A segurança da informação é fundamental para qualquer estabelecimento, inclusive para seu escritório de advocacia, que pretende se manter no mercado atual, extremamente ágil e competitivo. Essa é a opinião do diretor regional da Teltec Brasília, Alexandre Moraes, que, inclusive, apresentou a palestra “Revisitando a segurança da informação: muito além de meros produtos”, no Congresso de Informática e Inovação na Gestão Pública – Conip Judiciário & Controle, que ocorreu em setembro.
Em entrevista a Advocacia Digital, Moraes fala sobre a importância de se utilizar mecanismos de segurança e de armazenamento dos dados, o que, segundo ele, é fundamental para a sobrevivência das empresas.
Como a tecnologia está mudando o escritório de advocacia
Advocacia Digital: Qual é a importância da segurança da informação para os escritórios de advocacia?
Alexandre Moraes, Diretor Regional da Teltec Brasília
Moraes: Cada segmento de mercado tem suas particularidades (missão, visão, capital intelectual e objetivos de negócio específicos, por exemplo). O que há em comum é que toda organização moderna, de uma forma ou de outra, está sempre conectada.
Não só sob o ponto de vista de seus usuários internos buscarem informações na Internet, mas também no que concerne a publicarem suas informações para acesso externo (fornecedores, parceiros de negócio, clientes e, em várias situações, o público em geral). Existem também aqueles dados, os quais o acesso deve ser provido de forma condicional, para um grupo bem seleto de usuários.
Para um escritório de advocacia, entendo que seja interessante ter respostas às seguintes perguntas: você se sentiria tranquilo em saber que dados sensíveis de seus clientes podem estar visíveis para cada um que acesse a sua rede? E você se sentiria confortável em saber que a estratégia de defesa de um cliente se tornou visível (para o seu oponente) antes do dia do julgamento do processo?
A.D.: Cyber Security se tornou uma das principais pautas no universo corporativo. Em um mundo cada vez mais digitalizado, os ataques cibernéticos são responsáveis por grandes prejuízos. Neste sentido, como investir em segurança da informação no universo jurídico?
Moraes: É preciso partir do geral para o específico. Em vez de achar que existe um “produto mágico” que seja capaz de materializar a segurança ideal, é importante ter a visão completa do assunto.
Considerando que a maioria dos escritórios de advocacia provavelmente não tenha uma equipe dedicada à segurança, talvez seja mais simples contratar um serviço gerenciado de uma empresa especializada. Segurança é um processo contínuo, que deve ser tratado com abordagem sistêmica (isso envolve pessoas, processos e rotina de monitorização e testes).
A.D.:A segurança da informação está exclusivamente ligada a ataques de hackers?
Moraes: Há uma imagem gravada no inconsciente coletivo em que o hacker está em algum lugar, lançando um ataque cibernético (ou planejando o próximo).
Apesar de existirem ataques direcionados a um sistema específico e os ataques de negação de serviço (“Denial of Service“), muitos problemas são oriundos de ações não intencionais como:
- Usuários (inadvertidamente) acessando sites maléficos fora da empresa e trazendo o conteúdo ruim para o lado interno da muralha;
- e usuários sendo ludibriados por técnicas de engenharia social, que permitem a um elemento externo atuar como se fosse da organização e, dessa forma, ter acesso privilegiado a sistemas.
A.D.: Isso está associado a quê?
Moraes: Muito disso está associado a uma falta de Cultura Organizacional de Segurança e, em muitos casos, até mesmo da total inexistência de uma política que estabeleça os tipos de acessos permitidos (e sob quais condições).
A.D.: Na prática, como você define segurança da informação?
Moraes: Partindo da resposta a seguinte pergunta: “Qual informação tem valor para sua organização?”. A partir daí, um conjunto de práticas associadas a tratar com o zelo apropriado tudo o que se refere ao tratamento dessa informação (geração, transporte e armazenamento de forma segura).
Adotando-se a premissa de que “ataques acontecem” (independentemente de quanto cada empresa invista em segurança), podemos pensar em outros elementos importantes para a definição:
- A capacidade de se defender e proteger de ataques;
- A agilidade para identificar se um ataque está acontecendo, como está acontecendo e o que está sendo afetado;
- A eficiência em conter e remediar o ataque, reduzindo os danos causados;
- A maturidade para saber que esse é um processo contínuo em um ambiente completamente dinâmico, de modo que sempre devemos estar revisando o trabalho e admitindo que, por mais que nos esforcemos, “não depende só de nós”.
A.D.: Para garantir a segurança e o controle, a empresa deve definir diretriz e normas aos profissionais que lidam com a Política de Segurança da Informação?
Moraes: Esse é um dos aspectos mais importantes. É vital definir o que é importante, o que é estratégico e os riscos que se podem tolerar para manter a empresa funcionando.
Não adianta querer “começar a configurar coisas”, sem saber o que se deve proteger, sem entender o que os dados significam para a empresa (em termos de imagem, competitividade, relação com clientes e fornecedores, etc). Um aspecto que não se pode esquecer é que deve haver um endosso executivo para a prática de segurança.
A.D.: Quais os melhores métodos de controle de segurança?
Moraes: Costumo dizer que o primeiro passo para se resolver um problema é saber o que está sendo perguntado.Sem entender claramente o enunciado, fica difícil fazer algo consistente.
Sem um conhecimento detalhado do ambiente computacional em que rodam os seus sistemas, sem a visibilidade das aplicações utilizadas a partir da sua rede, sem entender claramente o que está acontecendo, os controles se tornam frágeis (principalmente por falhas humanas).
A.D.: E o que dizer dos Certificados Digitais? A assinatura eletrônica, pela confiabilidade que confere às transações, e pela já larga utilização comercial, pessoal e empresarial, tende a assumir a condição de padrão mundial de autenticação de documentos?
Moraes: Os Certificados Digitais são uma ferramenta importante no processo de identificação dos usuários e sistemas envolvidos na comunicação.
E isso vale tanto para o originador de uma mensagem (ou transação eletrônica) quanto para os computadores que hospedam as aplicações de interesse. Além disso, são um grande facilitador do dia a dia eletrônico, pois a figura da Autoridade Certificadora (como um “terceiro que possui fé pública” para emitir e assinar um “documento de identidade eletrônica) permite o estabelecimento de relações de confiança, inclusive entre indivíduos que não se conhecem.
Além disso se, por qualquer motivo, algo no processo for comprometido, um certificado pode ser dinamicamente revogado.
Isso traz escala e confiabilidade à tarefa de administração das identidades. Não se pode, no entanto, delegar à tecnologia a responsabilidade exclusiva pela segurança, afinal, segurança é um processo contínuo que envolve pessoas, processos e, claro, soluções que se contraponham às más intenções dos hackers.
Deve-se entender qual problema cada uma das variadas tecnologias se propõe a resolver e integrá-las, para se ter uma arquitetura em camadas que se complementem.
Você pode gostar de:
- Seu nome, seu valor
- Como o armazenamento em nuvem pode ajudar a rotina do advogado
- Autenticação: da idade da pedra à Biometria
- Certificado digital além dos Tribunais
Esse conteúdo foi útil?
Clique em uma estrela para avaliá-lo!
Poxa! Lamentamos que este post não tenha sido útil para você!
Vamos melhorar este post!
Obrigado pelo seu feedback!
