“Incorporar la seguridad en los proyectos de TI desde el comienzo es menos costoso que agregarla hacia el final”. —Sean Thompson, Aderant, Atlanta, Georgia, EUA.
Las firmas de abogados poseen información confidencial de sus clientes y eso las convierte en un blanco muy apetecido para los hackers. De acuerdo con la encuesta global de PwC de 2019, 100% de las 10 principales firmas de abogados sufrieron un incidente de ciberseguridad el año pasado. Y en la Encuesta sobre Tecnología Legal de la American Bar Association realizada en 2019, los temas más preocupantes para los abogados en EUA se relacionan con la creciente deficiencia de los métodos de ciberseguridad, en especial cuando se trata de aplicaciones basadas en la nube.
“Hace diez años, eran pocas las firmas de abogados que hacían inversiones importantes en seguridad cibernética y de la información”, señala Mark Walmsley, Director Ejecutivo de Seguridad de la Información de Freshfields Bruckhaus Deringer en Londres, Inglaterra. “Ahora es parte de la rutina. Es un principio básico de los negocios”.
Pero a pesar de la creciente urgencia en torno a la privacidad de los datos legales, los portafolios de ciberseguridad de estas empresas rara vez están a la altura de sus preocupaciones. De las medidas de seguridad preventiva estándar indicadas por la American Bar Association, la que se usa más comúnmente (capas de conexión segura) había sido implementada por solo el 35% de los encuestados. Los equipos legales están preocupados, pero no están haciendo mucho al respecto.
Bajo presión
La presión en cuanto a la ciberseguridad no solo afecta a las firmas legales y sus equipos de TI. Sus proveedores también la están sintiendo.
“Hace varios años, la seguridad era un punto mencionado en el proceso de llamado a licitación, pero no era un factor determinante”, relata David Carter, Vicepresidente Senior y CIO de Aderant en Atlanta, Georgia, EUA. Aderant proporciona soluciones de contabilidad y software relacionado a 2.500 firmas de abogados en todo el mundo. “Ahora dedicamos una enorme cantidad de tiempo a responder preguntas de los clientes sobre las prácticas de seguridad que aplicamos en el desarrollo e implementación de nuestro software”.
Muchas de estas inquietudes están dando vueltas en el aire. Cada vez son más las firmas —58% en 2019 frente a 55% en 2018— que están llevando sus operaciones a la nube. Pero los servicios de nube más utilizados, como Google Docs y Dropbox, son plataformas para consumidores y no servicios diseñados específicamente para profesionales del área legal.
Con la creciente ansiedad que genera la ciberseguridad, “más y más firmas piden certificaciones de terceros para los regímenes de seguridad de cualquier proveedor que ofrezca soluciones de software o TI”, afirma Carter. Los proveedores con frecuencia deben usar software de acceso remoto para sus interacciones con los clientes y deben demostrar que los miembros de sus propios equipos han sido debidamente investigados.
Conforme aumentan los requisitos, también crecen los cronogramas y los presupuestos de los proyectos. Eso es algo que se debe comunicar al comienzo de cada proyecto, señala Carter, y los clientes deben entender los beneficios de integrar los requisitos de seguridad de un proyecto desde el primer día.
“Incorporar la seguridad en los proyectos de TI desde el comienzo es menos costoso que agregarla hacia el final”, afirma Sean Thompson, Director de Seguridad de Información de Aderant.
Mecanismo de defensa
Freshfields Bruckhaus Deringer ya no depende exclusivamente de medidas de ciberseguridad tradicionales, como software antivirus y firewalls, para proteger los datos confidenciales de sus clientes. La firma británica ahora está realizando grandes inversiones en proyectos de ciberseguridad que incorporan la inteligencia artificial. Desde mediados de 2017, Freshfields ha lanzado cinco tecnologías de defensa proactiva que identifican riesgos de seguridad antes de que tengan la oportunidad de traspasar las defensas de seguridad de la firma.
Para ejecutar estos proyectos, el equipo de seguridad de Freshfields utiliza un enfoque en cascada. “La entrega ágil tiene muchos beneficios, pero debe usarse con cautela”, señala Walmsley.
“Las metodologías ágiles son más adecuadas para el desarrollo de herramientas empresariales y para clientes, pero el método en cascada es más adecuado para entregar tecnología o capacidades de seguridad”. —Novid Parsi
Acciones legales
Las firmas legales son un objetivo atractivo para los hackers. Estos son algunos de los principales riesgos de ciberseguridad que los equipos de proyecto de TI deben mitigar.
1.Divulgación no autorizada de documentos legales confidenciales
Es un problema serio: el costo promedio global de una infracción de datos es de USD 3,9 millones, según el Informe de costos de una infracción de datos de Ponemon Institute de 2019.
2. Vulneración de correos electrónicos
Para enfrentar esta amenaza, las empresas han comenzado a implementar la autenticación multifactor, señala Sean Thompson, Director de Seguridad de la Información de Aderant en Atlanta, Georgia, EUA. “Si se produce un ataque de phishing, todavía se requiere el segundo factor para obtener acceso a correos electrónicos confidenciales”.
3.Ransomware
Los hackers obligan a sus víctimas a pagar para recuperar información capturada.
4.Negligencia legal
Si una infracción causa problemas económicos o de reputación a sus clientes, una firma de abogados podría enfrentar una demanda por no proteger sus sistemas, señala David Carter, Vicepresidente Senior y CIO de Aderant.
Fuente: PM Network, febrero 2020 – www.pmi.org