Los 10 principales riesgos de terceros en el sector jurídico (y cómo abordarlos)

La mayoría de los riesgos legales relacionados con los proveedores tienen que ver con la seguridad de los datos. ¿Cuáles son los controles adecuados para proteger los datos? Descúbralo aquí.

Personal de Mitratech
Personal de Mitratech Junio 23, 2020 7 min leer

Con el fin de ofrecer un enfoque más económico para la gestión de riesgos de terceros (TPRM) en el sector jurídico, Prevalent se asoció con los principales bufetes de abogados de Estados Unidos para lanzar en 2017 la Red de Proveedores Jurídicos (LVN)
. La LVN está diseñada para permitir a proveedores de todo tipo (eDiscovery, recursos humanos, servicios de traducción y muchos otros) completar una vez las evaluaciones de control de seguridad estandarizadas y compartirlas con todos los miembros de la comunidad LVN que son bufetes de abogados. Este enfoque reduce el coste y el tiempo que necesitan los bufetes de abogados para evaluar a los proveedores de servicios críticos.

Desde su lanzamiento, la LVN ha recopilado datos relativos a las prácticas de seguridad de los proveedores utilizando los cuestionarios SIG (Shared Assessments Standard Information Gathering) de Shared Assessments. Este blog resume los diez principales riesgos descubiertos a partir del análisis de 344 cuestionarios completados seleccionados al azar y ofrece recomendaciones sobre cómo los bufetes de abogados pueden mitigar estos riesgos.

Los 10 principales riesgos legales de los proveedores

Al analizar los resultados de la muestra aleatoria, descubrimos que los terceros representan el mayor riesgo para los bufetes de abogados en las siguientes áreas:

  1. Seguridad de las aplicaciones: tratamiento de datos en aplicaciones: 67 %.
  2. Control de acceso – Acceso remoto – 65 %
  3. Resiliencia empresarial: los servicios de terceros son una dependencia crítica (64 %).
  4. Seguridad física y ambiental: se permite la entrada a visitantes: 62 %.
  5. Gestión de activos e información: los datos puntuados se almacenan electrónicamente: 61 %.
  6. Seguridad de aplicaciones – Desarrollo de aplicaciones – 61 %
  7. Gestión de activos e información: los datos se almacenan en una base de datos: 58 %.
  8. Seguridad del servidor: los datos se almacenan en un servidor: 57 %.
  9. Seguridad de las aplicaciones: tratamiento de datos mediante sitios web: 54 %.
  10. Seguridad de las aplicaciones – Gestión de vulnerabilidades de las aplicaciones – 52 %

El resto de este blog se centrará en las tres categorías comunes de estos diez riesgos principales: seguridad de las aplicaciones, gestión de activos e información, y áreas como el acceso físico y lógico a los datos.

Riesgos y soluciones de seguridad de las aplicaciones

Dado que las aplicaciones suelen estar disponibles en todas las redes y conectadas a la nube, son vulnerables a amenazas de seguridad que podrían dar lugar a violaciones. Dado que los bufetes de abogados tienen la responsabilidad de proteger los datos de sus clientes, no es de extrañar que la seguridad de las aplicaciones sea objeto de tanto escrutinio. Echemos un vistazo a lo que nos dicen los cuatro riesgos relacionados con la seguridad de las aplicaciones que figuran en la lista de los diez principales mencionada anteriormente.

Nuestro análisis de la Red de Proveedores Legales muestra que:

  • La falta de controles de seguridad sólidos para las aplicaciones que transmiten, procesan o almacenan datos puede aumentar el riesgo de exposición de datos e infiltración en la red.
  • La falta de controles de seguridad para el desarrollo de aplicaciones puede dejar puntos vulnerables dentro de la aplicación.
  • La falta de vulnerabilidades conocidas no remediadas que no se comunican a los grupos de supervisión y respuesta de seguridad para su conocimiento y supervisión deja la posibilidad de exposición. Esto se debe principalmente a la falta de procesos dentro del ciclo de vida del desarrollo de software (SDLC).
  • La falta de controles de seguridad en los sitios web puede dejar expuestos los datos y los puntos de infiltración en la red.

Para abordar los riesgos de seguridad de las aplicaciones, los bufetes de abogados deben:

  • Evaluar los controles de seguridad implementados para la aplicación, el proceso de desarrollo y los sitios web de sus proveedores, e identificar los controles específicos que requieren correcciones o madurez.
  • Identifique si las vulnerabilidades de los proveedores son supervisadas y rastreadas por un grupo diferente, como el grupo de gestión de riesgos. Si las vulnerabilidades no están siendo supervisadas, exija la implementación de un proceso que imponga la comunicación, el seguimiento, la supervisión y la corrección de estas vulnerabilidades.
  • Evaluar la documentación, como las políticas de gestión de acceso, los diagramas de red, los informes de penetración en la red, las políticas de respuesta a incidentes, el ciclo de vida de desarrollo de software seguro (SSDLC), los análisis de código (estáticos o dinámicos) y los informes de penetración en aplicaciones. Los análisis de código y los informes de penetración en aplicaciones deben proceder de un conjunto de herramientas automatizadas y/o de una empresa externa.

Para el manejo de datos críticos y/o restringidos/confidenciales, los bufetes de abogados deben considerar la posibilidad de realizar una diligencia debida adicional, como completar una revisión de la madurez de la seguridad integrada en el proveedor (vBSIMM). Para las aplicaciones de cara al exterior, utilice la supervisión de riesgos de proveedores de Prevalent para identificar problemas como amenazas a la propiedad intelectual, credenciales expuestas y typosquatting.

Riesgos y soluciones relacionados con la gestión de activos e información

El almacenamiento y la gestión segura de los datos es el eje central de múltiples requisitos normativos en materia de privacidad y protección de datos, entre ellos el RGPD, la CCPA y otros. Al igual que con la seguridad de las aplicaciones, es esencial que los bufetes de abogados se aseguren de que sus proveedores cuentan con las medidas de protección adecuadas para proteger los datos de sus clientes, ya que, de lo contrario, se enfrentarán a sanciones. Dos de los diez principales riesgos están relacionados con la gestión de la información, ya que la falta de protocolos sólidos para proteger los datos podría dar lugar a la compromisión de los mismos y a sanciones normativas.

Para abordar los riesgos relacionados con la gestión de activos e información, los bufetes de abogados deben:

  • Evalúa los controles de seguridad que se aplican al almacenamiento de los datos. Empieza por solicitar pruebas como una política de cifrado, una política de gestión de accesos y un diagrama de red.
  • Identifique los requisitos normativos y controles específicos que deben estar vigentes y asegúrese de que el tercero cuente con los controles adecuados. Considere la posibilidad de realizar una diligencia debida adicional para terceros de alto riesgo, exigiendo un informe de penetración de la red realizado por una empresa externa.

La red de proveedores legales predominante ofrece la capacidad de abordar estas recomendaciones.

Control de acceso, resiliencia empresarial, seguridad física y ambiental; riesgos y soluciones de seguridad de servidores.

Esta última categoría de riesgos analizada por Legal Vendor Network tiene importantes implicaciones en materia de acceso a los datos si no se aborda.

  • Seguridad física y ambiental: La falta de protocolos sólidos para impedir el acceso no autorizado a las instalaciones físicas podría dar lugar a una serie de puntos vulnerables en materia de seguridad, como la pérdida de datos, el compromiso de la red y el acceso no autorizado.
  • Seguridad del servidor: La falta de protocolos sólidos para proteger el acceso al servidor y la exposición de datos podría dar lugar a la compromisión de los datos.
  • Resiliencia empresarial: la dependencia de proveedores de servicios externos críticos puede dar lugar a una serie de riesgos potenciales, como la imposibilidad de proporcionar un producto o servicio y la exposición de datos.
  • Acceso remoto: expone la posibilidad de acceso por parte de personas ajenas si no se implementan los controles y la supervisión adecuados.

Para hacer frente a estos riesgos, los bufetes de abogados deben:

  • Evalúe los controles de seguridad existentes en torno al acceso, tanto físicos como lógicos. Comience por exigir pruebas, como la política de seguridad física, la política de gestión de accesos y los detalles relativos al uso de VPN y controles de autenticación multifactorial. Asegúrese de que la política incluya detalles como registros de visitantes, tarjetas de identificación, acompañamiento de empleados, videovigilancia y mecanismos de cierre de las zonas restringidas. En el caso de terceros de alto riesgo, considere la posibilidad de exigir una diligencia debida adicional, solicitando un informe de seguridad in situ, como el SOC2 Tipo II.
  • Evaluar los controles de seguridad existentes en torno al servidor y el acceso al mismo. Exigir pruebas tales como una política de cifrado, una política de gestión de accesos y un diagrama de red. Considerar la posibilidad de realizar una diligencia debida adicional para terceros de alto riesgo, exigiendo un informe de penetración de la red realizado por una empresa externa.
  • Exija pruebas relacionadas con su plan de continuidad/resiliencia empresarial. En el caso de terceros que supongan un alto riesgo y/o de los que su empresa dependa de forma crítica, considere la posibilidad de realizar una diligencia debida adicional, como una prueba basada en escenarios o un ejercicio de equipo rojo que se centre específicamente en el servicio crítico prestado por el tercero para comprobar la preparación ante posibles impactos. Asegúrese de que todos los terceros tengan requisitos contractuales en materia de disponibilidad del servicio.

Próximos pasos

Los bufetes de abogados tienen requisitos estrictos en materia de ciberseguridad y cumplimiento normativo por parte de sus clientes en lo que respecta al acceso a los datos. Los resultados de este análisis muestran que la principal preocupación de los bufetes de abogados es cómo gestionan los datos sus proveedores, ya sea en aplicaciones, activos o en servidores o espacios físicos. La red Prevalent Legal Vendor Network, basada en la plataforma Prevalent Third-Party Risk Management Platform, se ha creado desde cero para evaluar, gestionar y supervisar estos riesgos. Nuestra plataforma unificada combina la potencia de las evaluaciones SIG con los servicios de evaluación de riesgos de proveedores de Prevalent para recopilar y analizar los datos de los proveedores en nombre de los bufetes de abogados. Con este modelo, los equipos jurídicos tienen la garantía de conocer las prácticas de seguridad y cumplimiento normativo de sus proveedores y pueden tomar medidas informadas.

Si eres un bufete de abogados y deseas tener más control sobre tus proveedores, solicita una demostración hoy mismo.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.