03 diciembre 2019

Compliance y seguridad de la información en el plan estratégico del abogado

Susana GonzálezPor Susana González
sigueme-abogaciaes

Los despachos de abogados ya nos hemos “transformado digitalmente”. Bien, regular, o mal, estamos en Internet y utilizamos herramientas tecnológicas cada día para trabajar, para comunicarnos y para visualizar nuestro offering services a través de nuestras webs y medios sociales.

Ha llegado el momento de planificar un par de pasos más, ¿no crees?

Compliance y Seguridad de la Información como estrategia de marketing digital

Seguimos viendo aún cómo la gran mayoría de las webs de abogados (no solo abogados particulares, sino incluso grandes bufetes) incumplen radicalmente, entre otras, la Ley de Servicios de la Sociedad de la Información; Reglamento Europeo de Protección de Datos Personales y Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales.

Además de carecer de la obligatoria información al usuario requerida por dicha normativa, es fácil comprobar cómo muchas webs de despachos no disponen de las mínimas medidas de seguridad, poniendo con ello en riesgo a diario su know how, sus secretos empresariales y los datos personales de sus clientes reales, potenciales y usuarios web.

Una profesión como la nuestra, basada en la confianza y la seguridad jurídica, con reforzadas obligaciones de privacidad, confidencialidad y secreto profesional y que, en gran medida tenemos limitaciones deontológicas, en cuanto a que no todo vale con el fin de vender nuestros servicios, debería mimar con celo el cumplimiento propio: predicar con el ejemplo.

Nuestras webs son nuestro escaparate online, nuestra tarjeta de visita y lo primero que van a ver nuestros potenciales clientes cuando necesiten nuestros servicios. Es el lugar donde podemos comunicar nuestra trayectoria profesional, nuestros logros; nuestra misión; nuestra visión; nuestros valores; nuestros servicios diferenciales; el potencial de nuestro equipo y los contenidos claros que refrenden cada servicio de nuestra especialidad.

Hacer para nosotros mismos lo que predicamos que deban hacer nuestros clientes refuerza nuestra marca personal. No hacerlo, la destroza. ¿Vamos a seguir fielmente aquello de “en casa del herrero…”?

Si empezamos a construir nuestra estrategia digital mediante la aportación de contenidos, la adaptación de nuestros mensajes o el establecimiento de engagement con nuestros clientes a través de las redes sociales, pero no cumplimos, todo ello se derrumbará como un castillo de naipes por falta de unos cimientos sólidos.

Si fallamos en lo más básico, de nada servirá que nos gastemos miles de euros en estrategias de comunicación, diseños de branding específicos o marketing, del tipo que sea. Una buena estrategia digital debe partir de los cimientos, cuidando lo más cercano al cliente para evitar que nuestra reputación se perciba como humo.

Un cumplimiento legal exquisito y la protección de la información que tratamos son la mejor estrategia de marketing que puede plantearse al sector jurídico, con el objetivo de valorar la información que tratamos y definir objetivos de mejora periódicos.

Empecemos por los cimientos, siempre es mejor que por el tejado

Una adecuada protección de la información que tratamos es, al margen de una obligación, una exigencia de negocio cada vez mayor, dado el exponencial incremento de ciberataques al que estamos asistiendo en los últimos años.

No hay nada más devastador para una empresa –y nuestros despachos lo son- que verse envuelta en una brecha de seguridad que exponga información personal de sus clientes reales o potenciales. Al margen de las sanciones a las que se verá expuesto, supone un impacto reputacional, en la mayor parte de los casos, irreparable.

Establecer medidas de seguridad técnicas y organizativas en nuestros despachos no sólo nos va a proporcionar una mayor definición de nuestros procesos, sino que va a suponer un control para la prevención de delitos en los que podemos vernos inmersos en virtud de la reforma establecida por la LO 5/2010, de reforma del Código Penal, si explotamos nuestro negocio en forma de persona jurídica.

Hablamos de que no establecer las medidas adecuadas de seguridad de la información puede conllevar nuestra responsabilidad penal por potenciales delitos de descubrimiento y revelación de secretos; daños informáticos; delitos contra la propiedad intelectual e industrial; blanqueo de capitales, entre otros.

Planifica tu compliance en torno a la seguridad de la información en cinco tareas básicas:

1) Revisión de todos los flujos de información e identificación de clientes y fondos, así como el desarrollo de procedimientos e instrucciones que implantar de forma eficaz, que garanticen el cumplimiento de la LSSI, la normativa sobre protección de datos; secretos empresariales; propiedad intelectual; competencia desleal y prevención de blanqueo de capitales.

2) Realización de una auditoría interna del software instalado en los equipos del despacho para identificar aquellos que puedan tener instalado software sin licencia. Es muy habitual que empezáramos hace años con nuestro ordenador y una licencia personal, hayamos crecido y ahora contemos con un equipo de personal y sistemas con software de office y de compresión de archivos sin licencia; o bien que no monitoricemos la descarga de software por parte de los recursos humanos de nuestro despacho y ni tan siquiera sepamos qué riesgo hay en cada ordenador de los que somos directos responsables.

3) Revisión de las medidas técnicas de seguridad implantadas en la actualidad en los sistemas, equipos y web (antivirus; firewall; automatización de requerimientos de actualizaciones de sistemas operativos, aplicaciones, antivirus y cambio de contraseñas; seguridad de correo electrónico; control de acceso a la información mediante segregación de funciones; homogenización de dispositivos extraíbles cifrados y de herramientas para compartir archivos; protección de bases de datos web; protección de cabeceras; captchas en formularios; protección de imágenes; certificado SSL …).

4) Auditoría de análisis de riesgos de ciberseguridad que identifique el concreto mapa de exposición y vulnerabilidades.

5) Implantación de las medidas técnicas y organizativas recomendadas como resultado de la auditoría de ciberseguridad, con el fin de minimizar los riesgos prioritarios en virtud de la valoración de su mayor potencialidad e impacto en nuestra organización.

No quiere decir que tengamos que hacerlo todo a la vez. Sin embargo, cuando planificamos las acciones a acometer en virtud de los riesgos, prioridades y recursos disponibles, todo adquiere mayor sentido y, poco a poco, conseguimos ver objetivos cumplidos que van a reforzar nuestro negocio y, simultáneamente nuestra estrategia offline y online, lo que espontáneamente potencia nuestro branding y reputación.

Susana González
Abogado especialista en derecho tecnológico, ciberseguridad y marketing digital
WEB: Susana González Ruisánchez
TWITTER: @SuDigitalLawyer

Comparte: