Miércoles 20 Abril 2016
Ciberseguridad en los despachos de abogados
No cuidar la seguridad TIC de tu despacho de abogados es una tarea que conlleva mucho riesgo. Te recomendamos que sigas estos sencillos pasos de INTECO para aumentar la seguridad de tus datos.
Proteger tu despacho de ciberdelincuentes es sencillo
Recientemente hemos leido el contenido de una entrada publicada por INTECO (Instituto Nacional de Tecnologías de la Comunicación) sobre la ciberseguridad para las pymes, y hemos decidido adoptar esa entrada al colectivo de los abogados y sus despachos.
Toda la información que maneja un bufete de abogados tiene un gran valor, no solo para el abogado, sino también para el cliente, la competencia o para el crimen organizado. No no debes olvidar que si algo tiene valor para otros, está en peligro.
No llevar a cabo una buena estrategia de seguridad para los datos con los que trabajas puede suponer multas por incumplimiento de la LOPD y la LSSI-CE de hasta 600.000 €. nubbius está comprometido con la protección y seguridad de tus datos en la nube, por lo tanto, cumplimos las medidas de la LOPD.
A continuación te enseñamos los primeros pasos a seguir para cuidar de la seguridad TIC de tu despacho:
1. Comprende y gestiona tus riesgos
Habilita y apoya la gestión de riesgos en toda la organización, eligiendo qué nivel de riesgo estás dispuesto a tolerar. Elabora, junto con la política de gestión de riesgos, una política de seguridad que describa, paso a paso, qué estás dispuesto a hacer para gestionar los riesgos. Revísala al menos cada año para asegurarte que se ajusta a tus riesgos.
2. Actualiza tu software (configuraciones seguras)
Realiza un inventario con todos tus activos de tecnologías de la información (instalaciones, equipos, hardware, software,...) para ser consciente de lo que tienes y de su valor. Pon al día los sistemas operativos con parches y actualizaciones y asegúrate de que tienes licencias de todo el software instalado. Además, revisa periódicamente las debilidades de tus sistemas, de forma personal o por parte un tercero. Es recomendable hacerlo una vez al año o cuando realices algún cambio importante de hardware o software.
3. Protege tu red
Protege tu red contra ataques externos e internos. Primero comprueba si el router que te ha proporcionado el proveedor de Internet incluye cortafuegos. Si no es así, instala uno o una suite de seguridad que incluya esta funcionalidad para tus equipos. Es muy importante seguir las instrucciones del fabricante para mantenerlo bien configurado y actualizado. En caso de observar alguna actividad poco habitual debes consultar con un experto. Si crees que te están robando la señal wifi asegúrala con estos sencillos pasos.
4. Instala defensas contra el malware
Todos los equipos del despacho deben tener un antimalware o un paquete de seguridad con esta funcionalidad. Debes utilizar todas las prestaciones que te ofrezca el paquete (antivirus, antispyware,...) y asegurarte de que al menos una vez al día se realiza un escaneo. Puedes configurar la herramienta para que se actualice automáticamente.
5. Gestiona el acceso a tus sistemas
Utiliza nombres de usuario y contraseñas seguras para su uso individual y no compartido. Es importante limitar los privilegios de administración de sistemas a quienes realmente sean administradores. Asegúrate de que los empleados sólo tengan acceso a las carpetas que necesiten para su trabajo y mantén los datos sensibles separados y vigilados.
6. Controla los dispositivos extraíbles (pendrives, discos,...)
Permite exclusivamente el uso de dispositivos extraíbles que proporcione tu administrador de sistemas: vigila su uso, dónde están, quién los tiene y que contienen. Asegúrate que permitan cifrado y de que son escaneados para detectar malware cada vez que se usen. Muchos paquetes antimalware tienen la opción de analizar los dispositivos y medios extraíbles.
No llevar a cabo una buena estrategia de seguridad puede suponer multas de hasta 600.000 €
7. Monitoriza tus redes y servicios
Para empezar puedes utilizar alguna herramienta gratuita de monitorización o de análisis de protocolos. Si dispones de una red compleja deberías plantearte utilizar herramientas comerciales de control de tráfico de red que incluyen análisis de tráfico, uso de IP, etc. Asegúrate que los empleados avisan al responsable de seguridad ante cualquier actividad inusual que detecten y de que el analista dispone de los planes y experiencia para actuar ante estos fallos.
8. Enseña buenas prácticas (sensibilización y formación de usuarios)
Asegúrate que toda la plantilla de abogados conoce y aplica la política de seguridad. Para ello incluye el cumplimiento de la política como una clausula en los contratos y recuerda periódicamente a tu plantilla las buenas prácticas de seguridad, especialmente cuando cambia la política o los riesgos. Si tu despacho utiliza redes sociales asegúrate de que la plantilla está al tanto de cómo se han de comportar en las mismas cuando representan al bufete y de que existen documentos que no se pueden compartir. Puedes seguir estos consejos para sacar partido a tus redes sociales.
9. Controla los dispositivos móviles de trabajadores
El uso de dispositivos móviles corporativos debe tener la aprobación del responsable de seguridad. Como mínimo asegura:
- que tienen un antimalware instalado y actualizado
- que usan PIN, contraseña u otro sistema de autenticación
- que están cifrados
- que podemos rastrearlos y borrarlos remotamente en caso de pérdida o robo
10. Gestiona los incidentes y la continuidad del negocio
Decide, redacta y aprueba, qué hacer y qué no hacer en caso de que ocurran incidentes. Para aprender de la experiencia registra cada incidente, sus causas, lo que ha costado recuperarse y cómo prevenirlo en el futuro. Obtén ayuda y experiencia, externa si fuera necesario, para tratar con los incidentes.
Fuente: Blog de INTECO