Nell’ambito della trasformazione digitale degli studi professionali, il tema della cybersecurity per studi legali è sempre d’attualità. In questo settore, la protezione del dato ha un peso addirittura superiore rispetto al mondo aziendale. I grandi studi legali, infatti, custodiscono informazioni strategiche e commerciali per una moltitudine di clienti e la loro esposizione determina conseguenze disastrose in termini economici, reputazionali e di conformità con i numerosi impianti normativi (es. GDPR) presenti in ogni parte del globo. , GDPR) presenti in ogni parte del globo.
Cybersecurity per studi legali: ancora molta strada da percorrere
Rispetto agli studi legali, le aziende si sono mosse in anticipo sul fronte della cybersecurity, motivo per cui molti attacchi recenti hanno colpito le più grandi law firm del mondo: il caso di Grubman Shire Meiselas & Sacks, lo studio legale che tutela gli interessi di artisti del calibro di Bruce Springsteen, Madonna, AC/DC, Sting, Elton John e Lady Gaga, fece il giro del mondo a metà 2020, tra annunci, smentite e riscatti (parzialmente) pagati.
Il fatto che la cybersecurity per studi legali sia un tema in forte evoluzione è peraltro confermato dall’American Bar Association, che in occasione di una survey dedicata alle small firm rilevò security breach avvenuti nel 29% dei casi, incerti in un ulteriore 21% e molto probabili nel 42% degli studi legali da 10-49 avvocati.
6 step per un’ottima security posture
Nell’era della digitalizzazione documentale e dei processi, l’attenzione alla cybersecurity per studi legali deve essere massima. Ci si può dunque domandare come intraprendere un percorso virtuoso finalizzato alla protezione dei propri asset di valore, un percorso che va certamente personalizzato e strutturato in funzione del livello di security posture iniziale.
A prescindere dalla dimensione dello studio, dal grado di digitalizzazione e dall’esposizione ai rischi cyber, la prima attività è sempre un cybersecurity assessment, per il quale gli studi si dovrebbero affidare a partner con un’apposita specializzazione (ed esperienza) in sicurezza informatica. L’assessment è fondamentale per evidenziare tutti gli asset da proteggere, il livello di consapevolezza (awareness) da parte del personale, l’efficacia degli strumenti di protezione in-place e tutte le vulnerabilità a livello di tool e processi.
L’esito dell’assessment è solitamente il disegno di un percorso, assistito da appositi framework di comprovata efficacia, volto a perfezionare la security posture a livello sistemico. Senza pretese di esaustività, alcuni aspetti da affrontare riguardano:
1. Definizione e implementazione di policy di data security, comprensive di misure tecniche come l’encryption dei dati (in transito e at-rest) e l’utilizzo di protocolli SSL, nonché la definizione di policy di accesso ai dati basate sul principio del privilegio minimo (si ha accesso unicamente ai dati necessari).
2. Policy e strumenti di protezione degli endpoint. Oggi, molti studi legali lavorano in smart working, e questo li espone a serie minacce sul fronte cyber: accesso ai sistemi aziendali da reti non sicure, uso di terminali personali non aggiornati, condivisione file tramite strumenti non autorizzati e molto altro. Tutto ciò va gestito con priorità, definendo modelli di utilizzo degli endpoint (es. BYOD - Bring Your Own Device) e dotandosi di appositi strumenti di endpoint protection, come i sistemi EDR (Endpoint Protection & Response).
3. Hardening dei sistemi. È una categoria estremamente ampia, ma imprescindibile in un percorso di cybersecurity per studi legali.
Vi rientra la protezione delle reti, dei server, dei sistemi operativi, degli apparati hardware e di tutte le applicazioni. A tal fine, è fondamentale eseguire dei penetration test regolari, con l’ausilio di player specializzati, nonché acquisire e valutare costantemente i log dei sistemi per rilevare eventuali attività sospette.
4. Business Continuity e Disaster Recovery. Per gli studi legali, così come per le aziende, va definito e implementato un piano di business continuity contro ogni evenienza, nonché una strategia di disaster recovery per ripristinare l’accesso ai propri dati in circostanze avverse (es. nel caso di un cryptolocker). Il tutto può confluire in un Incident Response Plan articolato e completo.
5. Adottare misure di protezione degli accessi. Parrebbe scontato, ma usare la multi-factor authentication nei sistemi che la supportano, passare all’autenticazione biometrica o, più semplicemente, a password complesse (da gestire con appositi password manager) sono passaggi determinanti per la cybersecurity degli studi legali.
6. Promuovere la security awareness. I dipendenti sono la prima linea di difesa e non devono trasformarsi nella principale vulnerabilità dello studio legale. Percorsi regolari di cybersecurity awareness , supportati da appositi tool, strategie e simulazioni, contraddistinguono gli studi più avanzati e sicuri del pianeta.
Come anticipato, la complessità del percorso e le forti esigenze di personalizzazione suggeriscono agli studi legali di affidarsi a partner specializzati, che oltre alla protezione degli asset possano accompagnarli efficacemente nell’intero percorso di trasformazione digitale. La cybersecurity degli studi legali è infatti un bilanciamento tra le naturali esigenze di protezione e la capacità di essere reattivi e agili, di sviluppare nuovi servizi e di operare con efficacia in un contesto in cui tutti i clienti diventano sempre più smart.
