Segurança da Informação no ambiente do Jurídico
A pauta de segurança da informação é prioridade na maioria das grandes empresas, no entanto, quando se trata do ambiente jurídico, incluindo os fornecedores do mesmo, como escritórios de advocacia, o assunto não recebe ainda a relevância necessária.
A dinâmica dos negócios exige, cada vez mais, que o jurídico precise acessar e compartilhar muita informação, na grande maioria de caráter confidencial, com uso de diversos recursos tecnológicos, especialmente para mobilidade e portabilidade de dados. As consultas são feitas por email, e há casos, em que os pareceres de resposta às mesmas também precisam seguir por correio eletrônico, não apenas pela celeridade, mas para ser enviado a múltiplos destinatários simultaneamente, que podem estar até em países distintos. No entanto, como fica a proteção da confidencialidade?
Tenho realizado muitos trabalhos de elaboração de políticas de segurança da informação com apoio na implementação de uma cultura de uso ético, seguro e legal da tecnologia e percebo que já está na hora do ambiente jurídico se conscientizar, antes que o aprendizado ocorra através de um incidente grave.
Atualmente, o ambiente jurídico é extremamente vulnerável. Não há políticas ou normas estabelecidas sobre o uso das informações e tecnologias, há apenas inserção de cláusulas de confidencialidade em contratos ou assinatura de NDA (Non Disclosure Agreement). Ou seja, há a obrigação, mas não há o processo e o controle de cumprimento da mesma.
As situações mais comuns de risco no jurídico são: senha genérica (para vários usuários), uso de senha por terceiro (uma pessoa sabe a senha da outra e isto está institucionalizado), facilidade de acesso a informações de clientes (não há segregação na rede, guarda de logs, fica tudo no outlook e não na rede), facilidade de eliminação de dados na rede (usuários com perfil de administrador), portabilidade ou mobilidade de dados sem proteção (tráfego de dados em notebook, smartphone, sem uso de criptografia, biometria, ou outros recursos), descarte de mídia inseguro (não picotar papel, não desfragmentar CDs e outras mídias), acesso fácil a informação (porta USB habilitada, onde qualquer pen drive pode levar gigas de informação sem rastreabilidade), falta de guarda de evidências de autoria (não saber quem pode ter feito o que nas máquinas, emails, rede, devido a uso de senhas fracas ou coletivas), outros.
Por isso, assim como o jurídico já implementou diversas soluções para capacitar equipes e melhorar o fluxo de trabalho, com uso de softwares, internet, intranet, email, outros, para ter segurança não basta retirar o gravador de CD das máquinas. Segurança da informação requer muito mais, desde normatização clara das regras até campanha de conscientização. Portanto, para 2008, Jurídico seguro é a meta!
10 Dicas para um Jurídico Seguro:
1. Elaborar e implementar Política de Segurança da Informação, deixando claro que há monitoramento do ambiente corporativo e inspeção de equipamentos;
2. Elaborar e implementar Norma de Autenticação de Usuários com uso de controles de senha forte (senha individual, mínimo 10 caracteres, alterada periodicamente;
3. Elaborar e implementar Norma de uso de email, com proibição de uso de webmail e tratando sobre como guardar o conteúdo dos mesmos e por quanto tempo;
4. Elaborar e implementar Norma de uso da rede, deixando claro que tudo tem que estar salvo na rede e não no desktop;
5. Elaborar e implementar Norma de uso de internet, deixando claro quais os sites não permitidos para navegação no ambiente de trabalho;
6. Elaborar e implementar Norma de uso de dispositivos móveis (notebook, smartphone, pen drive, outros, deixando claro como proteger o conteúdo portado nos mesmos);
7. Implementar uso de picotadora, desfragmentador, criptografia, assinatura digital, biometria ou outras tecnologias que garantem descarte seguro, prova de autoria e integridade (quando aplicável);
8. Desabilitar as portas USB das máquinas em geral;
9. Implementar o processo de “concessão por exceção”, com uso de formulário para requisição de privilégios de TI, onde o solicitante deixa claro o motivo de negócio que exige a necessidade de ter porta USB habilitada, uso de webmail, outros;
10. O mais importante, conscientizar os usuários (sejam funcionários, colaboradores, sócios, secretárias, estagiários). Educação e informação são a melhor proteção.
Dra. Patricia Peck Pinheiro, advogada especialista em Direito Digital, sócia da PPP Advogados, autora do Livro Direito Digital pela Editora Saraiva (www.pppadvogados.com.br)
Direitos Autorais Reservados
Publicado: Visão Jurídica
PPP - Patricia Peck Pinheiro Advogados
Nenhum comentário:
Postar um comentário