Fundamentos de cibersegurança para empresas de tecnologia jurídica

De acordo com a IBM e a Ponemon, o custo médio de uma violação de dados é de uns impressionantes 4,35 milhões de dólares! Não admira que as empresas sintam a necessidade de investir fortemente na cibersegurança. Para as empresas de tecnologia jurídica, que lidam diariamente com uma grande quantidade de dados sensíveis dos clientes, os riscos são ainda maiores. Para além do impacto financeiro imediato, uma violação de dados pode causar graves danos à reputação, que são frequentemente muito mais difíceis de reparar, tornando a cibersegurança uma prioridade máxima para os profissionais do sector jurídico. À medida que o mundo digital evolui, as estratégias de proteção de informações sensíveis também têm de se adaptar a ameaças cada vez mais sofisticadas.

A ELTA, a Associação Europeia de Tecnologia Jurídica, reuniu alguns dos maiores especialistas em cibersegurança da atualidade numa sala de reuniões digital. Roeland Delrue, Co-Fundador e CRO da Aikido Security, Aidas Kavalis, Co-Fundador e Chefe de Produto da Amberlo, Wouter Van Respaille, Co-Fundador e CTO da Henchman e Michiel Denis, Chefe de Crescimento da Henchman partilham os seus conhecimentos e ideias sobre como instalar um quadro sólido de cibersegurança para as empresas de tecnologia jurídica.

A importância crescente da cibersegurança

Quais são os padrões fundamentais de segurança cibernética que todo aplicativo legaltech deve atender e como esses padrões evoluíram com as ameaças emergentes? Roeland Delrue, cofundador e CRO da Aikido Security, enfatiza que o desenvolvimento de uma aplicação legaltech segura começa com o código.

1. Os programadores estão a escrever a aplicação em código. A primeira camada de segurança consiste em garantir que o próprio código é seguro
2. Quando o código está pronto, é normalmente enviado em contentores - que representam a segunda camada que deve ser digitalizada e monitorizada.
3. A terceira camada é o ambiente de nuvem onde a aplicação é implantada.

Segue-se a quarta camada, os domínios (login.com ou app.com) através dos quais os utilizadores acedem à aplicação.

Conformidade e monitorização contínua

Wouter Van Respaille, cofundador e CTO da Henchman, salientou a importância da conformidade com as normas do sector, como a ISO 27001 e a SOC 2. Estas certificações não são apenas caixas de verificação; são indicadores de que um fornecedor leva a sério a segurança. Ele observou que as empresas sem essas certificações podem não ter os recursos necessários ou o compromisso com a segurança.

Para além da conformidade, a monitorização contínua e as abordagens criativas, como os programas de recompensa por erros, são cruciais. Estes programas envolvem hackers éticos que testam continuamente o sistema, fornecendo uma camada adicional de segurança para além das ferramentas de análise tradicionais. Van Respaille partilha a sua abordagem na Henchman: "A Aikido analisa continuamente a nossa infraestrutura e o nosso código. Além disso, utilizamos a Intigriti para a caça aos bugs, que envolve um coletivo de hackers sociais que sondam e exploram os nossos sistemas de forma criativa. Em comparação com as ferramentas de controlo tradicionais, esta abordagem é muito mais inovadora. Também utilizamos o Phished para enviar simulações de phishing a todos os nossos funcionários, aumentando a sensibilização para o phishing e a segurança e adicionando um toque de gamificação. Como uma empresa que lida com um fluxo interminável de dados sensíveis, é importante ter estas parcerias em vez de fazermos tudo sozinhos."

Como a cibersegurança é um assunto complexo, Aidas Kavalis, cofundador e diretor de produto da Amberlo, salienta que é aconselhável recorrer a um terceiro para avaliar os fornecedores. "Um especialista na área pode ajudá-lo a descobrir coisas em que nunca teria pensado. Mesmo que seja implementada uma norma ISO27001 ou SOC 2, como é que se pode ter a certeza de que o certificado corresponde à realidade? Um profissional ajuda a fazer as perguntas certas e a garantir que as coisas certas são verificadas à partida."

Os dados jurídicos são altamente sensíveis e valiosos

Os participantes no painel concordam que as aplicações de tecnologia jurídica enfrentam desafios de cibersegurança únicos em comparação com outras aplicações Web, sendo um dos principais alvos dos piratas informáticos, juntamente com as instituições financeiras. Os dados jurídicos, tal como os dados financeiros, são altamente sensíveis e valiosos. "A diferença é que as instituições financeiras lidam com dinheiro, enquanto os escritórios de advogados gerem informações sobre os clientes, que podem por vezes causar mais danos se forem violadas. Recentemente, houve vários ataques em que os escritórios de advogados foram pirateados, o que levou a que os seus clientes fossem individualmente visados. Por isso, creio que os escritórios de advogados estão definitivamente entre os sectores de maior risco", afirma Kavalis.

Delrue recomenda que se tenha em conta o valor dos dados que se tratam, uma vez que isso afecta o nível de segurança necessário: "Por exemplo, há uma diferença significativa entre um fornecedor de tecnologia jurídica que apenas revê os contratos sem os guardar e um que guarda os contratos efectivos de vários clientes. Quanto mais dados sensíveis se guardam, mais atraente se torna o alvo dos piratas informáticos, que pretendem extorquir dinheiro através de ransomware ou da venda dos dados. Por conseguinte, quer seja um fornecedor ou consumidor de tecnologia jurídica, deve avaliar a sensibilidade e o valor dos seus dados para potenciais agentes maliciosos. Se os seus dados forem muito valiosos, é crucial implementar medidas de cibersegurança mais rigorosas do que a média das empresas."

Avaliação da segurança da tecnologia jurídica

Ao avaliarem a segurança dos produtos de tecnologia jurídica, as sociedades de advogados devem também ter em conta a sensibilidade e o volume dos dados que tratam e garantir que as aplicações possuem as medidas de segurança necessárias.

Enquanto fornecedor de tecnologia jurídica, os seus clientes pedem três coisas à Kavalis:

1. Certificações ISO ou SOC 2, juntamente com questionários de conformidade com o RGPD.
2. Avaliação externa da cibersegurança: Os escritórios de advogados de maior dimensão solicitam frequentemente sessões técnicas, nas quais convidam peritos externos para analisarem a fundo a Amberlo e verificarem se esta dispõe de tecnologia e políticas adequadas.
3. E, de vez em quando, um historial de incidentes de segurança. "Felizmente, não registámos nenhum incidente de segurança grave até agora, o que considero um feito significativo. Desde que lançámos o Amberlo em 2017, temos assistido a tentativas diárias de invadir os nossos sistemas a partir de alguns locais de hackers bem conhecidos", afirma Kavalis.

Uma coisa fácil de verificar é se uma empresa está em conformidade com a norma ISO 27001 ou SOC 2. No entanto, Delrue salienta a importância de compreender o que estas certificações implicam. Delrue vê a ISO27001 ou SOC 2 como um atalho para o preenchimento de um longo questionário de segurança, em que ⅔ das caixas podem ser assinaladas automaticamente. No entanto, algumas coisas não são cobertas pelas certificações, como a verificação de malware, que não é coberta pelo SOC2, por exemplo. Por isso, em alguns casos, as certificações ISO padrão podem não ser suficientes e pode ser necessário acrescentar algumas perguntas mais aprofundadas.

No local ou alojado na nuvem?

Com os rápidos avanços trazidos pela GPT e outras tecnologias de IA, a avaliação da tecnologia nos escritórios de advocacia tornou-se cada vez mais crucial. No entanto, sempre houve um debate sobre hospedagem no local vs. nuvem. Vamos dar uma olhada no que isso significa primeiro:

• Software no local: os clientes possuem os servidores fisicamente e alojam aí as suas aplicações
• A nuvem privada: os clientes adoptam o Microsoft Azure, o Google Cloud Platform ou o AWS, onde executam todas as aplicações dentro da sua rede
• A nuvem: as aplicações são totalmente executadas na nuvem e depois os clientes adaptam essa tecnologia

"Não quero ser atropelado por um carro, por isso fico em casa para sempre. Ou posso mesmo ir a algum lado e, quando atravesso a rua, olho primeiro para a esquerda e para a direita para ter a certeza de que estou seguro."

Van Respaille utiliza esta analogia para comparar as instalações locais com a nuvem. Na sua opinião, ficar no local está desatualizado. "Significa que se fica excluído de muita inovação. O meu conselho para todos os escritórios de advogados é que adoptem plenamente a nuvem, mas que a abordem de forma ponderada. Estejam cientes de que existem listas de verificação de segurança disponíveis. Estas não precisam de ser demasiado complexas ou de exigir muitos recursos; um questionário básico pode ser suficiente para avaliar as ferramentas que pretende adotar. Esta abordagem cria uma camada inicial de segurança, dando-lhe uma compreensão clara do que está realmente a comprar. Em suma, "Vá totalmente para a nuvem, mas saiba quais as ferramentas que vai adotar!""

Se determinados padrões forem cumpridos, Delrue vê o local como uma opção legítima: "Se tiver um programa local de topo com pessoal de segurança dedicado que saiba gerir esse programa local, então é definitivamente uma opção viável." No entanto, ele acredita que a segurança local de alta qualidade é rara. "Se estiver a lidar com fornecedores de nuvem altamente profissionais e não tiver os recursos internos para gerir o seu programa local, é provavelmente mais seguro optar pela versão em nuvem, porque existem muitos riscos de segurança no local." Basicamente, trata-se de uma avaliação de risco: onde é que quer que o risco esteja e quem é que quer gerir esse risco?

"Muitas vezes, o local torna-se um ponto único de falha", acrescenta Adias. "Se um perímetro for violado, isso significa muitas vezes que todos os outros sistemas também são facilmente acessíveis. Raramente vi uma abordagem em camadas à cibersegurança no local, em que cada aplicação é isolada numa zona de segurança separada."

Da conceção à implementação

Naturalmente, os fornecedores de tecnologia jurídica devem integrar normas e medidas de segurança desde o início, mesmo antes de o produto ter sido construído.

"Começa no computador portátil do programador de software. O programador escreve o código, e é aí que se pode fazer a primeira verificação. É isso que o Aikido faz", diz Delrue. "Quer se trate de código, contentores, nuvem, domínio, em todas as partes do ciclo de vida do desenvolvimento, o Aikido pode efetuar verificações de segurança." No entanto, ser demasiado rigoroso pode atrasar tremendamente o processo de desenvolvimento. É por isso que Delrue aconselha o uso inteligente da categorização de risco de vulnerabilidades e problemas de segurança (baixo, médio, alto, crítico). "Se começar a bloqueá-los a nível médio, vai atrasar o desenvolvimento: vão ser interrompidos em cada passo que dão por causa de uma verificação de segurança que precisa de ser corrigida. Por vezes, é um pouco mais fácil bloquear apenas os 'problemas críticos' e depois talvez corrigir os 'altos' mais tarde, num momento de concentração."

Ao longo de todo o ciclo de vida do desenvolvimento, pode efetuar diferentes verificações para ter uma postura de segurança adequada. No mundo dos produtos de segurança, isto é designado por "deslocação para a esquerda". "Isto significa apanhar alguém no início do ciclo, o que torna mais fácil a correção do que quando já está ao vivo com um cliente. Porque nessa altura os danos já estão feitos". diz Delrue.

Numa época em que as violações de dados podem custar milhões e as reputações estão por um fio, é evidente que a cibersegurança já não é uma opção para as empresas de tecnologia jurídica, é uma necessidade. Por isso, quer esteja a debater a questão da nuvem vs. local ou a avaliar uma nova solução tecnológica, lembre-se: na era digital, a única coisa mais cara do que investir em cibersegurança é não investir nela.