Un gran bufete de abogados con más de 500 empleados gestiona un gran volumen de expedientes de casos delicados, comunicaciones confidenciales con clientes e investigaciones jurídicas patentadas en equipos distribuidos.

La empresa necesitaba un planteamiento sólido y proactivo para identificar y abordar las vulnerabilidades de seguridad en múltiples sistemas orientados a Internet, incluidos los portales de clientes, la infraestructura de trabajo remoto y las aplicaciones alojadas en la nube. 

La iniciativa de mejorar la seguridad siguió al mandato de su proveedor de seguros de responsabilidad cibernética de escanear periódicamente la vulnerabilidad como parte de los requisitos de renovación de la póliza. Esto convirtió la implantación de un programa formalizado no solo en una buena práctica, sino en una obligación contractual para mantener la cobertura. 

La creciente huella digital de la empresa aumentó su exposición a las ciberamenazas, especialmente: 

• Incumplimiento de las normas de ciberseguridad impulsadas por los clientes y las aseguradoras. 

Los directivos necesitaban un proceso repetible y cuantificable que pudiera adaptarse al crecimiento de la empresa, garantizando al mismo tiempo la continuidad operativa y cumpliendo los requisitos de su compañía de seguros. 

Diseñamos y aplicamos un Programa trimestral de exploración de vulnerabilidades externas a: 

• Descubra todas las direcciones IP, dominios y servicios públicos de todas las oficinas. 
• Evalúe vulnerabilidades utilizando herramientas de escaneo líderes en la industria. 
• Dar prioridad a la corrección en función de la gravedad, la explotabilidad y el posible impacto empresarial/legal. 
• Colabore con el departamento interno de TI para solucionar los problemas antes del siguiente ciclo de escaneado. 
• Cumplimiento de documentos con informes detallados. 

Proceso: 

• Cartografía de activos: Inventario exhaustivo de los sistemas orientados a Internet. 
• Escaneando: Exploraciones no intrusivas para detectar vulnerabilidades en tiempo real sin afectar a las operaciones. 
• Informar: Resúmenes ejecutivos para la dirección e informes técnicos detallados para TI. 
• Orientación para la remediación: Recomendaciones específicas con calendarios y análisis de impacto. 
• Re: Validación de Escaneo: Las vulnerabilidades confirmadas se corrigieron antes del cierre del ciclo trimestral. 
• Presentación del seguro: Proporcionó pruebas documentadas de la gestión de vulnerabilidades para cumplir los requisitos de las políticas. 

• Reducción de riesgos: Reducción de las vulnerabilidades críticas en los dos primeros trimestres. 
• Cumplimiento de la normativa sobre seguros: Cumplió con éxito las condiciones del seguro de responsabilidad cibernética, garantizando una cobertura ininterrumpida. 
• Normalización de procesos: Establecido un protocolo uniforme de gestión de vulnerabilidades en todas las oficinas. 
• Visibilidad ejecutiva: La claridad de los informes mejoró la toma de decisiones en los consejos de administración. 

• Para los grandes bufetes de abogados, la exploración de vulnerabilidades es tanto una necesidad de seguridad como un requisito de cumplimiento de la normativa sobre seguros. 
• El escaneado trimestral protege frente a las ciberamenazas en evolución, al tiempo que satisface las obligaciones de terceros. 
• Una documentación clara respalda la gobernanza interna y las auditorías externas, ayudando a evitar la no renovación de pólizas o el aumento de las primas.