Olá Jasper! Qual é o seu papel e o que faz com que a Jurimesh se destaque na LegalTech?

Sou o CTO e cofundador da Jurimesh. Enquanto a maioria dos fornecedores de LegalTech está a tentar abranger todos os casos de utilização jurídica (muitas vezes, empacotando-os numa interface do tipo ChatGPT), nós pensamos para além disso. A Jurimesh concentra-se especificamente na otimização da devida diligência jurídica, tanto nos fluxos de trabalho como no processo de revisão, utilizando IA e uma interface fácil de utilizar. 

Qual o objetivo da segurança na LegalTech?

A segurança deve ser fundamental para qualquer produto LegalTech. A profissão de advogado é extremamente sensível e, enquanto empresa que processa estes dados, tem de tomar todas as precauções para evitar fugas.

Que tipo de pressão é que os seus clientes exercem sobre as suas práticas de segurança e conformidade?

É uma das principais preocupações (e um pedido constante) dos clientes. Os clientes maiores pedem certificações como a ISO27001. Os clientes mais pequenos centram-se mais na confiança. Ganhamos ambos com fortes pontos de validação: ter um produto de segurança como o Aikido, verificações rápidas de conformidade com o Vanta, pentests, certificações... Sem práticas de segurança decentes, não estaríamos a fechar negócios.

"Conquistamos pequenos e grandes clientes com fortes pontos de validação: ter um produto de segurança como o Aikido, verificações rápidas de conformidade com o Vanta... Sem fortes práticas de segurança e conformidade, não fecharíamos nenhum negócio."‍

Como é que lidava anteriormente com a segurança e a conformidade?

Como somos uma empresa relativamente jovem, não dispúnhamos de quaisquer ferramentas anteriores de terceiros. Utilizámos os scanners predefinidos do Google Cloud e do GitHub e corrigimos manualmente as vulnerabilidades em conjunto. As tarefas de conformidade, como as revisões de acesso, eram feitas com lembretes de calendário e folhas de Excel. Como se pode ver, tudo era muito trabalhoso.

Faltava-nos visibilidade das bibliotecas e pacotes vulneráveis. O GitHub cobria parte do problema, mas o Aikido vai mais longe: analisa tudo, desde o software à infraestrutura da nuvem.

Como é que o Aikido ajudou com as exigências regulamentares e de proteção de dados?

O Aikido mantém as nossas bibliotecas actualizadas e assinala rapidamente as vulnerabilidades para que possamos cumprir os nossos SLAs internos. Uma grande economia de tempo é o scanner de licenças. Agora, o Aikido está integrado no nosso pipeline CI/CD, pelo que nem sequer podemos enviar código com problemas conhecidos. A verificação automatizada de vulnerabilidades é a mais crucial, pois verifica nossos pacotes, imagens Docker e infraestrutura.

Como era o processo de recolha de provas de conformidade antes de combinar o Aikido com o Vanta?

Já estávamos a utilizar o Aikido antes de iniciarmos o nosso percurso ISO27001 com o Vanta. No início, isso significava exportar manualmente as evidências do Aikido para o Vanta e efetuar uma grande quantidade de introdução manual de dados. Assim que a integração foi implementada, tornou-se um fluxo contínuo de provas automatizadas entre as duas plataformas.

"Inicialmente, exportávamos manualmente as provas do Aikido para o Vanta. Atualmente, a integração proporciona-nos um canal de conformidade sem falhas."

Como descreveria o papel que a tecnologia desempenha atualmente no apoio à sua postura de conformidade?

O Aikido tornou-se a base do nosso monitoramento de segurança. Ele coleta continuamente evidências automatizadas que alimentam diretamente o Vanta, criando um pipeline de conformidade contínuo. Em vez de procurarmos provas de auditoria, temos visibilidade em tempo real e registos históricos prontos a qualquer momento.

"O Aikido tornou-se a base da nossa monitorização de segurança, fornecendo uma recolha contínua e automatizada de provas que alimenta diretamente o Vanta. Estamos sempre prontos para a auditoria."‍

O que é que se destacou na avaliação de ambas as ferramentas?

A facilidade de configuração. Não tínhamos tempo livre para ferramentas complexas. O Aikido foi configurado com um clique. Poucos minutos depois de nos ligarmos ao GitHub, os problemas começaram a surgir. Depois de nos ligarmos ao Vanta, estava tudo pronto.

Como tem sido a sua experiência com a equipa de Aikido?

Fantástico. Sempre que tínhamos um problema, o apoio técnico tratava dele em poucos minutos. As correcções chegavam normalmente no mesmo dia.

"Sempre que nos deparávamos com um problema, a equipa de apoio do Aikido resolvia-o em poucos minutos."

Caraterística favorita?

A filtragem automática de vulnerabilidades relevantes.

Como é que o Aikido mudou a forma como encara a segurança?

Permitiu-nos manter uma segurança de nível empresarial com uma equipa pequena. Em vez de monitorizar manualmente as vulnerabilidades, o Aikido dá-nos visibilidade instantânea. Podemos concentrar-nos na criação de funcionalidades sabendo que seremos alertados se algo precisar de atenção.

Pode partilhar um momento em que o Aikido e o Vanta lhe pouparam tempo ou stress?

Durante a preparação da nossa auditoria ISO27001. Em vez de passar semanas a recolher provas manualmente, gerámos os relatórios diretamente a partir das nossas integrações. Isso significava que não precisávamos de interromper o desenvolvimento para garantir a conformidade.

"Durante a preparação para a auditoria ISO27001, gerámos as provas de que necessitávamos a partir das nossas integrações, sem semanas de trabalho manual."

Já viu resultados mensuráveis?

A maior vitória é a poupança de tempo: cerca de 10 a 15 horas por mês que costumávamos gastar na monitorização manual da segurança e na preparação da conformidade. Para uma equipa pequena, isso representa quase meia semana do tempo de um programador, agora libertado para o desenvolvimento de produtos. O nosso tempo de resposta a vulnerabilidades também é muito mais rápido - somos notificados imediatamente, e não durante uma análise manual.

"O maior ganho é a poupança de tempo: 10-15 horas por mês, quase meia semana do tempo de um programador."

Se tivesse de descrever o impacto do Aikido numa frase, qual seria?

O Aikido encarrega-se do trabalho de monitorização da segurança para que possamos detetar e corrigir as vulnerabilidades antes que se tornem incidentes.