Nell’ambito della trasformazione digitale degli studi professionali, il tema della cybersecurity per studi legali è sempre d’attualità. In questo settore, la protezione del dato ha un peso addirittura superiore rispetto al mondo aziendale. I grandi studi legali, infatti, custodiscono informazioni strategiche e commerciali per una moltitudine di clienti e la loro esposizione determina conseguenze disastrose in termini economici, reputazionali e di conformità con i numerosi impianti normativi (es. GDPR) presenti in ogni parte del globo. , GDPR) presenti in ogni parte del globo.
Rispetto agli studi legali, le aziende si sono mosse in anticipo sul fronte della cybersecurity, motivo per cui molti attacchi recenti hanno colpito le più grandi law firm del mondo: il caso di Grubman Shire Meiselas & Sacks, lo studio legale che tutela gli interessi di artisti del calibro di Bruce Springsteen, Madonna, AC/DC, Sting, Elton John e Lady Gaga, fece il giro del mondo a metà 2020, tra annunci, smentite e riscatti (parzialmente) pagati.
Il fatto che la cybersecurity per studi legali sia un tema in forte evoluzione è peraltro confermato dall’American Bar Association, che in occasione di una survey dedicata alle small firm rilevò security breach avvenuti nel 29% dei casi, incerti in un ulteriore 21% e molto probabili nel 42% degli studi legali da 10-49 avvocati.
Nell’era della digitalizzazione documentale e dei processi, l’attenzione alla cybersecurity per studi legali deve essere massima. Ci si può dunque domandare come intraprendere un percorso virtuoso finalizzato alla protezione dei propri asset di valore, un percorso che va certamente personalizzato e strutturato in funzione del livello di security posture iniziale.
A prescindere dalla dimensione dello studio, dal grado di digitalizzazione e dall’esposizione ai rischi cyber, la prima attività è sempre un cybersecurity assessment, per il quale gli studi si dovrebbero affidare a partner con un’apposita specializzazione (ed esperienza) in sicurezza informatica. L’assessment è fondamentale per evidenziare tutti gli asset da proteggere, il livello di consapevolezza (awareness) da parte del personale, l’efficacia degli strumenti di protezione in-place e tutte le vulnerabilità a livello di tool e processi.
L’esito dell’assessment è solitamente il disegno di un percorso, assistito da appositi framework di comprovata efficacia, volto a perfezionare la security posture a livello sistemico. Senza pretese di esaustività, alcuni aspetti da affrontare riguardano:
1. Definizione e implementazione di policy di data security, comprensive di misure tecniche come l’encryption dei dati (in transito e at-rest) e l’utilizzo di protocolli SSL, nonché la definizione di policy di accesso ai dati basate sul principio del privilegio minimo (si ha accesso unicamente ai dati necessari).
Come anticipato, la complessità del percorso e le forti esigenze di personalizzazione suggeriscono agli studi legali di affidarsi a partner specializzati, che oltre alla protezione degli asset possano accompagnarli efficacemente nell’intero percorso di trasformazione digitale. La cybersecurity degli studi legali è infatti un bilanciamento tra le naturali esigenze di protezione e la capacità di essere reattivi e agili, di sviluppare nuovi servizi e di operare con efficacia in un contesto in cui tutti i clienti diventano sempre più smart.