de expertos en ciberseguridad.