¿Qué
pasaría si en el despacho, en un asunto
importante, un documento trascendente ha
sido observado o consultado por alguien no
deseado o inapropiado? ¿Qué pasaría si un
documento ha sido enviado al juzgado no
siendo la copia correcta porque alguien la
modificó sin control o porque no era la
última versión? ¿Qué pasaría si se precisa
el envío urgente de un determinado documento
del cual depende la resolución ganadora del
caso y no está accesible con la debida
celeridad?
La
información —léase expedientes de los
clientes (demandas, recursos, escritos,
informes, etc.), bases de datos históricas
de jurisprudencia, documentación de análisis
y tantos otros elementos documentales— es el
activo básico del negocio de un abogado, es
la materia prima de su actividad
profesional. Una información que, en un
momento dado, se ha perdido, no es fiable o
completa, o simplemente no la encontramos,
aunque sabemos que está (en algún sitio), va
a perjudicar seriamente la salud de nuestro
bufete.
La
seguridad de la información es la materia
que define y aporta aquellas herramientas y
procedimientos que nos van a permitir
proteger y salvaguardar dicha información
con el objetivo de conservar su valor para
la empresa, de mantener inalterable su
contenido, y, además, de ser accesible en
cualquier momento y lugar en que se
necesite.
Esta
simple declaración de intenciones introduce
las tres características básicas de la
información que debemos cumplir para
garantizar su seguridad, o dicho de otro
modo, para gestionar adecuadamente la
continuidad de la actividad profesional.
Cuando
hablamos de conservar el valor para la
empresa estamos introduciendo un concepto
vital para un abogado: la confidencialidad.
La disfunción de esta característica provoca
la pérdida de la utilidad estratégica que
pudiera tener para el abogado, dado que ese
valor es esencial en tanto en cuanto la
información sea conocida únicamente por las
personas de la organización o de fuera de la
organización que la requieren y su contenido
no se difunde ni total ni parcialmente de
forma descontrolada o desautorizada. ¡Qué
hacer si nuestra estrategia procesal cae en
manos no deseadas!
Al
indicar que nuestra documentación debe
mantenerse inalterable en su contenido nos
referimos, en este caso, al concepto de
integridad. Cualquier cambio o alteración,
ya sea por un uso fraudulento o no
autorizado, o por un tratamiento incorrecto,
originado por una negligencia o imprudencia
o por un simple accidente, puede provocar
modificaciones sustanciales en su contenido
y por tanto en la efectividad que tiene para
la actividad y para la empresa. Sólo el
hecho de haber desaparecido una simple frase
de un escrito por no disponer de la última
corrección de un documento puede resultar
fatal para la pretendida resolución de un
asunto.
Finalmente, ser accesible en cualquier
momento y lugar en que se necesite nos lleva
a la idea de disponibilidad. Y
disponibilidad se traduce en que la
información esté donde debe estar y cuando
debe estar, y obtenida con la celeridad
necesaria, y además facilitada sin problemas
a quien la requiera y disponga de permisos
suficientes.
Ya nos
habremos dado cuenta de que la seguridad de
la información reside en el CID
(Confidencialidad, Integridad y
Disponibilidad). Así pues, como si de una
reconquista se tratara, la confidencialidad,
la integridad y la disponibilidad de la
información son las bases para el correcto y
óptimo funcionamiento de cualquier
organización y, con mayor relevancia, de un
despacho de abogados. Es obvio.
Por
ello disponer de un sistema de gestión de la
seguridad de la información (SGSI)
perfectamente implantado e integrado en la
organización y además certificado es
prácticamente una obligación, porque el
mundo y nuestro entorno (y un abogado lo
sabe bien) está lleno de amenazas y
peligros, provenientes de personas, máquinas
y organizaciones, que ponen a prueba
nuestras vulnerabilidades, las
vulnerabilidades de nuestro sistema de
información.
Un SGSI
basado en normativas UNE-ISO 27001 nos
facilita un marco de actuación estudiado y
óptimamente diseñado para poder evitar,
mediante un conjunto de herramientas e
instrumentos, la exposición a los riesgos de
no poder cumplir con los requisitos del CID.
De esta
manera y, con la debida ayuda, es posible
implantar precisos mecanismos para proteger
nuestra valiosa información de negocio. A
modo de ejemplo, no es algo insignificante
disponer de forma natural de procedimientos
como:
·
Política de identificación de riesgos y
vulnerabilidades, incluyendo tratamiento y
respuesta ante impactos
·
Estrategia de copias de seguridad y de
rápida restauración ante pérdidas
ocasionales.
·
Control de acceso lógico mediante perfiles,
usuarios y política potente de contraseñas
·
Gestión de incidentes de seguridad
·
Control de configuración y versionado de la
documentación
·
Proceso de destrucción efectiva de
información obsoleta o innecesaria
·
Procedimiento de monitorización y evaluación
de actividades no deseadas o autorizadas
·
Control de la información fuera de los
límites físicos de la organización,
incluidos proveedores externos
·
Alineación de todos los elementos
tecnológicos a las políticas de seguridad
(uso, acceso, actualización, protección,
etc.)
·
Procedimiento seguro de extinción de
contratos laborales o mercantiles
Pensar
que a nosotros nunca nos va a pasar algo que
atente contra la seguridad de nuestra
información no es una opción inteligente. Y
además a la larga será más costosa. Lo juro. |