Ejercer la abogacía de manera segura: no más archivos adjuntos

Los mensajes de fraudes electrónicos (phishing) siguen apareciendo en nuestra bandeja de entrada de correo electrónico (si es que escaparon del filtro antispam y antivirus). Y Sony Pictures demostró demasiado bien cuánta información confidencial y dañina podría filtrarse con un fallo de seguridad. Con una menor difusión, más de dos meses después, los archivos perdidos y los servidores apagados en Sony Pictures siguen siendo inaccesibles, mientras su equipo tecnológico reconstruye y restaura sus sistemas.

El 31 de diciembre de 2014, el Colegio de Abogados de la Columbia Británica advirtió sobre el daño provocado por el ransomware a los archivos de un bufete de abogados.

¿De qué manera podemos responder los abogados? Una forma podría ser dejar de adjuntar documentos en los mensajes de correo electrónico inseguros. En vez de ello, puede lograr proteger la información confidencial y delicada incluyendo un vínculo en un correo electrónico a los documentos seguros, ubicados en sitios seguros. Cuando los mensajes de correo electrónico contienen vínculos a documentos seguros en sitios seguros, logramos proteger la información confidencial y sensible.

Si nuestros clientes pueden hacerlo, ¿por qué nosotros no? Nuestros clientes, en especial los que prestan servicios médicos y financieros, ya trabajan de esta forma. ¿No deberían sus abogados hacer lo mismo? Y si esos abogados lo hacen, ¿por qué no todos?

Los tipos malos no son razonables

Los abogados elaboramos normas de obligaciones y responsabilidad profesional con base en lo razonable. La regla 1.6 (c) de las Reglas modelo de conducta profesional del Colegio Estadounidense de Abogados establece lo siguiente: “Un abogado deberá realizar todos los esfuerzos razonables por evitar la divulgación no autorizada o accidental de la información relacionada con la representación de un cliente o el acceso no autorizado a la misma.” (énfasis añadido.)

Delincuentes cibernéticos,  ¿razonables? Difícilmente. Destrucción de datos, extorsión, exposición —todo ocurrió durante el ataque cibernético que sufrió Sony Pictures. Wired Magazine incluyó estos ejemplos en The Biggest Security Threats We’ll Face in 2015 (Las mayores amenazas de seguridad que enfrentaremos en 2015). Tal vez se requieran ideas radicales para los documentos y la información relacionados con el ejercicio de la abogacía.

El correo electrónico transmite los documentos y la información fuera del firewall, la pared de protección de la tecnología de un bufete de abogados. Dentro de los bufetes de abogados protegemos los documentos, en sistemas seguros, restringiendo a menudo el acceso en sistemas de administración de documentos y otros tipos de sistemas para quienes están autorizados a trabajar en ciertos asuntos. Una vez enviados fuera del firewall, los mensajes de correo electrónico y sus archivos adjuntos pierden estas protecciones, delegando su seguridad al cuidado y la responsabilidad del emisor y el destinatario, y a los sistemas que transmiten y reciben los mensajes.

Fuera de nuestros entornos protegidos, los mensajes de correo electrónico se pueden copiar, redistribuir y exponer a través de software malicioso y otro tipo de código. Los delincuentes cibernéticos pueden infectar (y lo han hecho) la transmisión de correos electrónicos y demás datos, mediante el secuestro de puntos de accesos inalámbricos y  enrutadores domésticos. Sin embargo, la protección a nivel de documento, como la administración de los derechos de la información, podría ayudar a proteger el contenido sin importar a dónde vaya. Hablaremos más sobre esto después.

Qué se necesita

Necesitamos herramientas que puedan capturar los mensajes de correo electrónico salientes con archivos adjuntos, cifrar y depositar esos adjuntos en una ubicación de almacenamiento segura y que pueda compartirse (llamémosle repositorio), y convertir el archivo adjunto en un vínculo. El destinatario debe contar de antemano con credenciales para el repositorio (identificación de usuario y contraseña) o el vínculo puede permitir al destinatario tener acceso al repositorio, en donde solo podrá acceder al documento vinculado. Dentro del repositorio, los mismos documentos deberían estar cifrados. El repositorio también debería ofrecer la administración de derechos de información, para que se pueda denegar en cualquier momento el acceso a los documentos, ya sea dentro o fuera del repositorio.

¿Demasiado difícil? Tal vez demasiado fácil

Quizás nos hemos vuelto adictos a lo “fácil”. Muchos programas hacen que sea sencillo adjuntar documentos a los mensajes de correo electrónico. Nuestros sistemas de escritura, edición, almacenamiento y correo electrónico nos invitan a adjuntar archivos a nuestros mensajes. ¿Qué hará cambiar la forma en que nosotros (y nuestros colegas) trabajamos? Los titulares (y tal vez incluso estas entradas en el blog) aumentan el nivel de miedo. Los nuevos procedimientos de trabajo deben estar motivados por metas positivas (profesionalismo, servicio al cliente) al mismo tiempo que por el miedo y el riesgo. Reconozcamos que cambiar los hábitos de trabajo, así como los hábitos de vida, puede ser algo muy difícil. Podemos aprender de la asesoría de los expertos en salud, “…cualquier esfuerzo que usted realice en la dirección correcta vale la pena, incluso aunque haya contratiempos o recaídas de vez en cuando.”

Y sin embargo, nuestros clientes ya viven según estas reglas

“No más archivos adjuntos” es una regla que rige el trabajo de nuestros clientes en las industrias de los servicios financieros y médicos. Para quienes están en los servicios financieros, se habilitó el cumplimiento con las limitaciones de divulgación en FINRA a través de sistemas de correo electrónicos seguros, en donde los documentos residen en sus servidores y el correo electrónico solo contiene vínculos. Los clientes deben establecer y confirmar sus cuentas en línea, y pueden abrir los documentos vinculados solo dentro del sistema seguro. Se hace un seguimiento del acceso, uso y descarga de los documentos. La misma disciplina se aplica a los documentos compartidos por el mundo médico regido por la ley HIPAA.

Ya sabemos cómo hacerlo

Si nuestros clientes lo requieren, aprendemos a usar vínculos a los documentos en vez de archivos adjuntos en los correos electrónicos. Trabajamos en entornos de documentos controlados, en donde realizamos investigaciones de diligencia debida en salas de negociación. Algunos de nosotros enviamos vínculos a los documentos en vez de enviar los mismos documentos dentro de nuestras prácticas, para mantener la integridad de las versiones de un documento almacenado y controlado por un sistema de administración de documentos.

Debemos estar adelantados y no retrasados en cuestiones de seguridad

Algunos de nuestros colegas dedican su práctica a la protección de la seguridad de los datos de sus clientes. Otros ayudan a defender a los clientes de las consecuencias y responsabilidades de los fallos de seguridad. A menudo los artículos que aparecen sobre seguridad cibernética y los bufetes jurídicos promueven las prácticas de seguridad expandidas  (incluso nuevas) en los bufetes de abogados. Si evaluáramos nuestras prácticas con base en los estándares que aconsejamos a nuestros clientes, ¿pasaríamos la prueba? Podemos usar sus lecciones para proteger la seguridad de nuestro trabajo y la información de nuestros clientes en nuestros bufetes.

Preguntas para la próxima: equilibrar los riesgos, desenmarañar la confusión

¿Debemos convertir todos los adjuntos de correo electrónico en un vínculo? Si no es así, ¿cómo debemos elegir? Si nuestro bufete usa un sistema de administración de documentos interno, ¿cuándo debemos usarlo y cuándo debemos usar un repositorio seguro externo?¿Será muy confuso administrar ambos?

Esta información es más que suficiente para tenerla en cuenta en la siguiente publicación.

 

Este blog y su contenido no deben considerarse asesoramiento legal. Debe consultar un abogado profesional para obtener asesoría individual con respecto a su situación específica. La información en este blog no sustituye el asesoramiento legal.