¿Cómo afecta a la reputación de tu despacho un incidente de seguridad?

  Por Francisco Pérez Bes
TWITTER @pacoperezbes 

Los informes 12/2018 y 6/2019 de la Comisión Jurídica del Consejo General de la Abogacía analizaron en profundidad algunos de los principales aspectos relativos a la ciberseguridad entre los profesionales de la abogacía, entre los que la reputación del despacho tiene un especial protagonismo.

Por su parte, el informe de la American Bar Association (ABA) del año 2022, revelaba que el 27% de los despachos de ese país había sufrido un incidente de esta naturaleza. No tengo dudas de que este porcentaje habrá aumentado en el próximo informe.

Y es que, en una profesión basada en la confianza del cliente, la mala gestión de la comunicación de un incidente de ciberseguridad puede provocar una crisis que desemboque, en el mejor de los casos, en la pérdida del propio cliente, cuando no, en una sanción legal o deontológica.

Este debate ha vuelto a ponerse de actualidad tras el reciente incidente provocado por Crowdstrike, que ha recordado la importancia de la comunicación en momentos de crisis provocadas por ciberataques o incidentes cibernéticos de cualquier otra índole.

En efecto, la ciberseguridad no se limita a ser una cuestión técnica. Tampoco en la abogacía. Antes al contrario, es un aspecto contemplado -cada vez con mayor intensidad- en la normativa europea, que destaca la relevancia que tienen los riesgos reputacionales en entidades de determinada naturaleza.

Así, por ejemplo, regulaciones tales como el Reglamento DORA (de aplicación, principalmente, a entidades del sector financiero y asegurador) o la Directiva NIS2 (donde probablemente algún despacho español será designado operador esencial), ya incluyen aspectos relacionados con las obligaciones de comunicación pública de determinado tipo de incidentes, así como de gestión de riesgos reputacionales.

Así, por ejemplo, dentro del a normativa DORA se especifica que a los efectos de determinar la repercusión en la reputación de un incidente y clasificar el propio incidente, las entidades afectadas deberán considerar que el incidente ha repercutido en la reputación cuando se cumpla al menos uno de los criterios siguientes:

1. El incidente se ha reflejado en los medios de comunicación;
2. El incidente ha dado lugar a quejas reiteradas de distintos clientes o sobre servicios de cara al cliente o relaciones comerciales esenciales;
3. La entidad no podrá cumplir los requisitos reglamentarios, o es probable que no pueda cumplirlos, como consecuencia del incidente;
4. La entidad perderá, o es probable que pierda, clientes como consecuencia del incidente, lo que acarreará consecuencias importantes para sus actividades.

Adicionalmente a lo señalado en el citado artículo, se añade que, al evaluar la repercusión en la reputación del incidente, las entidades tendrán en cuenta el nivel de visibilidad que el incidente haya alcanzado o pueda alcanzar en relación con cada uno de los criterios enumerados.

Por su parte, la Directiva NIS2 también regula la obligación de comunicación al público de la producción de incidentes de determinada gravedad, obligando a la empresa afectada a realizar tal comunicación al público que pudiera verse afectado por la producción de tal incidente o, en determinados supuestos, a que sea la propia autoridad competente la que lo haga.

Este cambio de criterio, dirigido a reforzar la obligación de transparencia ante la detección de incidentes relevantes relacionados con la seguridad de la información, va a requerir de cualquier organización, incluidos los despachos de abogados, que prevean el riesgo reputacional dentro de su gestión de ciberriesgos o que, al menos, cuenten con el apoyo de alguna empresa especializada en gestión de crisis (en ocasiones eso ya se incluye en la cobertura aseguradora) a los efectos de dar una respuesta eficaz a una cuestión de tal naturaleza.

Esta previsión sería una práctica diligente, no sólo a los efectos de dar cumplimiento a las obligaciones legales y deontológicas que puedan derivarse de un ciberataque a un despacho de abogados, sino también a la hora de proteger a los clientes del eventual impacto que pueda tener en ellos una crisis de reputación. Esta buena práctica no sólo protege al despacho afectado, sino que refuerza la confianza del ciudadano en la abogacía en general.