Abogados y tecnología: decálogo para trabajar en un entorno seguro El ejercicio de la actividad profesional de la Abo- gacía comporta por naturaleza tratar información muy sensible y confidencial, y debido a nuestro día a día tanto podemos trabajar en nuestro despacho, juzgados, domicilio del cliente o varias ubicaciones y con una continua movilidad. También es muy habitual que toda esta informa- ción profesional nos la llevemos “con nosotros” ya sea en soportes digitales o en soporte papel. Esta praxis profesional tiene que casar necesaria- mente con las evidentes necesidades de garantizar la seguridad de la información que tratamos, por imperativo legal de la Ley Orgánica de Protección de Datos de Carácter Personal y por supuesto para po- der dar la correspondiente reputación de confianza a la profesión de abogado. La Seguridad de la Información tiene como princi- pales pilares la garantía y protección de los siguien- tes conceptos: • Confidencialidad: garantizar que la información sensible sólo se revela a los usuarios autorizados. • Disponibilidad: garantizar que la información está disponible para ser utilizada por los procesos de negocio siempre que se necesita. • Integridad: garantizar que la información es completa, exacta y no duplicada. • Autenticidad: garantizar la identidad de los usuarios o procesos que tratan la información. • No refutación: garantía que se puede demostrar qué usuarios tratan la información. A continuación os proporcionamos un funcional decálogo sobre el qué se tiene qué hacer y el que no se tiene que hacer para facilitar a los abogados una sensibilización suficiente para poder lograr el nivel de seguridad necesario, atendiendo a la información que gestionamos. 1. Uso seguro de Internet Todos los dispositivos con conexión a internet, inclui- dos smartphones tienen que disponer de antivirus debidamente actualizado (el malware, virus y las amenazas varían cada día) NO utilizar módems o conexiones a redes inalám- bricas no seguras: lugares públicos como wifi de ae- ropuertos o redes de terceros. NO conectarse a aplicaciones de chats o cualquier aplicación interactiva de igual a igual (programas “peer-to-peer”), puesto que voluntariamente o por error pueden transmitir virus y acabar en publicación de información confidencial. 2. Perfiles de usuarios y controles de acceso a información El alta de usuarios y permisos de acceso a la infor- mación de los miembros del despacho se tiene que hacer aplicando el principio de “necesidad de saber” y no dando acceso universal a todos los recursos o sistemas. NO se tiene que demorar la baja de los permisos correspondientes a personas que causen baja de la actividad. 3. Sistemas de autenticación Actualmente el sistema habitual para autenticarnos es mediante contraseñas. Hay que tener una buena política de contraseñas que garantice: mantener las mismas en secreto, cambiar la contraseña al mínimo indicio que una contraseña o un equipo haya podido estar comprometido, cambiar la contraseña al me- nos una vez al año y con una longitud mínima de 8 caracteres, sin repeticiones de caracteres idénticos y que esté formada por caracteres numéricos, alfabé- ticos (mayúsculas, minúsculas) e incluya caracteres especiales (* + $ &,. #…) NO se tiene que dar la contraseña a otras perso- nas (compañeros, responsables de departamento, terceros…). En caso de necesidad urgente de acceso como vacaciones o enfermedad y si es necesario te- ner acceso, hace falta solicitar una credencial propia por aquella persona. Jordi Ferrer Guillén Vicepresidente Sección TIC del Colegio de Abogados de Barcelona y vocal de ENATIC. Profesor del Departamento de Dirección de Sistemas Información ESADE y socio fundador de EnterTIC Legal Consulting 4. Copias de seguridad Hay que hacer copias de seguridad con una periodi- cidad mínima semanal y guardar la información en un directorio de red o sistema seguro. NO es recomendable almacenar información sen- sible en el disco local o unidades externas tipo pen- drive. En caso de que sea imprescindible, habrá que tomar medidas adecuadas para proteger esta infor- mación de su pérdida en caso de borrado accidental o avería o de su acceso no autorizado. Noviembre 2013_Abogados_27