Juan Carlos Fernández. CEO & Founder de Tecnogados. www.tecnogadoscom
En estos tiempos de teletrabajo, que como ya he dicho en algún otro artículo, no es lo mismo que trabajo en remoto, donde este último, es el Sistema habitual de organizaciones descentralizadas, en las cuales se tiene definida, de antemano, los sistemas y canales de comunicación, los procesos de documentación y las metodologías de trabajo a implementar como pueden ser agile y scrum.
Sin embargo, estos tiempos convulsos, están sirviendo para que organizaciones, profesionales y también abogados, se hayan visto obligados a la digitalización de sus modelos de negocio y a la gestión remota entre compañeros y miembros del equipo.
Uno de los principales problemas o miedos que pueden surgir a los profesionales del derecho es como mantener a salvo la seguridad de la información digital y la privacidad de la misma. Y sobre esto vamos a fundamentar el presente artículo.
Lo primero, que deberíamos tener en cuenta es mantener actualizado el registro de actividades de nuestro programa de cumplimiento normativo, es decir, vamos a identificar todos esos accesos y/o descarga de documentación con datos personales o información confidencial de los despachos.
Donde se deberá identificar, por un lado, que información ha sido entregada a cada profesional, para poder desarrollar su jornada laboral desde su domicilio y, por otra parte, cuales han sido las medidas de seguridad que el responsable del fichero (RT) ha puesto para mantener la confidencialidad y la integridad de la información.
Para cumplir la normativa en materia de privacidad, el RT debería identificar en el libro de registros de actividades que información se entrega al profesional e identificar el dispositivo donde ha sido almacenada, por ejemplo número de serie del USB, o si ha sido enviada por correo electrónico o enlace de descarga, indicar el medio así como reflejar la fecha y la hora, indicando que esa información que se facilita, se hace de forma cifrada y con una clave de seguridad robusta, y que la contraseña se pone en conocimiento del destinatario por un canal alternativo de comunicación.
La implementación de estas medidas pondría a salvo la seguridad de la información e incluso, en caso de perdida o robo del dispositivo USB, aun siendo una brecha de seguridad, no requeriría comunicación a la Agencia Española de Protección de Datos, aunque sí la documentación de la brecha de la seguridad y su constancia en el libro del registro de actividades.
El poner este plus de seguridad, con relación al cifrado de la información, puede hacerse a coste cero y con muy poco esfuerzo, es tan simple como instalar el programa Veracrypt o similares, el cual permite cifrar un tanto un dispositivo completo, como un documento o incluso un volumen de información determinada, siendo dicha información sólo accesible con su correspondiente clave.
En este sentido, recomiendo no cifrar grandes volúmenes de información ya que a mayor volumen más tiempo se tarda en montar y desmontar las unidades, y en definitiva los documentos y los datos ocupan espacios reducidos.
La segunda duda que podría darse a los profesionales de la abogacía sería como mantener la integridad de la información, es decir, que el cliente tenga la certeza que el documento recibido es el mismo en todos sus aspectos que el enviado.
Para esto vamos a dar dos soluciones fácilmente de aplicar, la primera, y la que más me gusta es la de implementar la firma electrónica en todos de nuestros documentos, por lo que nadie podría suplantar su contenido por el camino, ya que el cliente necesitaría ver la firma digital del fichero para garantizar su autenticidad, de esta manera podemos evitar ataques de suplantación del CEO, donde lo que el ciberdelincuente busca es la suplantación de los datos de la cuenta bancaria y así hacerse con el importe de la transferencia que corresponden al pago del servicio.
Otra solución fácilmente aplicable es obtener la firma HASH de los documentos, la cual nos permite garantizar la integridad de su información. Este sistema es muy eficaz para aquellos documentos distribuidos y compartidos para un volumen grande de destinatarios.
Con este proceso todos los usuarios sabrán que dicha información permanece integra, si calculan su código HASH y este no ha variado. Para llevar a cabo dicho cálculo no hay que hacer otra cosa que instalarse el programa HashMyFiles o similares, donde arrastrando el documento a su framework, obtenemos de forma automática una cadena de caracteres alfanuméricos que es en realidad la firma HASH, y nos garantiza que a misma información mismo resultado.
Este sistema también nos puede servir para calcular la integridad de nuestro repositorio telemático, nuestras bases datos, documentos excel, …; ya que la herramienta permite arrastrar un grupo de ficheros.
Y ya sólo nos quedaría llevar un control en nuestro programa de gestor de contenido, añadiendo una nueva columna a la tabla donde se almacenen los números HASH de os ficheros, lo que nos garantizará la mismisidad de la información y la correcta cadena de custodia de nuestra información.
Por @LuisjaSanchez, Periodista Jurídico.