Puntos esenciales de ciberseguridad para las empresas de tecnología jurídica

Según IBM y Ponemon, el coste medio de una violación de datos asciende a la asombrosa cifra de ¡4,35 millones de dólares! No es de extrañar que las empresas sientan la necesidad de invertir fuertemente en ciberseguridad. Para las empresas de tecnología jurídica, que manejan diariamente una gran cantidad de datos sensibles de clientes, lo que está en juego es aún mayor. Más allá del impacto financiero inmediato, una violación de datos puede causar graves daños a la reputación que a menudo son mucho más difíciles de reparar, por lo que la ciberseguridad es una prioridad para los profesionales del derecho. A medida que evoluciona el mundo digital, las estrategias para proteger la información sensible también deben adaptarse a amenazas cada vez más sofisticadas.

ELTA, la Asociación Europea de Tecnología Jurídica, reunió a algunos de los principales expertos en ciberseguridad de la actualidad en una sala de reuniones digital. Roeland Delrue, cofundador y director de operaciones de Aikido Security, Aidas Kavalis, cofundador y jefe de producto de Amberlo, Wouter Van Respaille, cofundador y director de tecnología de Henchman, y Michiel Denis, jefe de crecimiento de Henchman, compartieron su experiencia y conocimientos sobre cómo crear un marco sólido de ciberseguridad para las empresas de tecnología jurídica.

La creciente importancia de la ciberseguridad

¿Cuáles son las normas básicas de ciberseguridad que debe cumplir toda aplicación de tecnología jurídica y cómo han evolucionado estas normas con las nuevas amenazas? Roeland Delrue, cofundador y director de operaciones de Aikido Security, subraya que el desarrollo de una aplicación de tecnología jurídica segura empieza por el código.

1. Los programadores escriben el código de la aplicación. La primera capa de seguridad consiste en garantizar que el propio código sea seguro.
2. Una vez que el código está listo, suele enviarse en contenedores, que representan la segunda capa que debe escanearse y controlarse.
3. La tercera capa es el entorno de nube donde se despliega la aplicación.

Le sigue la cuarta capa, los dominios (login.com o app.com) a través de los cuales los usuarios acceden a la aplicación.

Cumplimiento y control continuo

Wouter Van Respaille, cofundador y director técnico de Henchman, subrayó la importancia de cumplir normas del sector como ISO 27001 y SOC 2. Estas certificaciones no son meras casillas de verificación, sino indicadores de que un proveedor se toma en serio la seguridad. Estas certificaciones no son meras casillas de verificación, sino indicadores de que un proveedor se toma en serio la seguridad. Señaló que las empresas sin estas certificaciones podrían carecer de los recursos necesarios o del compromiso con la seguridad.

Más allá del cumplimiento, son cruciales la supervisión continua y enfoques creativos como los programas de recompensas por fallos. Estos programas implican a hackers éticos que prueban continuamente el sistema, proporcionando una capa adicional de seguridad más allá de las herramientas de escaneado tradicionales. Van Respaille comparte su enfoque en Henchman: "Aikido escanea continuamente tanto nuestra infraestructura como nuestro código. Además, utilizamos Intigriti para la caza de bugs, lo que implica un colectivo de hackers sociales que sondean y exploran nuestros sistemas de forma creativa. En comparación con las herramientas de escaneado tradicionales, este enfoque es mucho más innovador. También utilizamos Phished para enviar simulaciones de phishing a todos nuestros empleados, concienciándoles sobre el phishing y la seguridad al tiempo que añadimos un toque de gamificación. Como empresa que maneja un flujo incesante de datos confidenciales, es importante contar con estas alianzas en lugar de hacerlo todo nosotros mismos."

Como la ciberseguridad es un asunto complejo, Aidas Kavalis, cofundador y jefe de producto de Amberlo, señala que es aconsejable recurrir a un tercero para evaluar a los proveedores. "Un experto en la materia puede ayudarte a descubrir cosas en las que nunca habrías pensado. Aunque se aplique una norma ISO27001 o SOC 2, ¿cómo se puede estar seguro de que el certificado se corresponde con la realidad? Un profesional ayuda a hacer las preguntas adecuadas y a asegurarse de que se comprueban las cosas correctas desde el principio."

Los datos jurídicos son muy sensibles y valiosos

Los panelistas coinciden en que las aplicaciones de tecnología jurídica se enfrentan a retos de ciberseguridad únicos en comparación con otras aplicaciones web, siendo uno de los principales objetivos de los piratas informáticos junto con las instituciones financieras. Los datos jurídicos, al igual que los financieros, son muy sensibles y valiosos. "La diferencia es que las instituciones financieras manejan dinero, mientras que los bufetes de abogados gestionan información de clientes, que a veces puede causar más daño si se vulnera. Recientemente se han producido varios ataques a bufetes de abogados, que han llevado a ataques individuales contra sus clientes. Por lo tanto, creo que los bufetes de abogados se encuentran definitivamente entre los sectores de mayor riesgo", afirma Kavalis.

Delrue insta a tener en cuenta el valor de los datos que se manejan, ya que influye en el nivel de seguridad necesario: "Por ejemplo, hay una diferencia significativa entre un proveedor de tecnología jurídica que sólo revisa contratos sin almacenarlos y otro que guarda los contratos reales de numerosos clientes. Cuantos más datos sensibles se almacenen, más atractivo será el objetivo para los piratas informáticos, que pretenden extorsionar mediante ransomware o vendiendo los datos. Por lo tanto, tanto si eres un proveedor de tecnología jurídica como un consumidor, debes evaluar la sensibilidad y el valor de tus datos para los posibles actores maliciosos. Si sus datos son muy valiosos, es crucial aplicar medidas de ciberseguridad más rigurosas que la empresa media."

Evaluación de la seguridad de LegalTech

Al evaluar la seguridad de los productos de tecnología jurídica, los bufetes también deben tener en cuenta la sensibilidad y el volumen de los datos que manejan y asegurarse de que las aplicaciones cuentan con las medidas de seguridad necesarias.

Como proveedor de tecnología jurídica, los clientes de Kavalis le piden tres cosas:

1. Certificaciones ISO o SOC 2, junto con cuestionarios de cumplimiento del GDPR.
2. Evaluación externa de la ciberseguridad: Los bufetes más grandes suelen solicitar sesiones tecnológicas, en las que traen a expertos externos para que profundicen en Amberlo y comprueben si cuenta con la tecnología y las políticas adecuadas.
3. Y de vez en cuando, un historial de incidentes de seguridad. "Afortunadamente, hasta ahora no hemos experimentado ningún incidente de seguridad importante, lo que considero un logro significativo. Desde que lanzamos Amberlo en 2017, hemos visto intentos diarios de entrar en nuestros sistemas desde algunas ubicaciones de hackers muy conocidas", afirma Kavalis.

Algo fácil de comprobar es si una empresa cumple las normas ISO 27001 o SOC 2. Sin embargo, Delrue subraya la importancia de entender lo que implican estas certificaciones. Delrue considera que ISO27001 o SOC 2 son un atajo para rellenar un largo cuestionario de seguridad, en el que se pueden marcar automáticamente ⅔ de casillas. Sin embargo, algunas cosas no están cubiertas por las certificaciones, como el escaneo de malware, que no está cubierto por SOC2, por ejemplo. Así que en algunos casos, las certificaciones ISO estándar pueden no ser suficientes y es posible que desee añadir algunas preguntas más profundas.

¿En las instalaciones o alojado en la nube?

Con los rápidos avances aportados por la GPT y otras tecnologías de IA, la evaluación de la tecnología en los bufetes de abogados se ha vuelto cada vez más crucial. Sin embargo, siempre ha existido un debate entre el alojamiento local y el alojamiento en la nube. Veamos primero qué significa esto:

• Software in situ: los clientes disponen físicamente de los servidores y alojan allí sus aplicaciones.
• La nube privada: los clientes adoptan Microsoft Azure, Google Cloud Platform o AWS, donde ejecutan todas las aplicaciones dentro de su red.
• La nube: las aplicaciones se ejecutan íntegramente en la nube y luego los clientes adaptan esa tecnología

"No quiero que me atropelle un coche, así que me quedaré en casa para siempre. O podría ir a algún sitio, y cuando cruzo la calle, miro primero a izquierda y derecha para asegurarme de que estoy a salvo".

Van Respaille utiliza esta analogía para comparar las instalaciones locales con la nube. En su opinión, quedarse en las instalaciones es anticuado. "Significa quedar excluido de muchas innovaciones. Mi consejo a todos los bufetes de abogados es que adopten plenamente la nube, pero que la aborden con cautela. Tengan en cuenta que existen listas de control de seguridad. No tienen por qué ser demasiado complejas ni requerir muchos recursos; un cuestionario básico puede bastar para evaluar las herramientas que se desean adoptar. Este planteamiento crea una capa inicial de seguridad, que te da una idea clara de lo que realmente estás comprando. En resumen: "¡A toda la nube, pero sepa qué herramientas va a adoptar!".

Si se cumplen ciertas normas, Delrue considera que las soluciones locales son una opción legítima: "Si se dispone de un programa local de primera categoría con personal de seguridad especializado que sepa cómo gestionarlo, entonces es sin duda una opción viable". Sin embargo, cree que la seguridad on-prem de alta calidad es poco frecuente. "Si estás tratando con proveedores de nube muy profesionales y no tienes los recursos internos para gestionar tu on-prem, probablemente sea más seguro ir con la versión en la nube porque hay muchos riesgos de seguridad on-prem". Básicamente, se trata de evaluar el riesgo: ¿dónde quieres que esté el riesgo y quién quieres que lo gestione?

"Muy a menudo, las instalaciones se convierten en un único punto de fallo", añade Adias. "Si se vulnera un perímetro, a menudo significa que todos los demás sistemas también son fácilmente accesibles. Rara vez he visto un enfoque por capas de la ciberseguridad on-prem, donde cada aplicación esté aislada en una zona de seguridad separada."

De la ideación a la implantación

Por supuesto, los proveedores de tecnología jurídica deben integrar normas y medidas de seguridad desde el principio, incluso antes de que se haya construido el producto.

"Empieza en el portátil del programador. El desarrollador escribe el código, y ahí es donde se puede hacer la primera comprobación. Eso es lo que hace Aikido", afirma Delrue. "Ya sea código, contenedores, nube, dominio, en cada parte del ciclo de vida del desarrollo, Aikido puede hacer comprobaciones de seguridad". Sin embargo, ser demasiado estricto puede ralentizar enormemente el proceso de desarrollo. Por eso Delrue aconseja utilizar inteligentemente la categorización de riesgo de vulnerabilidades y problemas de seguridad (bajo, medio, alto, crítico). "Si empiezas a bloquearlos en medio, vas a ralentizar el desarrollo: se van a detener en cada paso que den debido a alguna comprobación de seguridad que haya que arreglar. A veces es un poco más fácil bloquear sólo los 'problemas críticos' y luego tal vez arreglar los 'altos' más tarde en un momento enfocado."

A lo largo de todo el ciclo de vida del desarrollo, puedes realizar diferentes comprobaciones para tener una postura de seguridad adecuada. En el mundo de los productos de seguridad, esto se denomina "desplazamiento a la izquierda". "Esto significa detectar a alguien antes en el ciclo, lo que hace que sea más fácil de arreglar que cuando ya está en directo con un cliente. Porque en ese momento el daño ya está hecho". afirma Delrue.

En una época en la que las filtraciones de datos pueden costar millones y la reputación pende de un hilo, está claro que la ciberseguridad ya no es una opción para las empresas de tecnología jurídica, sino una necesidad. Así que si estás debatiendo entre la nube y las instalaciones o evaluando una nueva solución tecnológica, recuerda: en la era digital, lo único más caro que invertir en ciberseguridad es no invertir en ella.