De acordo com a IBM e a Ponemon, o custo médio de uma violação de dados é de impressionantes US$ 4,35 milhões! Não é de admirar que as empresas sintam a necessidade de investir pesadamente em cibersegurança. Para empresas de legal tech, que lidam diariamente com uma grande quantidade de dados sensíveis de clientes, os riscos são ainda maiores. Além do impacto financeiro imediato, uma violação de dados pode causar sérios danos à reputação, que muitas vezes são muito mais difíceis de reparar, tornando a cibersegurança uma prioridade máxima para os profissionais do direito. À medida que o mundo digital evolui, as estratégias para proteger informações sensíveis também devem se adaptar a ameaças cada vez mais sofisticadas.
A ELTA, a European Legal Tech Association, reuniu alguns dos principais especialistas em cibersegurança da atualidade em uma sala de reunião digital. Roeland Delrue, Co-fundador e CRO da Aikido Security, Aidas Kavalis, Co-fundador e Head de Produto da Amberlo, Wouter Van Respaille, Co-fundador e CTO da Henchman e Michiel Denis, Head de Crescimento da Henchman compartilham sua expertise e insights sobre como instalar uma estrutura sólida de cibersegurança para empresas LegalTech.
A Crescente Importância da Cibersegurança
Quais são os padrões fundamentais de cibersegurança que toda aplicação legaltech deve atender, e como esses padrões evoluíram com as ameaças emergentes? Roeland Delrue, Co-fundador e CRO da Aikido Security, enfatiza que o desenvolvimento de uma aplicação legaltech segura começa com o código.
- Programadores estão escrevendo o aplicativo em código. A primeira camada de segurança é garantir que o próprio código seja seguro.
- Uma vez que o código está pronto, ele é tipicamente entregue em Containers - que representam a segunda camada que deve ser escaneada e monitorada.
- A terceira camada é o ambiente Cloud onde a aplicação é implantada.
Seguida pela quarta camada, os domínios (login.com ou app.com) através dos quais os usuários acessam a aplicação.
Conformidade e Monitoramento Contínuo
Wouter Van Respaille, Co-fundador e CTO na Henchman, ressaltou a importância da conformidade com padrões da indústria como ISO 27001 e SOC 2. Essas certificações não são apenas caixas de seleção; são indicadores de que um fornecedor leva a segurança a sério. Ele observou que empresas sem essas certificações podem carecer dos recursos ou do comprometimento necessários com a segurança.
Além da conformidade, o monitoramento contínuo e abordagens criativas como programas de bug bounty são cruciais. Esses programas envolvem hackers éticos que testam continuamente o sistema, fornecendo uma camada adicional de segurança além das ferramentas de varredura tradicionais. Van Respaille compartilha sua abordagem na Henchman: “A Aikido escaneia continuamente tanto nossa infraestrutura quanto nosso código. Além disso, usamos a Intigriti para caça a bug bounties, que envolve um coletivo de hackers sociais que sondam e exploram criativamente nossos sistemas. Comparado às ferramentas de varredura tradicionais, essa abordagem é muito mais inovadora. Também usamos o Phished para enviar simulações de phishing a todos os nossos funcionários, aumentando a conscientização sobre phishing e segurança, ao mesmo tempo em que adicionamos um toque de gamificação. Como uma empresa que lida com um fluxo interminável de dados sensíveis, é importante ter essas parcerias em vez de fazer tudo sozinhos.”
Como a cibersegurança é um assunto complexo, Aidas Kavalis, co-fundador e head de produto na Amberlo, aponta que é sensato contratar um terceiro para avaliar fornecedores. "Um especialista na área pode ajudar a descobrir coisas que você nunca teria pensado. Mesmo que um padrão ISO27001 ou SOC 2 seja implementado, como você pode ter certeza de que o certificado corresponde à realidade? Um profissional ajuda a fazer as perguntas certas e a garantir que as coisas certas sejam verificadas antecipadamente.”
Dados jurídicos são altamente sensíveis e valiosos
Os painelistas concordam que as aplicações legaltech enfrentam desafios únicos de cibersegurança em comparação com outras aplicações web, sendo um alvo principal para hackers, juntamente com instituições financeiras. Dados jurídicos, assim como dados financeiros, são altamente sensíveis e valiosos. "A diferença é que as instituições financeiras lidam com dinheiro, enquanto os escritórios de advocacia gerenciam informações de clientes, o que às vezes pode causar mais danos se violado. Recentemente, houve vários ataques onde escritórios de advocacia foram hackeados, levando à segmentação individual de seus clientes. Portanto, acredito que os escritórios de advocacia estão definitivamente entre os setores de maior risco", diz Kavalis.
Delrue insiste na importância de estar atento ao valor dos dados que você lida, pois isso impacta o nível de segurança exigido: "Por exemplo, há uma diferença significativa entre um fornecedor de legaltech que apenas revisa contratos sem armazená-los e um que detém inúmeros contratos reais de clientes. Quanto mais dados sensíveis você detém, mais atraente você se torna como alvo para hackers, que visam extorquir dinheiro através de ransomware ou vendendo os dados. Portanto, seja você um fornecedor ou consumidor de legaltech, você deve avaliar a sensibilidade e o valor de seus dados para potenciais atores maliciosos. Se seus dados são altamente valiosos, é crucial implementar medidas de cibersegurança mais rigorosas do que a empresa média."
Avaliando a Segurança de LegalTech
Ao avaliar a segurança de produtos legaltech, escritórios de advocacia também devem considerar a sensibilidade e o volume dos dados que eles lidam e garantir que as aplicações tenham as medidas de segurança necessárias implementadas.
Como provedor de legaltech, Kavalis é solicitado por três coisas por seus clientes:
- Certificações ISO ou SOC 2, juntamente com questionários de conformidade com a GDPR.
- Avaliação externa de cibersegurança: Grandes escritórios de advocacia frequentemente solicitam sessões técnicas, onde trazem especialistas externos para aprofundar-se na Amberlo e verificar se possui tecnologia e políticas adequadas implementadas.
- E, de tempos em tempos, um histórico de incidentes de segurança. “Felizmente, não experimentamos nenhum incidente de segurança grave até agora, o que considero uma conquista significativa. Desde que lançamos a Amberlo em 2017, temos visto tentativas diárias de invadir nossos sistemas de alguns locais de hackers bem conhecidos", diz Kavalis.
Uma coisa fácil de verificar é se uma empresa é compatível com ISO 27001 ou SOC 2. No entanto, Delrue ressalta a importância de entender o que essas certificações implicam. Delrue vê ISO27001 ou SOC 2 como um atalho para preencher um longo questionário de segurança, onde ⅔ das caixas podem ser marcadas automaticamente. No entanto, algumas coisas não são cobertas por certificações, como a varredura de malware, que não é coberta pelo SOC2, por exemplo. Então, em alguns casos, as certificações ISO padrão podem não ser suficientes e você pode querer adicionar algumas perguntas mais profundas.
On-premise vs. hospedado na Cloud?
Com os rápidos avanços trazidos pelo GPT e outras tecnologias de IA, avaliar a tecnologia em escritórios de advocacia tornou-se cada vez mais crucial. No entanto, sempre houve um debate entre hospedagem on-premises e na Cloud. Vamos primeiro entender o que isso significa:
- Software on-premise: os clientes possuem os servidores fisicamente e hospedam suas aplicações neles
- A Cloud privada: clientes adotam Microsoft Azure, Google Cloud Platform ou AWS onde executam todas as aplicações dentro de sua rede
- A Cloud: as aplicações rodam totalmente na Cloud e então os clientes adaptam essa tecnologia
“Não quero ser atropelado por um carro, então vou ficar em casa para sempre. Ou eu poderia realmente ir a algum lugar e, ao atravessar a rua, olhar para a esquerda e para a direita primeiro para ter certeza de que estou seguro.”
Van Respaille usa essa analogia para comparar o on-premises com a Cloud. Em sua visão, permanecer on-premise é obsoleto. “Significa que você será excluído de muita inovação. Meu conselho para todos os escritórios de advocacia é abraçar totalmente a Cloud, mas abordá-la com cautela. Esteja ciente de que existem checklists de segurança disponíveis. Eles não precisam ser excessivamente complexos ou intensivos em recursos; um questionário básico pode ser suficiente para avaliar as ferramentas que você deseja adotar. Essa abordagem cria uma camada inicial de segurança, proporcionando uma compreensão clara do que você está realmente adquirindo. Em resumo, 'Vá totalmente para a Cloud, mas saiba quais ferramentas você vai adotar!'”
Se certos padrões forem atendidos, Delrue vê o on-premise como uma opção legítima: “Se você tem um programa on-prem de primeira linha com pessoas de segurança dedicadas que sabem como gerenciar esse on-prem, então é definitivamente uma opção viável.” No entanto, ele acredita que a segurança on-prem de alta qualidade é rara. “Se você está lidando com provedores de Cloud muito profissionais e não tem os recursos internos para gerenciar seu on-prem, provavelmente é mais seguro optar pela versão da Cloud, pois há muitos riscos de segurança no on-prem.” Então, basicamente, é uma avaliação de risco: onde você quer que o risco esteja e quem você quer que gerencie esse risco?
“Muito frequentemente, o on-premise se torna um ponto único de falha”, acrescenta Adias. “Se um perímetro é violado, muitas vezes significa que todos os outros sistemas também são bastante acessíveis. Raramente vi uma abordagem em camadas para a cibersegurança on-prem, onde cada aplicação é isolada em uma zona de segurança separada.”
Da ideação à implantação
Claro, os fornecedores de legaltech devem integrar padrões e medidas de segurança desde o início, mesmo antes de o produto ser construído.
“Começa com o laptop do desenvolvedor de software. O desenvolvedor escreve código, e é aí que você pode fazer a primeira verificação. É isso que a Aikido faz”, diz Delrue. “Seja código, Containers, Cloud, domínio, em cada parte do ciclo de vida de desenvolvimento, a Aikido pode fazer verificações de segurança.” Ser muito rigoroso, no entanto, pode atrasar tremendamente o processo de desenvolvimento. É por isso que Delrue aconselha usar a categorização de risco de vulnerabilidades e problemas de segurança (baixa, média, alta, crítica) de forma inteligente. “Se você começar a bloqueá-los no nível médio, vai atrasar o desenvolvimento: eles serão parados a cada passo que derem por causa de alguma verificação de segurança que precisa ser corrigida. Às vezes, é um pouco mais fácil bloquear apenas os ‘problemas críticos’ e então talvez corrigir os ‘altos’ mais tarde em um momento focado.”
Ao longo de todo o ciclo de vida de desenvolvimento, você pode realizar diferentes verificações para ter uma postura de segurança adequada. No mundo dos produtos de segurança, isso é conhecido como ‘shifting left’. “Isso significa identificar alguém mais cedo no ciclo, o que torna mais fácil corrigir do que quando já está em produção com um cliente. Porque, nesse ponto, o dano já está feito”, diz Delrue.
Em uma era onde violações de dados podem custar milhões e reputações estão por um fio, fica claro que a cibersegurança não é mais uma opção para empresas de legaltech, é uma necessidade. Então, esteja você debatendo Cloud vs. on-premises ou avaliando uma nova solução tecnológica, lembre-se: na era digital, a única coisa mais cara do que investir em cibersegurança é não investir nela.
Proteja seu software agora
.jpg)
.avif)
