Según IBM y Ponemon, el coste medio de una brecha de datos es de asombrosos 4,35 millones de dólares. No es de extrañar que las empresas sientan la necesidad de invertir fuertemente en ciberseguridad. Para las empresas de tecnología legal, que manejan una gran cantidad de datos sensibles de clientes a diario, lo que está en juego es aún mayor. Más allá del impacto financiero inmediato, una brecha de datos puede causar graves daños a la reputación que a menudo son mucho más difíciles de reparar, lo que convierte la ciberseguridad en una máxima prioridad para los profesionales del derecho. A medida que el mundo digital evoluciona, las estrategias para proteger la información sensible también deben adaptarse a amenazas cada vez más sofisticadas.
ELTA, la Asociación Europea de Legal Tech, reunió a algunos de los principales expertos en ciberseguridad actuales en una sala de reuniones digital. Roeland Delrue, cofundador y CRO de Aikido Security, Aidas Kavalis, cofundador y director de producto de Amberlo, Wouter Van Respaille, cofundador y CTO de Henchman, y Michiel Denis, director de crecimiento de Henchman, compartieron su experiencia y conocimientos sobre cómo establecer un marco sólido de ciberseguridad para empresas LegalTech.
La creciente importancia de la ciberseguridad
¿Cuáles son los estándares fundamentales de ciberseguridad que toda aplicación legaltech debería cumplir, y cómo han evolucionado estos estándares con las amenazas emergentes? Roeland Delrue, cofundador y CRO de Aikido Security, subraya que el desarrollo de una aplicación legaltech segura comienza con el código.
- Los programadores están escribiendo la aplicación en código. La primera capa de seguridad es asegurar que el propio código sea seguro
- Una vez que el código está listo, se suele distribuir en contenedores, que representan la segunda capa que debe ser escaneada y monitorizada.
- La tercera capa es el entorno de nube donde se despliega la aplicación.
Seguido de la cuarta capa, los dominios (login.com o app.com) a través de los cuales los usuarios acceden a la aplicación.
Cumplimiento y monitorización continua
Wouter Van Respaille, cofundador y CTO de Henchman, subrayó la importancia del cumplimiento de los estándares de la industria como ISO 27001 y SOC 2. Estas certificaciones no son meros trámites; son indicadores de que un proveedor se toma en serio la seguridad. Señaló que las empresas sin estas certificaciones podrían carecer de los recursos o el compromiso necesarios con la seguridad.
Más allá del cumplimiento, la monitorización continua y los enfoques creativos como los programas de recompensas por errores (bug bounty) son cruciales. Estos programas involucran a hackers éticos que prueban continuamente el sistema, proporcionando una capa adicional de seguridad más allá de las herramientas de escaneo tradicionales. Van Respaille comparte su enfoque en Henchman: “Aikido escanea continuamente tanto nuestra infraestructura como nuestro código. Además, utilizamos Intigriti para la búsqueda de recompensas por errores, lo que implica un colectivo de hackers sociales que sondean y exploran nuestros sistemas de forma creativa. En comparación con las herramientas de escaneo tradicionales, este enfoque es mucho más innovador. También utilizamos Phished para enviar simulaciones de phishing a todos nuestros empleados, aumentando la concienciación sobre el phishing y la seguridad, al tiempo que añadimos un toque de gamificación. Como empresa que maneja un flujo interminable de datos sensibles, es importante contar con estas asociaciones en lugar de hacerlo todo nosotros mismos."
Dado que la ciberseguridad es un asunto complejo, Aidas Kavalis, cofundador y director de producto de Amberlo, señala que es prudente recurrir a un tercero para evaluar a los proveedores. «Un experto en la materia puede ayudarle a descubrir cosas en las que nunca habría pensado. Incluso si se implementa un estándar ISO27001 o SOC 2, ¿cómo puede estar seguro de que el certificado coincide con la realidad? Un profesional ayuda a hacer las preguntas correctas y a garantizar que se verifiquen los aspectos adecuados de antemano.»
Los datos legales son altamente sensibles y valiosos
Los panelistas coinciden en que las aplicaciones legaltech se enfrentan a desafíos de ciberseguridad únicos en comparación con otras aplicaciones web, siendo un objetivo principal para los hackers junto con las instituciones financieras. Los datos legales, al igual que los datos financieros, son altamente sensibles y valiosos. "La diferencia es que las instituciones financieras manejan dinero, mientras que los bufetes de abogados gestionan información de clientes, lo que a veces puede causar más daño si se produce una brecha. Recientemente, ha habido varios ataques en los que bufetes de abogados fueron hackeados, lo que llevó a la focalización individual de sus clientes. Por lo tanto, creo que los bufetes de abogados están definitivamente entre los sectores de mayor riesgo", dice Kavalis.
Delrue insta a ser consciente del valor de los datos que se manejan, ya que esto impacta en el nivel de seguridad requerido: «Por ejemplo, existe una diferencia significativa entre un proveedor de legaltech que solo revisa contratos sin almacenarlos y uno que guarda los contratos reales de numerosos clientes. Cuantos más datos sensibles manejes, más atractivo te vuelves como objetivo para los hackers, quienes buscan extorsionar dinero a través de ransomware o vendiendo los datos. Por lo tanto, ya seas un proveedor o un consumidor de legaltech, debes evaluar la sensibilidad y el valor de tus datos para posibles actores maliciosos. Si tus datos son de alto valor, es crucial implementar medidas de ciberseguridad más rigurosas que la empresa promedio.»
Evaluando la seguridad en LegalTech
Al evaluar la seguridad de los productos legaltech, los despachos de abogados también deben considerar la sensibilidad y el volumen de los datos que manejan y asegurarse de que las aplicaciones cuenten con las medidas de seguridad necesarias.
Como proveedor de legaltech, los clientes de Kavalis le solicitan tres cosas:
- Certificaciones ISO o SOC 2, junto con cuestionarios de cumplimiento GDPR.
- Evaluación externa de ciberseguridad: Las firmas de abogados más grandes a menudo solicitan sesiones técnicas, donde traen expertos externos para analizar a fondo Amberlo y ver si cuenta con la tecnología y las políticas adecuadas.
- Y de vez en cuando, un historial de incidentes de seguridad. “Afortunadamente, hasta ahora no hemos experimentado ningún incidente de seguridad importante, lo que considero un logro significativo. Desde que lanzamos Amberlo en 2017, hemos visto intentos diarios de irrumpir en nuestros sistemas desde algunas ubicaciones de hackers bien conocidas”, dice Kavalis.
Algo fácil de comprobar es si una empresa cumple con ISO 27001 o SOC 2. Sin embargo, Delrue subraya la importancia de comprender lo que implican estas certificaciones. Delrue considera ISO 27001 o SOC 2 como un atajo para rellenar un extenso cuestionario de seguridad, donde ⅔ de las casillas pueden marcarse automáticamente. No obstante, algunas cosas no están cubiertas por las certificaciones, como el escaneo de malware, que no está cubierto por SOC 2, por ejemplo. Así que, en algunos casos, las certificaciones ISO estándar podrían no ser suficientes y quizás quieras añadir preguntas más profundas.
¿On-premise vs. alojado en la nube?
Con los rápidos avances impulsados por GPT y otras tecnologías de IA, la evaluación de la tecnología en los bufetes de abogados se ha vuelto cada vez más crucial. Sin embargo, siempre ha existido un debate entre el alojamiento on-premises y en la nube. Veamos primero qué significa esto:
- Software on-premise: los clientes tienen los servidores físicamente y alojan sus aplicaciones allí
- La nube privada: los clientes adoptan Microsoft Azure, Google Cloud Platform o AWS, donde ejecutan todas las aplicaciones dentro de su red.
- La nube: las aplicaciones se ejecutan completamente en la nube y luego los clientes adaptan esa tecnología
"No quiero que me atropelle un coche, así que me quedaré en casa para siempre. O podría ir a algún sitio y, al cruzar la calle, mirar primero a izquierda y derecha para asegurarme de que estoy a salvo."
Van Respaille utiliza esta analogía para comparar el modelo on-premises con la nube. En su opinión, permanecer en un entorno on-premises está obsoleto. "Significa que quedarás excluido de gran parte de la innovación. Mi consejo a todos los bufetes de abogados es que adopten plenamente la nube, pero que lo hagan de forma reflexiva. Tened en cuenta que existen listas de verificación de seguridad disponibles. Estas no tienen por qué ser excesivamente complejas o requerir muchos recursos; un cuestionario básico puede ser suficiente para evaluar las herramientas que deseáis adoptar. Este enfoque crea una capa inicial de seguridad, proporcionándoos una comprensión clara de lo que realmente estáis adquiriendo. En resumen, '¡Adoptad plenamente la nube, pero sabed qué herramientas vais a utilizar!'"
Si se cumplen ciertos estándares, Delrue considera que la opción local (on-premise) es legítima: "Si tienes un programa on-premise de primer nivel con personal de seguridad dedicado que sabe cómo gestionarlo, entonces es definitivamente una opción viable". Sin embargo, cree que la seguridad on-premise de alta calidad es rara. "Si trabajas con proveedores de la nube muy profesionales y no tienes los recursos internos para gestionar tu infraestructura on-premise, probablemente sea más seguro optar por la versión en la nube porque hay muchos riesgos de seguridad en local". Así que, básicamente, es una evaluación de riesgos: ¿dónde quieres que esté el riesgo y quién quieres que lo gestione?
"Muy a menudo, el on-premise se convierte en un único punto de fallo", añade Adias. "Si se vulnera un perímetro, a menudo significa que todos los demás sistemas también son bastante accesibles. Rara vez he visto un enfoque por capas para la ciberseguridad on-premise, donde cada aplicación está aislada en una zona de seguridad separada."
Desde la ideación hasta el despliegue
Por supuesto, los proveedores de legaltech deberían integrar estándares y medidas de seguridad desde el principio, incluso antes de que el producto haya sido construido.
"Empieza en el portátil del desarrollador de software. El desarrollador escribe código, y ahí es donde se puede realizar la primera verificación. Eso es lo que hace Aikido", dice Delrue. "Ya sea código, contenedores, cloud, dominio, en cada parte del ciclo de vida de desarrollo, Aikido puede realizar verificaciones de seguridad." Ser demasiado estricto, sin embargo, puede ralentizar enormemente el proceso de desarrollo. Por eso Delrue aconseja utilizar de forma inteligente la categorización de riesgos de vulnerabilidades y problemas de seguridad (baja, media, alta, crítica). "Si empiezas a bloquearlos en el nivel medio, vas a ralentizar el desarrollo: se detendrán en cada paso que den debido a alguna verificación de seguridad que deba corregirse. A veces es un poco más fácil bloquear solo los 'problemas críticos' y luego quizás solucionar los 'altos' más tarde en un momento específico."
A lo largo de todo el ciclo de vida de desarrollo, se pueden realizar diferentes comprobaciones para mantener una postura de seguridad adecuada. En el mundo de los productos de seguridad, esto se conoce como "shifting left". "Esto significa detectar un problema antes en el ciclo, lo que facilita su corrección en comparación con cuando ya está en producción con un cliente. Porque en ese punto el daño ya está hecho", dice Delrue.
En una era donde las brechas de datos pueden costar millones y las reputaciones penden de un hilo, está claro que la ciberseguridad ya no es una opción para las empresas legaltech, es una necesidad. Así que, ya sea que estés debatiendo entre cloud y on-premises o evaluando una nueva solución tecnológica, recuerda: en la era digital, lo único más caro que invertir en ciberseguridad es no invertir en ella.
Protege tu software ahora.
.jpg)
.avif)
