Introducción
La ciberseguridad es bien conocida en el mundo empresarial. Pero cada vez se presta más atención a la ciberresiliencia frente a la ciberseguridad y a la distinción entre ambas. Para los equipos jurídicos y los responsables de gobernanza que manejan información altamente confidencial, la ciberseguridad no es negociable. Incluso sin tener responsabilidad directa en la implementación de la seguridad, entienden claramente los riesgos asociados a un perfil de ciberresiliencia débil.
Hoy en día, la resiliencia se ha convertido en una promesa genérica en el mercado. Los proveedores afirman que son seguros y se posicionan como la base de una sólida estrategia de ciberresiliencia. La cuestión para los equipos de liderazgo y los profesionales jurídicos es si esas afirmaciones se mantienen cuando se produce una interrupción.
Dejando de lado el lenguaje de marketing, el primer paso es entender qué es la ciberresiliencia frente a la ciberseguridad. A continuación, los responsables legales, de cumplimiento normativo y otras partes interesadas deben exigir respuestas claras a una breve lista de preguntas antes de seleccionar a cualquier proveedor que maneje datos corporativos sensibles.
Ciberresiliencia frente a ciberseguridad
La ciberseguridad se enmarca tradicionalmente en torno a la prevención, centrándose en el bloqueo de incidentes para reducir la exposición. La ciberresiliencia se refiere a la capacidad de una organización no solo para prevenir ataques, sino también para responder con prontitud y seguir realizando operaciones en circunstancias adversas.
Los conceptos de ciberresiliencia y ciberseguridad no son realmente opuestos. Abordan las ciberamenazas desde ángulos diferentes. De hecho, Gartner prevé que para 2028, la mitad de los CISO cambiarán formalmente el nombre de sus programas de ciberseguridad por el de programas de ciberresiliencia.
¿Por qué? La ciberseguridad por sí sola ya no basta. Los incidentes disruptivos son inevitables. Especialmente a medida que las herramientas impulsadas por IA se convierten en parte del trabajo diario. Lo más importante es la preparación y la capacidad de recuperación. La ciberresiliencia adopta una visión más amplia, con el objetivo de minimizar el impacto en los objetivos empresariales y garantizar la continuidad, no solo proteger los sistemas de los incidentes.
Este cambio también ayuda a explicar el ruido de marketing que probablemente crecerá en torno al concepto, y el bombo publicitario que puede seguirle. Para las funciones de gobierno y los equipos jurídicos, la implicación es directa. Cuando se produce una interrupción, la organización debe demostrar que tomó decisiones defendibles, respetó las obligaciones reglamentarias, mantuvo una cadena de responsabilidad clara y gestionó a terceros de forma responsable.
5 preguntas que debe hacer a su proveedor de servicios
Para garantizar que un proveedor de servicios no se limita a cumplir los requisitos mínimos de ciberseguridad, puede ser útil pensar en términos de ciberresiliencia frente a ciberseguridad. Hay varias preguntas que pueden orientar a los directivos. Esto es crucial para tomar la decisión correcta cuando se trata de soluciones de legaltech. Ya se trate de una herramienta de gestión de contratos, de gestión de entidades o de un conjunto de soluciones totalmente integrado, estas preguntas serán de ayuda:
1. ¿Cuenta con una certificación independiente y puede aportar pruebas de ello?
Existen requisitos de cumplimiento obligatorios y no obligatorios para los proveedores de tecnología. Y en legaltech, incluso los no obligatorios son importantes. Cualquier proveedor puede afirmar que sigue las mejores prácticas y presentar certificaciones. Es un buen comienzo. Las certificaciones demuestran que las prácticas se auditan y se mantienen. Pero la verdadera cuestión es hasta qué punto un proveedor se las toma en serio.
Para muchos proveedores de servicios legaltech, la certificación SOC 2 se ha convertido en un imperativo. Esta certificación complementa la ISO 27001 y corre a cargo de auditores externos. Para lograr la certificación SOC 2, los sistemas de un proveedor deben cumplir normas definidas en materia de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.
Qué pedir:
Los proveedores de legaltech suelen enumerar sus certificaciones en una página específica. Por ejemplo, DiliTrust mantiene certificaciones alineadas con estas normas y afirma que su política de seguridad está validada mediante certificaciones ISO y un informe SOC 2.
2. ¿Dónde se alojan los datos y qué jurisdicciones los regulan?
Los equipos jurídicos y los responsables de gobernanza comprenden la importancia del alojamiento de datos. No todos los clientes tienen las mismas necesidades o requisitos. Y la ubicación de los datos tiene implicaciones directas para el cumplimiento normativo y la soberanía de los datos.
Un proveedor de legaltech creíble debe ofrecer explicaciones claras sobre su modelo de alojamiento. Esto incluye las medidas de seguridad física y cómo se gestionan las dependencias transfronterizas. Para soluciones como la gestión de contratos o las plataformas de gestión de consejos de administración, suele ser preferible trabajar con proveedores de servicios que operen con servidores en distintas regiones en lugar de centralizarlo todo en una única ubicación.
Qué pedir:
Un buen ejemplo es el compromiso de DiliTrust con el alojamiento local y la supervisión continua para evitar el acceso no autorizado a los datos. Actualmente, los servidores de DiliTrust están ubicados en distintas regiones para satisfacer mejor las necesidades de los clientes. Por ejemplo, la empresa amplió las opciones de alojamiento local a las regiones de Arabia Saudí y EAU.
3. ¿Siguen un modelo de acceso cero y cómo se aplica?
El acceso del personal de los proveedores a los datos de los clientes es uno de los factores de riesgo que más se pasan por alto. El alojamiento de datos y las certificaciones suelen tratarse como los cimientos visibles de la ciberresiliencia. Pero los controles de acceso internos pueden ocultar las mayores brechas de seguridad.
Una postura de seguridad sólida requiere un modelo estricto de gobernanza del acceso, idealmente alineado con un principio de acceso cero. ¿Qué significa esto? El principio de acceso cero, que no debe confundirse con el de confianza cero o acceso a la red de confianza cero, significa que el proveedor de servicios no tiene acceso interno por defecto a los datos del cliente. Los datos del cliente permanecen bajo el control exclusivo del cliente. Y el acceso sólo es posible a través de procedimientos de excepción controlados y documentados, en su caso.
Qué pedir:
Cualquier proveedor de legaltech debe ser capaz de explicar claramente quién puede acceder a los entornos de los clientes, en qué condiciones y cómo se controla, supervisa y revisa el acceso a lo largo del tiempo. DiliTrust opera bajo un modelo de acceso cero en el que sus equipos no acceden a la información confidencial de los clientes y los datos de estos permanecen bajo el control exclusivo de los mismos.
4. ¿Qué controles de identidad y acceso están disponibles para los usuarios?
La gestión de identidades y accesos es un componente esencial de la ciberresiliencia. Muchos incidentes de seguridad no comienzan con ataques sofisticados, sino con credenciales comprometidas. Un proveedor de legaltech debe apoyar las normas de autenticación sólidas y una gestión de identidades de nivel empresarial para reducir la exposición y limitar el impacto del acceso no autorizado.
En la práctica, un proveedor debe proporcionar capacidades de identidad como la autenticación de dos factores y el inicio de sesión único, permitiendo a los clientes aplicar políticas de acceso seguro en todos los equipos. Esto es especialmente importante en entornos de alta exposición, como las plataformas de gestión de consejos de administración, donde el acceso a menudo se extiende más allá de los usuarios internos a asistentes ejecutivos, directores externos y participantes ocasionales. Por ejemplo, cuando los miembros del consejo se unen a las reuniones desde distintos dispositivos o ubicaciones, el inicio de sesión único ayuda a garantizar que el acceso siga vinculado a los controles de identidad corporativos.
Qué pedir:
DiliTrust destaca los controles de acceso de los usuarios, como la autenticación de dos factores y las capacidades de inicio de sesión único, como parte de sus medidas de seguridad, garantizando que sólo los usuarios autorizados puedan acceder a los datos o manipularlos.
5. ¿Cómo se demuestra la seguridad continua, no sólo la seguridad anual?
La seguridad no es un logro puntual que los proveedores puedan tachar de una lista de control. Es continua y debe integrarse en la estrategia general de la empresa. Para las organizaciones que desean digitalizar los procesos de gobernanza, es crucial evaluar la solidez continua del programa de seguridad de su proveedor de legaltech.
El trabajo jurídico y de gobernanza es complejo, delicado y altamente confidencial. Para operar en las condiciones adecuadas, los equipos deben poder confiar en pruebas de supervisión continua, actualizaciones periódicas de seguridad, formación de los empleados y responsabilidad clara en materia de protección de datos. Estas pruebas pueden adoptar muchas formas, desde programas de formación periódicos para empleados hasta la publicación de códigos de conducta. Hoy en día es especialmente importante para los casos de uso relacionados con la IA. Y para mantener políticas de seguridad documentadas y aplicables.
Qué pedir:
Hoy en día, múltiples normativas exigen políticas de respuesta a incidentes precisas y bien documentadas. Esto se refleja en 2025 con la entrada en vigor de DORA en la Unión Europea. DiliTrust ofrece herramientas de gobernanza corportaiva diseñadas para apoyar el cumplimiento de DORA por parte de los equipos jurídicos. Las organizaciones deben asegurarse de que sus proveedores de servicios se mantienen al día de la evolución de la normativa y tratan la seguridad como un esfuerzo continuo.
¿Listo para DORA?
Vuelva a ver o descubra nuestro seminario web sobre DORA, en el que tratamos los principios de este nuevo marco normativo y compartimos ideas prácticas sobre cómo prepararse para cumplir con DORA.
Ciberresiliencia frente a ciberseguridad: una cuestión de transparencia y pruebas
La ciberresiliencia frente a la ciberseguridad no es una elección. La ciberseguridad se centra en reducir la exposición. Y la ciberresiliencia se basa en esa premisa, garantizando que una organización pueda responder, recuperarse y continuar operando cuando se produce una interrupción.
Por ello, la due diligence de los proveedores va más allá del cumplimiento. Las cinco preguntas anteriores ayudan a confirmar si un proveedor de legaltech puede respaldar la continuidad, la responsabilidad y la preparación normativa a lo largo del tiempo. Para los equipos jurídicos y de gobierno, esto es esencial. Porque la interrupción se convierte rápidamente en una cuestión de responsabilidad, pruebas y riesgo de terceros.
En última instancia, la ciberresiliencia depende del ecosistema en el que se confía. Si un proveedor no puede demostrar los fundamentos de la resiliencia con transparencia y pruebas, su propia postura de ciberresiliencia se ve comprometida, independientemente de lo sólidas que puedan ser sus políticas internas.
