27 abril 2020
Consejos de ciberhigiene para los abogados que teletrabajamos
Por Francisco Pérez Bes, socio de Derecho Digital en Ecix y miembro de la Comisión Jurídica del Consejo General de la Abogacía Española
El teletrabajo, para la abogacía, es una situación que, por sus propias circunstancias, puede provocar una mayor relajación en las medidas de seguridad que debemos implementar y atender durante el desarrollo de nuestra actividad, ya que al encontrarnos físicamente fuera de nuestro entorno habitual, puede existir una tendencia a comportarnos de una manera distinta y, en ocasiones, menos diligente a la hora de proteger nuestras comunicaciones.
Las medidas de protección de la información y de los sistemas que la alojan deben ser de dos tipos: técnicas y organizativas; y deben cubrir tanto los aspectos preventivos, como los reactivos, con tal de ser eficientes en la lucha contra los incidentes de ciberseguridad que puedan producirse en nuestro despacho profesional, y que puedan afectar a la integridad, confidencialidad o accesibilidad de la información que estamos obligados a custodiar.
La implantación de las medidas de naturaleza tecnológica es, principalmente, responsabilidad del departamento de sistemas (IT, informática…) del bufete, si éste está internalizado. O hay que exigírselo de nuestro proveedor, si tenemos dichas tareas externalizadas[1].
Mientras que las medidas de tipo organizativo (como son formación, sensibilización, políticas internas, etc.) deben ser implementadas por la propia organización, siendo responsabilidad de toda ella su observancia y cumplimiento, más aún cuando las obligaciones deontológicas de la abogacía nos exigen una celosa protección del secreto profesional, en todos sus aspectos.
No nos olvidemos de que también existen obligaciones legales que aplican a este tipo de situaciones, tanto a nuestro despacho de abogados como, individualmente a sus empleados[2].
RECOMENDACIONES Y BUENAS PRÁCTICAS
Por ello, a continuación, vamos a dar una serie de recomendaciones que, lejos de ir centrados en incomprensibles e impracticables obligaciones técnicas, consisten en buenas prácticas que, si convertimos en hábito, nos ayudarán a reducir al máximo la probabilidad de que suframos un incidente de ciberseguridad que pueda poner en peligro la infraestructura tecnológica del despacho, y comprometer la información de nuestros clientes. Nos referiremos a este tipo de actuaciones, como medidas de ciberhigiene.
- No desatender los hábitos de seguridad que hayamos adquirido.
Al trabajar desde casa hay una mayor tendencia a levantarse de la silla, olvidando que nuestros hijos u otras personas que convivan con nosotros en estos momentos, pueden acceder a nuestro ordenador y -sin querer- enviar mensajes no solicitados, o modificar los documentos que estamos redactando o dañar el trabajo que estamos realizando.
Por eso es importante mantener la costumbre de bloquear la pantalla del ordenador cada vez que nos levantemos y dejemos desatendido nuestro equipo. Aunque el objetivo de esta medida no sea, esta vez, la de proteger la confidencialidad de nuestro trabajo, sí estaremos protegiendo su integridad.
Y, al terminar nuestro trabajo, cerremos la correspondiente de sesión de trabajo que tuviéramos iniciada.
- Mantengamos la prudencia en nuestras conversaciones
Al igual que sucede en los vagones del AVE cuando trabajamos en movilidad, nuestros vecinos son nuestros peores enemigos, pues pueden escuchar conversaciones que no deben.
En situaciones de teletrabajo, aunque no se exige al abogado el uso de pantallas para proteger la privacidad de la información que estamos visualizando en nuestro ordenador, no olvidemos que, en la mayoría de las ocasiones, atendemos llamadas y videoconferencias en abierto, hablando a través del micrófono de nuestro equipo, y escuchando a través de sus altavoces, lo que, en función de la tipología de vivienda desde la que teletrabajamos, podría ir en detrimento de la confidencialidad y el secreto profesional.
Con relación a este asunto, quiero destacar la postura de algunas organizaciones colegiales extranjeras, que han recomendado a sus miembros no trabajar en zonas de la casa en las que estén activados asistentes virtuales, tipo Alexa, Siri o similares[3].
Incluso, la BAR norteamericana ha publicado un documento relacionado con los aspectos deontológicos que pueden aplicar al uso de este tipo de dispositivos, recordando los problemas de confidencialidad que pueden causar, así como la obligación del abogado de actuar con precaución ante las amenazas al secreto profesional que pueden surgir[4].
- Aumentemos las precauciones y desconfiemos de correos y publicidad de la que no estemos seguros.
En estos días, los cibercriminales, sabedores del uso masivo de recursos tecnológicos al que nos hemos visto obligados a hacer, han redirigido toda su actividad maliciosa hacia los canales online. Y durante el teletrabajo estamos más expuestos a recibir campañas de malware, con las que los delincuentes pretenden engañarnos y robarnos información, y que, además perjudicar a los sistemas de nuestra empresa, pueden ponernos en peligro a nosotros y a nuestras familias.
Es recomendable no mezclar las conexiones profesionales con las domésticas, y usar, en la medida de lo posible, dispositivos diferenciados. Y en los dispositivos profesionales, únicamente descargar aquellas aplicaciones y programas que hayan sido previamente autorizados por los departamentos técnicos de nuestro despacho.
Aprovechemos para reforzar nuestras capacidades defensivas contra eventuales campañas de phishing, así como de otro tipo de engaños, y practiquemos con recursos y herramientas como la que nos ofrece Google a través de su plataforma “phishingquiz”:
https://phishingquiz.withgoogle.com/
- Protejamos nuestra conexión
Aunque pueda ser responsabilidad de la empresa la configuración de seguridad de los dispositivos que nos facilite para trabajar desde casa, eso no significa que nosotros, en cuanto usuarios, no podamos contribuir a reforzar la seguridad de las conexiones y de los dispositivos que utilizamos.
Por ejemplo, al trabajar desde casa existe un mayor riesgo de que los ciberdelincuentes vulneren nuestra conexión, por ejemplo, cuando utilizamos el wifi doméstico para conectarnos y trabajar.
Por ello es importante que extrememos las precauciones y reforcemos la protección de nuestro router (pe., usando una contraseña robusta). Y, en cualquier caso, facilitemos el mínimo de información durante nuestras conversaciones con terceros, tanto verbalmente como a través de correos electrónicos o mensajes en otras plataformas (apps de mensajería, plataformas de videoconferencia, etc.). Es importante pedirle al despacho que implemente herramientas de cifrado efectivo de la información, así como que mantenga actualizado el antivirus y el resto de medidas de protección.
Como ejercicio para comprobar el estado de nuestra conexión, es recomendable hacer la prueba con la herramienta “chequea tu conexión” que ofrece la Oficina de Seguridad del Internauta (OSI), denominada Servicio Antibotnet:
https://www.osi.es/es/servicio-antibotnet
- Refuerza tus contraseñas
El confinamiento es un buen momento para actualizar todas nuestras contraseñas y comprobar que tienen una robustez suficiente como para que un tercero no pueda adivinarlas.
Podemos comenzar a familiarizarnos con algún tipo de sistemas de gestión de contraseñas, de cara a que cuando volvamos a la normalidad, tengamos contraseñas fuertes y seguras.
También podemos revisar si durante estos días hemos podido ser víctimas de algún tipo de fuga de información que haya afectado a nuestras cuentas.
Podemos hacerlo en el servicio Haveibeenpwnd.com, introduciendo la cuenta de correo que queremos comprobar. Tengamos en cuenta que, en el caso de que nuestra cuenta aparezca dentro de algún tipo de fuga de información, será imprescindible que modifiquemos de inmediato la contraseña correspondiente a esa cuenta.
- Sigue las instrucciones de tu departamento de sistemas
En estos momentos más que nunca, es importante que atendamos a todas las instrucciones y recomendaciones que nos vengan dadas desde el departamento técnico del despacho. Especialmente, en todo lo que tiene que ver con la actualización de sistemas, y la instalación de determinados programas o aplicaciones en nuestros dispositivos.
En caso de duda sobre algún procedimiento, o en caso de detectar alguna anomalía en nuestros terminales, comunícate de inmediato con el responsable de sistemas para que te ayude.
- Securiza tus videoconferencias
Ante el intenso uso que hacemos estos días de plataformas de videoconferencia, procura programar tus reuniones de la manera más restrictiva posible, no aceptando a más personas de las necesarias, o limitando el acceso a las personas convocadas.
Previamente, confirma con tu departamento técnico la conveniencia de utilizar una determinada plataforma, a la vista de los problemas de seguridad de los que hemos sido testigos últimamente en relación con alguna de dichas herramientas.
- Ayuda a fomentar la concienciación
Ayuda a tu despacho en su labor de sensibilización sobre ciberseguridad, y conviértete en prescriptor de tu organización cuando contactes con terceros, para promover las mejores prácticas en seguridad de la información.
En aras del secreto y la diligencia profesionales, niégate a intercambiar información confidencial y sensible a través de internet, si los canales que te proponen no cumplen con los requisitos mínimos de seguridad exigibles para una adecuada protección de la información.
- ¿Has sufrido un incidente? Actúa con rapidez
Si eres un abogado, y detectas algún tipo de incidente de seguridad durante tu trabajo, contacta inmediatamente con tu departamento técnico, y ponlo en su conocimiento.
Si eres autónomo o tienes tu propio despacho, y has sufrido algún tipo de incidente de ciberseguridad de relevancia, contacta con el Incibe-CERT a través de la dirección de correo: incidencias@incibe-cert.es.
En caso de duda o de querer realizar cualquier otra consulta, puedes contactar con dicho organismo a través del número 017.
Además, recuerda que si de dicho incidente pueda haber producido algún tipo de brecha de seguridad que involucre información de carácter personal, la normativa de protección de datos te obliga a comunicar dicho incidente, a través del procedimiento de notificación contemplado en la norma.
- Avisa al seguro
Si eres un despacho y has sufrido algún incidente de ciberseguridad, revisa tu póliza para ver si cubre este tipo de incidentes, y con qué alcance.
En tal caso, ten a mano el teléfono de contacto de tu compañía aseguradora o corredor de seguros, por si en algún momento has de notificarles la producción de algún incidente que te haya causado daños.
Y si el incidente puede ser tipificado como delito, debes denunciarlo a la policía o guardia civil, con tal de que puedan iniciar la correspondiente investigación.
Y recuerda que, en ciberseguridad, al igual que con el coronavirus, si te proteges a ti mismo, proteges a los demás.
[1] El informe RBP/18 Recomendaciones de seguridad de situaciones de teletrabajo y refuerzo en vigilancia, publicado por el CCN-CERT, incluye controles y medidas de seguridad específicas a tener en cuenta durante una situación de trabajo en remoto.
[2] https://www.aepd.es/sites/default/files/2020-04/nota-tecnica-proteger-datos-teletrabajo.pdf
[3] https://www.telegraph.co.uk/technology/2020/03/30/lawyers-urged-switch-alexa-working-home/
[4]https://www.americanbar.org/news/abanews/publications/youraba/2018/april-2018/digital-billing-assistants-and-professional-responsibility/