Cómo pueden las empresas proteger los datos de los clientes (y mantener su confianza) mientras desarrollan rápidamente la IA
Cada vez que un incidente grave de ciberseguridad aparece en los titulares, las organizaciones se hacen la misma pregunta: «¿Podría ocurrirnos a nosotros?».
La reciente cobertura mediática en numerosos sectores, incluido el de la tecnología jurídica, nos ha recordado que incluso las organizaciones con buenos recursos pueden enfrentarse a retos de seguridad cuando chocan las vulnerabilidades, los procesos y los plazos de respuesta. Y no puedo evitar preguntarme: en la prisa por construir más con IA y en la carrera por incorporar la IA a todo, ¿se ha convertido la seguridad en algo secundario?
Las brechas de seguridad rara vez se deben a un único fallo catastrófico. Lo más habitual es que se produzcan por pequeños fallos en los procesos, la visibilidad o la capacidad de respuesta ante los problemas. A medida que las organizaciones desarrollan IA y lanzan software más rápido que nunca, proteger los datos confidenciales requiere algo más que un único control de seguridad; requiere un enfoque proactivo y por capas de la gestión de riesgos (en un momento en el que cada segundo libre parece dedicarse a «nuevas iniciativas de IA»).
Como vicepresidente sénior de Operaciones de Mitratech, a menudo me preguntan cómo pueden las organizaciones evaluar si la tecnología en la que confían es realmente segura y si pueden confiar sus datos más sensibles a los proveedores de software. Al estar en el mercado de la tecnología jurídica, se puede imaginar lo expuesta que está nuestra industria en lo que respecta a la gestión de información crítica.
La respuesta no es una única característica del producto o una casilla de verificación de seguridad. Una seguridad sólida proviene de cómo se construyen, supervisan y operan los sistemas cada día.
Con titulares casi semanales sobre fallos en la seguridad y sin que se vislumbre un descenso en el entusiasmo por la IA (por buenas razones), quería compartir las preguntas que escucho con más frecuencia y cómo creo que las organizaciones deberían plantearse abordarlas.
¿Puedo confiar los datos de mi organización a un proveedor de software?
Esta es una de las preguntas más comunes que se hacen los equipos de seguridad y jurídicos al evaluar la tecnología.
La respuesta nunca debe ser «confíe en nosotros». En cambio, los proveedores fiables demuestran su seguridad mediante capas de protección.
Piensa en la seguridad como si fuera un castillo. La muralla es solo una capa. También hay un foso, guardias que vigilan las puertas y cámaras acorazadas cerradas con llave dentro de la estructura que protegen lo más importante. Y, en última instancia, la llave pertenece al cliente.
En las plataformas modernas en la nube, esas capas deben incluir todas o algunas combinaciones relevantes de, lo has adivinado: personas, procesos y tecnología. Elementos como:
- Prácticas seguras de desarrollo e implementación
- Supervisión continua de vulnerabilidades en el código y la infraestructura.
- Cifrado y protección de datos confidenciales
- Gestión de riesgos de terceros y proveedores
Todo ello respaldado por auditorías de cumplimiento y certificaciones de auditores independientes de forma periódica, como SOC 2 e ISO27001. Al igual que en la analogía del castillo, si los ataques cruzan el foso, aún hay un enorme muro frente a ellos. Las capas siguen en su sitio para proteger el tesoro, los datos de los clientes. La seguridad nunca debe depender de un único control.
¿Cómo surgen las vulnerabilidades de seguridad en primer lugar?
Una realidad importante de la ciberseguridad es la siguiente: constantemente aparecen nuevas vulnerabilidades.
A menudo oirá a los profesionales de la seguridad referirse a algunas de ellas como «vulnerabilidades de día cero». El término proviene de la idea de que las organizaciones tienen cero días de aviso una vez que se conoce la vulnerabilidad. En el momento en que se descubre, es posible que los atacantes ya estén intentando explotarla.
Una mañana te despiertas y descubres ese mismo día (día 0) que un software que conoces y te encanta tiene una vulnerabilidad que todo el mundo conoce. Requiere atención inmediata hoy mismo.
Estas vulnerabilidades suelen aparecer en lugares como:
- Bibliotecas de código abierto y marcos de desarrollo
- Componentes de infraestructura
- Dependencias de software de terceros
Y permítanme ser claro: ninguna empresa puede evitar que se descubran vulnerabilidades.
Pero antes de entrar en pánico, lo que diferencia a las organizaciones seguras de las inseguras son sus procesos para gestionar estos incidentes y la rapidez y coherencia con la que responden. Los procesos adecuados convierten una crisis potencial en un mantenimiento rutinario. En entornos maduros, responder a las vulnerabilidades es simplemente parte de las operaciones diarias.
¿Cómo cambian los riesgos de seguridad el desarrollo moderno de software y la IA?
La IA y las herramientas modernas para desarrolladores han aumentado drásticamente la rapidez con la que se puede crear e implementar software. Hoy en día, los desarrolladores pueden:
- Cree aplicaciones más rápido.
- Lanzar nuevas funciones continuamente
- Genera grandes cantidades de código con la ayuda de la IA.
Si bien esto acelera la innovación, también introduce nuevos riesgos. Como líderes en seguridad, debemos equilibrar la innovación sin perder de vista la gobernanza y cumplir lo que hemos prometido a los clientes. En Mitratech, nos referimos a ese equilibrio como «innovación gestionada».
Históricamente, el código se revisaba manualmente antes de su implementación. Se miraba al vecino y se le hacía la pregunta tecnológica equivalente a «¿Esto está bien?». Sin convertir esto en un blog sobre seguridad, la velocidad de desarrollo actual hace que la revisión manual sea difícil de escalar.
La seguridad moderna se basa en controles automatizados integrados directamente en el proceso de desarrollo. Herramientas como Snyk o GitHub Advanced Security analizan el código y las dependencias en busca de vulnerabilidades antes de que se implemente el software. Si se detecta un riesgo conocido, la herramienta puede bloquear la implementación hasta que se solucione. Si algo que antes era seguro ahora está en producción, puede desencadenar acciones inmediatas. Además, existen plataformas de seguridad en la nube, como Wiz o Rapid7 CloudSec, y herramientas de supervisión de la infraestructura, como Microsoft Defender o CrowdStrike, que ayudan a detectar continuamente vulnerabilidades en entornos de nube y dependencias de terceros en entornos en los que los sistemas cambian y se transforman rápidamente a lo largo del día. La automatización ayuda a aplicar prácticas seguras sin ralentizar la innovación.
¿Qué papel desempeña la supervisión humana en la ciberseguridad actual?
La tecnología por sí sola no puede garantizar la seguridad de una organización. La seguridad también es un problema humano: tanto por parte de los empleados internos (pensemos en las estafas de phishing, etc.) como por parte de la supervisión del equipo de seguridad interno. Esto significa que los desarrolladores, ingenieros y operadores deben comprender lo siguiente:
- Cómo construir sistemas seguros
- Cómo responder a las vulnerabilidades
- Cómo evaluar las dependencias de terceros
- Cómo identificar riesgos emergentes
- Cómo se forma a los empleados de toda la organización para reconocer y evitar los vectores de ataque más comunes.
En otras palabras, los programas de seguridad sólidos combinan formación (funcional y en toda la organización), controles automatizados y procesos operativos claros. Juntos, estos elementos crean un entorno en el que la seguridad se convierte en parte del trabajo diario, y no en algo secundario.
Muchos programas de seguridad consolidados también combinan la experiencia interna en materia de seguridad con socios externos especializados, entre los que se incluyen auditores independientes, empresas de pruebas de penetración y plataformas de supervisión de la seguridad en la nube que proporcionan una validación adicional y una supervisión continua.
¿Por qué la seguridad debe ser un factor fundamental en la selección de proveedores?
La seguridad es uno de los aspectos más importantes para los clientes de una empresa de software, especialmente en lo que respecta a los aspectos legales y de cumplimiento normativo. Si confías información confidencial a un proveedor, no deberías tener que «esperar» que sea cuidadoso. Deberías poder comprobar que la seguridad forma parte de su forma de trabajar diaria: cómo crean, cómo supervisan, cómo responden y cómo forman a sus equipos.
Y, sinceramente, en un momento en el que la IA está en auge, es fácil que las organizaciones dediquen sus energías a lo nuevo y llamativo. La experiencia del cliente es lo que ocurre cuando algo sale mal, y si su proveedor lo trata como un simulacro de incendio... o como un mantenimiento rutinario.
Si alguna vez quieres comparar opiniones sobre lo que se considera «bueno» (o qué preguntas hacer en una evaluación), a veces la forma más rápida de aclararlo es mantener una conversación directa en un evento del sector o durante tu ciclo de evaluación.
¿Cómo evalúo la seguridad de los proveedores?
¿Recuerdas el castillo? Quieres claridad en todos los niveles de protección. Aquí hay algunos ejemplos que deberían ser imprescindibles en las conversaciones de evaluación:
- ¿Cómo detectas y respondes a las vulnerabilidades?
- ¿Qué controles evitan que se implemente código inseguro? Por ejemplo, ¿utiliza herramientas automatizadas de análisis estático y de dependencias en su canalización de CI/CD que bloquean las compilaciones si se detectan vulnerabilidades?
- ¿Cómo gestionas los riesgos de terceros?
- ¿Cómo capacita a sus empleados internos?
- ¿Se cifran los datos de los clientes? ¿Cómo se mantiene la integridad?
- ¿Cómo gestionas las vulnerabilidades en las bibliotecas de terceros y las dependencias de software?
- ¿Quién comprueba su trabajo? ¿Qué auditorías o certificaciones independientes (como SOC 2 o ISO 27001) validan su programa de seguridad?
El objetivo no es eliminar el riesgo por completo, sino trabajar con socios que lo gestionen de forma activa y cuenten con una trayectoria probada.
En resumen: Busque proveedores con una trayectoria en la que pueda confiar.
Lo ideal es contar con un proveedor con un historial de prácticas de seguridad sólidas. El nivel de tolerancia depende de cada empresa y de su apetito de riesgo.
La ciberseguridad no es una inversión única ni una herramienta concreta. Más bien, es un proceso continuo que combina tecnología, personas, disciplina operativa y concienciación sobre los riesgos.
Las organizaciones que abordan la seguridad de esta manera están mejor preparadas para responder cuando inevitablemente aparecen vulnerabilidades.
Y estos principios no son teóricos. Se siguen (aunque con variaciones) en todas las empresas tecnológicas modernas, incluida Mitratech. Nuestros equipos crean y gestionan software partiendo de la base de que inevitablemente surgirán vulnerabilidades. El objetivo no es la perfección, sino la preparación.
La combinación de prácticas de seguridad por capas, medidas de protección automatizadas en el proceso de desarrollo, supervisión continua, procesos operativos sólidos y formación, y el equipo adecuado dan como resultado respuestas rápidas si aparecen nuevas amenazas.
Y si está evaluando tecnología jurídica, no dude en hacer este tipo de preguntas. Cualquier proveedor sólido debería acogerlas con agrado.
Preguntas frecuentes: Seguridad y protección de datos en Mitratech
¿Cómo protege Mitratech los datos de los clientes?
Mitratech utiliza prácticas de seguridad por capas que incluyen procesos de desarrollo seguros, supervisión automatizada de vulnerabilidades, protecciones de infraestructura, medidas de cifrado y gestión continua de riesgos diseñadas para reducir la exposición a amenazas emergentes.
¿Puedo confiar en Mitratech con datos confidenciales legales y de cumplimiento normativo?
La confianza proviene de la transparencia y la disciplina operativa. Mitratech ofrece ambas cosas. Nos centramos en incorporar la seguridad en las prácticas de desarrollo, los controles de infraestructura y los procesos de gestión de riesgos para que las organizaciones puedan confiar en la protección de sus datos.
¿Cómo gestiona Mitratech las nuevas vulnerabilidades de seguridad?
Mediante múltiples métodos, supervisamos continuamente las vulnerabilidades emergentes y seguimos procesos estructurados para evaluar la exposición, priorizar las correcciones y desplegar actualizaciones rápidamente, al tiempo que nos basamos en múltiples medidas de seguridad para reducir el riesgo.
¿Cómo gestiona Mitratech los riesgos asociados al software de terceros?
Sin pudor alguno, bebemos nuestro propio champán (a través de Mitratech Prevalent) . El software moderno depende de marcos y proveedores externos. Mitratech evalúa los riesgos de terceros, supervisa las vulnerabilidades en todas las dependencias e incorpora prácticas de gestión de riesgos para ayudar a reducir la exposición en todo el ecosistema de software.
