¿Qué pasaría si en el despacho, en un asunto importante, un documento trascendente ha sido observado o consultado por alguien no deseado o inapropiado?  ¿Qué pasaría si un documento ha sido enviado al juzgado no siendo la copia correcta porque alguien la modificó sin control o porque no era la última versión? ¿Qué pasaría si se precisa el envío urgente de un determinado documento del cual depende la resolución ganadora del caso y no está accesible con la debida celeridad?

La información —léase expedientes de los clientes (demandas, recursos, escritos, informes, etc.), bases de datos históricas de jurisprudencia, documentación de análisis y tantos otros elementos documentales— es el activo básico del negocio de un abogado, es la materia prima de su actividad profesional. Una información que, en un momento dado, se ha perdido, no es fiable o completa, o simplemente no la encontramos, aunque sabemos que está (en algún sitio), va a perjudicar seriamente la salud de nuestro bufete.

La seguridad de la información es la materia que define y aporta aquellas herramientas y procedimientos que nos van a permitir proteger y salvaguardar dicha información con el objetivo de conservar su valor para la empresa, de mantener inalterable su contenido,  y, además, de ser accesible en cualquier momento y lugar en que se necesite.

Esta simple declaración de intenciones introduce las tres características básicas de la información que debemos cumplir para garantizar su seguridad, o dicho de otro modo, para gestionar adecuadamente la continuidad de la actividad profesional.

Cuando hablamos de conservar el valor para la empresa estamos introduciendo un concepto vital para un abogado: la confidencialidad. La disfunción de esta característica provoca la pérdida de la utilidad estratégica que pudiera tener para el abogado, dado que ese valor es esencial en tanto en cuanto la información sea conocida únicamente por las personas de la organización o de fuera de la organización que la requieren y su contenido no se difunde ni total ni parcialmente de forma descontrolada o desautorizada. ¡Qué hacer si nuestra estrategia procesal cae en manos no deseadas!

Al indicar que nuestra documentación debe mantenerse inalterable en su contenido nos referimos, en este caso, al concepto de integridad. Cualquier cambio o alteración, ya sea por un uso fraudulento o no autorizado, o por un tratamiento incorrecto, originado por una negligencia o imprudencia o por un simple accidente, puede provocar modificaciones sustanciales en su contenido y por tanto en la efectividad que tiene para la actividad y para la empresa. Sólo el hecho de haber desaparecido una simple frase de un escrito por no disponer de la última corrección de un documento puede resultar fatal para la pretendida resolución de un asunto.

Finalmente, ser accesible en cualquier momento y lugar en que se necesite nos lleva a la idea de disponibilidad. Y disponibilidad se traduce en que la información esté donde debe estar y cuando debe estar, y obtenida con la celeridad necesaria, y además facilitada sin problemas a quien la requiera y disponga de permisos suficientes.

Ya nos habremos dado cuenta de que la seguridad de la información reside en el CID (Confidencialidad, Integridad y Disponibilidad). Así pues, como si de una reconquista se tratara, la confidencialidad, la integridad y la disponibilidad de la información son las bases para el correcto y óptimo funcionamiento de cualquier organización y, con mayor relevancia, de un despacho de abogados. Es obvio.

Por ello disponer de un sistema de gestión de la seguridad de la información (SGSI) perfectamente implantado e integrado en la organización y además certificado es prácticamente una obligación, porque el mundo y nuestro entorno (y un abogado lo sabe bien) está lleno de amenazas y peligros, provenientes de personas, máquinas y organizaciones, que ponen a prueba nuestras vulnerabilidades, las vulnerabilidades de nuestro sistema de información.

Un SGSI basado en normativas UNE-ISO 27001 nos facilita un marco de actuación estudiado y óptimamente diseñado para poder evitar, mediante un conjunto de herramientas e instrumentos, la exposición a los riesgos de no poder cumplir con los requisitos del CID.

De esta manera y, con la debida ayuda, es posible implantar precisos mecanismos para proteger nuestra valiosa información de negocio. A modo de ejemplo, no es algo insignificante disponer de forma natural de procedimientos como:

  • Política de identificación de riesgos y vulnerabilidades, incluyendo tratamiento y respuesta ante impactos
  • Estrategia de copias de seguridad y de rápida restauración ante pérdidas ocasionales.
  • Control de acceso lógico mediante perfiles, usuarios y política potente de contraseñas
  • Gestión de incidentes de seguridad
  • Control de configuración y versionado de la documentación
  • Proceso de destrucción efectiva de información obsoleta o innecesaria
  • Procedimiento de monitorización y evaluación de actividades no deseadas o autorizadas
  • Control de la información fuera de los límites físicos de la organización, incluidos proveedores externos
  • Alineación de todos los elementos tecnológicos a las políticas de seguridad (uso, acceso, actualización, protección, etc.)
  • Procedimiento seguro de extinción de contratos laborales o mercantiles

Pensar que a nosotros nunca nos va a pasar algo que atente contra la seguridad de nuestra información no es una opción inteligente. Y además a la larga será más costosa. Lo juro.

Deja un comentario

Tu dirección de correo electrónico no será publicada.