Innovación Legal
03 octubre 2013
Abogados y tecnología: decálogo para trabajar en un entorno seguro
El ejercicio de la actividad profesional de la abogacía, comporta por naturaleza, tratar información muy sensible y confidencial, y debido a nuestro día a día tanto podemos trabajar en nuestro despacho, juzgados, domicilio del cliente o varias ubicaciones y con una continua movilidad.
También es muy habitual que toda esta información profesional nos la llevemos “con nosotros” ya sea en soportes digitales o en soporte papel.
Esta praxis profesional tiene que casar necesariamente con las evidentes necesidades de garantizar la seguridad de la información que tratamos, ya sea por imperativo legal de la Ley Orgánica de Protección de Datos de Carácter Personal y por supuesto para poder dar la correspondiente reputación de confianza a la profesión de abogado.
La Seguridad de la Información tiene como principales pilares, la garantía y protección de los siguientes conceptos:
Confidencialidad: garantizar que la información sensible sólo se revela a los usuarios autorizados.
Disponibilidad: garantizar que la información está disponible para ser utilizada por los procesos de negocio siempre que se necesita.
Integridad: garantizar que la información es completa, exacta y no duplicada.
Autenticidad: garantizar la identidad de los usuarios o procesos que tratan la información.
No refutación: garantía que se puede demostrar qué usuarios tratan la información.
A continuación os proporcionamos un funcional decálogo sobre el que se tiene que hacer y el que no se tiene que hacer para facilitar a los abogados una sensibilización suficiente para poder lograr el nivel de seguridad necesario, atendiendo a la información que gestionamos. La mayoría de recomendaciones aplican sobre el uso de las TIC, pero algunas se refieren a uno en torno a seguridad físico.
1. Uso seguro de Internet
- Todos los dispositivos con conexión en internet, incluidos smartphones tienen que disponer de antivirus debidamente actualizado (el malware, virus y las amenazas varían cada día)
- NO utilizar módems o conexiones a redes inalámbricas no seguras: lugares públicos como wifi de aeropuertos o redes de terceros.
- NO conectarse a aplicaciones de chats o cualquier aplicación interactiva de igual a igual (programas “peer-to-peer”), puesto que voluntariamente o por error pueden transmitir virus y acabar en publicación de información confidencial.
2. Perfiles de usuarios y controles de acceso información
- El alta de usuarios y permisos de acceso a la información de los miembros del despacho se tiene que hacer aplicando el principio de “necesidad de saber” y no dando acceso universal a todos los recursos o sistemas.
- NO se tiene que demorar la baja de los permisos correspondientes a personas que causen baja de la actividad.
3. Sistemas autenticación
- Actualmente el sistema habitual para autenticarnos es mediante contraseñas. Hay que tener un buena política de contraseñas que garantice: mantener las mismas en secreto, cambiar la contraseña al mínimo indicio que una contraseña o un equipo haya podido estar comprometido, cambiar la contraseña al menos una vez al año y con una longitud mínima de 8 caracteres, sin repeticiones de caracteres idénticos y que esté formada por caracteres numéricos, alfabéticos (mayúsculas, minúsculas) e incluya caracteres especiales (* + $ &,. #…)
- NO se tiene que dar la contraseña a otras personas (compañeros, responsables de departamento, terceros…). En caso de necesidad urgente de acceso como vacaciones o enfermedad y si es necesario tener acceso, hace falta solicitar una credencial propia por aquella persona.
4. Copias de seguridad
- Hay que hacer copias de seguridad con una periodicidad mínima semanal y guardar la información en un directorio de red o sistema seguro.
- NO es recomendable almacenar información sensible en el disco local o unidades externos tipo pendrive. En caso de que sea imprescindible, habrá que tomar medidas adecuadas para proteger esta información de su pérdida en caso de borrado accidental o avería o de su acceso no autorizado.
5. Destrucción y reutilización equipos
- Hay que asegurarnos que los soportes digitales con información confidencial, cuando se tengan que destruir o reutilizar por otra persona, garanticen un borrado físico de la información (el borrado normal o el formateado de unidad no borra físicamente la información y por lo tanto se puede recuperar).
- Controlar adecuadamente los documentos en papel que contengan datos personales o datos confidenciales y destruirlos cuidadosamente: utilizando una destructora de papel o bien contratando a una empresa para su recogida y con la correspondiente certificación de destrucción.
- NO se tiene que tirar información personal o confidencial a las papeleras, ya sea en apoyo papel, magnético, óptico, etc y NO se tiene que facilitar a terceros (familiares, donación a ONGs..) dispositivos con información confidencial no borrada de forma física segura.
6. Equipos portátiles, tablets, smartphones…
- Hay que tener activada una contraseña o PIN de acceso al dispositivo que se active automáticamente después de un tiempo sin utilizarlo. Los equipos portátiles, fuera de los locales de trabajo, no tendrán que ser perdidos de vista en ningún momento y se recomienda ser transportados de la forma más disimulada posible (actualmente son objetivo prioritario por parte de “los amigos de lo ajeno”.)
- En caso de trabajar en casa, se tendrán que aplicar unas medidas de protección equivalentes a las del despacho.
- NO se tiene que facturar ordenadores portátiles al avión ni dejarlos desatendidos en habitaciones de hotel.
- NO se tiene que guardar datos en los discos locales de los portátiles. En caso de tenerlo que hacer, hará falta previamente cifrar la información de confidencialidad alta o muy alta o de nivel LOPD alto.
7. Cifrado información
- Hay que cifrar la información sensible archivada en soportes móviles. Existe herramientas gratuitas y sencillas como ejemplo las opciones de cifrado del Microsoft Office o winzip, escogiendo un algoritmo con clave de 128 bits o más. Si se utiliza para envío de ficheros hay que enviar previamente la contraseña de cifrado y descifrado entre las personas que tendrán que poder acceder a la información (no la enviáis por el mismo canal)
- En caso de trabajar en varias sedes y comunicarse por la red, se tiene que valorar la instalación de una conexión cifrada (VPN).
- Trabajar con certificados electrónicos, por ejemplo el del ACA, y que puede ser válido para cifrar y firmar tanto documentos como correos electrónicos.
8. Puestos de trabajo
- HACE FALTA antes de ausentarse del puesto de trabajo por un periodo corto como almorzar o comer, etc…activar el protector de pantalla (Ctr-Alto-Supr – Bloquear ordenador) y poner fuera de la vista cualquier documento de sensibilidad alta o muy alta.
- NO se tiene que desactivar el protector de pantalla y que bloquea el terminal después de x minutos de inactividad.
- NO se tiene que dejar en la impresora documentos imprimidos sin recogerlos.
9. Seguridad física
- Hay que diseñar los espacios y orientar las pantallas y los documentos de forma que terceros no puedan ver información confidencial contenida en documentos y pantallas.
- NO se tienen que dejar documentos confidenciales en pasillos o archivadores abiertos.
10. Ingeniería Social
- Se entiende por ingeniería social, el método que consiste en obtener información confidencial o credenciales engañando a los usuarios legítimos de esta información.
- Mediante esta técnica de persuasión, los atacantes más avanzados obtienen previamente información del atacado: mediante los datos publicados en la web o engaños previos por email. De este modo pueden actuar como si conocieran la Entidad, sus servicios, unidades y personas y obtener información confidencial.
- NO se tiene que responder a correos enviados por entidades de las cuales no se es cliente o no se tenga relación y en los que pidan datos personales o que afecten la seguridad: cómo por ejemplo Correos, Agencia Tributaria o Entidades Bancarias.
- NO se tiene que atender de forma inmediata o impulsiva correos que hablen de un sorteo, una oferta, un niño perdido…
Recordad que muchas de estas directrices de seguridad son preceptivas por imperativo legal y por la obligación de secreto y confidencialidad que nuestro propio Código Deontológico establece.
Jordi Ferrer Guillén,vicepresidente Sección TIC del Colegio de Abogados de Barcelona y vocal de ENATIC. Profesor del Departamento de Dirección de Sistemas Información ESADE y socio fundador EnterTIC Legal Consulting