1. Tomar conciencia de los riesgos

   En primer lugar, es de vital importancia que la dirección del despacho tome conciencia de los riesgos a los que les expone no gestionar (o mal gestionar) la ciberseguridad. Hay que dedicar recursos para minimizar los riesgos informáticos.

2. Realizar una evaluación de riesgos

   Antes de tomar decisiones respecto a procedimientos o herramientas a implementar, hay que realizar una evaluación de los riesgos. Para ello, lo recomendable es contratar a profesionales externos para que realicen una auditoría de riesgos informáticos. 

   Cuando se tengan los resultados resultará más fácil definir qué medidas habría que implementar y cuáles son prioritarias.

3. Revisar las políticas de seguridad
   

   Una vez realizada esa auditoría externa, deben revisarse las políticas y procedimientos de seguridad que ya tenga el despacho. ¿Qué se está haciendo bien, qué se debería mejorar y qué nuevas medidas será necesario implementar, dados los resultados de la auditoría de riesgos?

4. Seleccionar los programas de seguridad

   Además de revisar políticas y procedimientos de seguridad, deben revisarse también las herramientas informáticas que se están utilizando: sistemas operativos, navegadores y antivirus, etc.

   Por otro lado, las últimas versiones de todas las herramientas y programas de software deberían estar instaladas, aunque también hay que plantearse si estas soluciones son las que conviene utilizar al despacho.

6. Controlar el acceso a la información

   Es fundamental establecer una política de control de accesos a la información mediante el uso de contraseñas seguras. Idealmente, el bufete debería contar con sistemas de acceso que impliquen una doble o triple autenticación del usuario.

7. Implementar una política de copias de seguridad

   También es importante además contar con una política de copias de seguridad que garantice que se realizan con la recurrencia adecuada, y que se almacenan en servidores seguros.

8. Limitar el uso de dispositivos externos

   Para minimizar el riesgo de sufrir un ciberataque hay que limitar el uso de USBs, ya que este tipo de dispositivos son a menudo la puerta de entrada de los hackers a los sistemas informáticos de las empresas.
   
   Si, por metodología de trabajo, resulta muy difícil limitar el uso de estos dispositivos, al menos hay que diseñar políticas de actuación en caso de que ocurra un ciberataque. Sobre todo si la empresa sigue la tendencia llamada BYOD - Bring Your Own Device - que también sería aplicable al uso de los teléfonos móviles personales para consultar o acceder a ficheros de la empresa.
   

9. Usar soluciones seguras para compartir datos

   Resulta recomendable limitar el acceso de usuarios a la información más sensible y evitar su envío por correo electrónico. Para compartir archivos, es mejor utilizar soluciones en la nube que usen estrictos protocolos de seguridad, bien mediante encriptación o recurriendo de nuevo a la autenticación multifactor.

10.  Revocar los derechos de acceso a ex-empleados

    Cualquier empresa debe ser muy diligente en la revocación de los derechos de acceso de ex-empleados, en especial en situaciones de despido disciplinario o de separación no amistosa.

11. Formación continua en prevención de riesgos digitales
    

    Y, por último, debe apostarse por la formación continua de la plantilla sobre los riesgos de la ciberdelincuencia y los procedimientos para evitarla. Para ello, pueden hacerse simulaciones sobre cómo identificar y sortear amenazas como la del spear-phishing, en la que la simple apertura de un email puede provocar una grave brecha de seguridad.

Obtenido de: https://blog.signaturit.com/es/10-trucos-prevenir-ciberataque-en-despacho-abogados