Sponsored Story

Cyber security negli studi legali: ecco perché serve un approccio olistico

Gli studi legali devono garantire la confidenzialità delle informazioni che custodiscono. La digitalizzazione pone una serie di sfide cui solo un approccio end-to-end può dare risposte concrete. L’errore da non fare? Sottovalutare il rischio. Ne parliamo con Matteo Graziano, Sales Manager di WIIT

Pubblicato il 26 Giu 2023

Immagine di Thapana_Studio da Shutterstock

La trasformazione digitale degli studi legali procede anno dopo anno, trainata dalla continua evoluzione delle tecnologie digitali che agevolano i professionisti del settore, e dalle nuove dinamiche di lavoro e di relazione con i clienti accelerate dalla pandemia.

Le ultime rilevazioni dell’Osservatorio del Politecnico di Milano hanno disegnato un quadro piuttosto chiaro in tal senso: dopo anni di crescita degli investimenti (+2,9% nel 2021), si stima che nel 2022 l’intero comparto degli studi professionali si muova su un +0,2%, a dimostrazione di una reazione sostanzialmente tattica alle dinamiche della pandemia. Emerge però una marcata differenza tra le varie dimensioni degli studi professionali: se è vero che le grandi realtà possono contare su una sostanziale digitalizzazione dei processi core e di back office, l’11% delle micro-realtà non ha investito nulla in tecnologie digitali.

In un contesto fortemente dinamico come quello della pratica legale, il digitale resta una grande opportunità per innovare le dinamiche e le modalità di lavoro. Nonostante molti studi si siano mossi in modo frammentario, è indubbio che le modalità tradizionali, basate su procedure manuali e una fortissima assistenza umana, stiano gradualmente lasciando spazio ai benefici del digitale, che vanno dall’ottimizzazione dei processi alla rapidità di interazione con tutti i soggetti coinvolti, fino all’automazione alimentata da tecniche di AI (Intelligenza Artificiale, ad esempio per rilevare velocemente modifiche contrattuali, clausole mancanti ecc.).

Attenzione alle minacce cyber

La digitalizzazione innesca però il tema della cyber security. E mai come in quest’ambito, laddove i professionisti agiscono a tutela di brevetti, marchi, e contribuiscono a fusioni e acquisizioni di rilevanza strategica, garantire la confidenzialità dell’informazione è vitale. L’effetto domino causato da un data breach può avere conseguenze devastanti sia in termini economici che reputazionali.

Al contrario, ragionando in termini positivi, uno studio che può vantare certificazioni internazionali, un’impeccabile “security posture” e una radicata cultura della sicurezza non solo opera in serenità, ma può sfruttare tale caratteristica ai fini della differenziazione competitiva.

Matteo Graziano, Sales Manager di WIIT, ci ha aiutati a comprendere il fenomeno, a capire quanto gli studi siano sensibili al tema della cyber security, come si relazionino ad esso e, soprattutto, quale sia l’approccio giusto in un contesto in cui le minacce crescono numericamente e in pericolosità.

Il manager WIIT ci conferma che la sensibilità nei confronti della sicurezza è elevata, essendo ben note le conseguenze. L’approccio, però, non necessariamente è quello corretto. Se qualche studio, soprattutto quelli più grandi e strutturati, può eventualmente peccare su elementi molto specifici, come ad esempio il presidio costante del Dark Web, altri, solitamente di dimensioni medie o piccole, possono sottovalutare il rischio, che di fatto è l’errore più grande che si possa commettere.

«Il rischio è che gli studi adottino un approccio frammentato, settoriale alla sicurezza cyber. Ovvero, che si concentrino su alcune tecnologie o parti di processo credendo che siano sufficienti a garantire una protezione a 360 gradi. Magari, invece, in quello stesso contesto i collaboratori si muovono in terreni rischiosi, perché sono poco avveduti o non rispettano le policy, esponendo tutta la struttura a rischi importanti».

Come adottare un approccio olistico

L’approccio a silos alla sicurezza non paga. La vera protezione, la vera confidenzialità delle informazioni parte dunque dall’approccio giusto, che è quello sistemico, olistico.

Il primo obiettivo è la consapevolezza: consapevolezza dello stato di esposizione alle minacce e del grado di rischio in diversi ambiti. Non va valutata solo la copertura tecnologica, ma eventuali falle nei processi, l’awareness delle persone, le competenze disponibili in azienda, le procedure in caso di attacco e molto altro.

WIIT accompagna le aziende in tutto questo percorso, miscelando capacità di indirizzo, competenze specialistiche, framework di riconosciuta efficacia e asset proprietari: «L’approccio olistico parte dall’evidenziare le lacune e le aree scoperte.

Segue la definizione di una roadmap, da realizzare insieme a professionisti che possano indirizzare l’azienda verso gli interventi tecnologici, procedurali e di competenza fondamentali per la mitigazione del rischio». Bisogna comprendere se lo studio è in grado di percorrere il cammino da sé o ha bisogno di un partner specializzato, e vanno poi definite le regole di governance del processo, pena perderne il controllo.

Solo a questo punto è possibile definire la piattaforma tecnologica a difesa dell’infrastruttura e di tutti i dispositivi adottati dallo studio: è qui che entrano in gioco espressioni come Security Operations Center (SOC), Security Information and Event Management (SIEM) ed Endpoint Detection and Response (EDR).

Non da ultimo, bisogna tenere a mente che il percorso non ha mai una fine, perché il tema stesso della sicurezza evolve con una rapidità straordinaria.

Awareness, un solido pilastro della sicurezza

La security awareness resta un pilastro dell’approccio olistico, a maggior ragione in un ambiente dinamico come quello degli studi legali. Certamente, le agende sempre molto fitte dei professionisti sconsigliano la formazione tradizionale.

Al tempo stesso, l’awareness è il fattore più importante ai fini dello sviluppo della cultura della sicurezza e, complici le naturali vulnerabilità umane, va affrontata in ogni caso. È consigliabile dunque adottare un modello basato su formazione on-demand, prevedere periodicamente attacchi simulati, applicare tecniche di gamification, video-pillole e tutto ciò che sia, al tempo stesso, molto incisivo e poco invasivo.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4