A segurança da informação é fundamental para qualquer estabelecimento, inclusive para seu escritório de advocacia, que pretende se manter no mercado atual, extremamente ágil e competitivo. Essa é a opinião do diretor regional da Teltec Brasília, Alexandre Moraes, que, inclusive, apresentou a palestra “Revisitando a segurança da informação: muito além de meros produtos”, no Congresso de Informática e Inovação na Gestão Pública – Conip Judiciário & Controle, que ocorreu em setembro.
Em entrevista a Advocacia Digital, Moraes fala sobre a importância de se utilizar mecanismos de segurança e de armazenamento dos dados, o que, segundo ele, é fundamental para a sobrevivência das empresas.
Moraes: Cada segmento de mercado tem suas particularidades (missão, visão, capital intelectual e objetivos de negócio específicos, por exemplo). O que há em comum é que toda organização moderna, de uma forma ou de outra, está sempre conectada.
Não só sob o ponto de vista de seus usuários internos buscarem informações na Internet, mas também no que concerne a publicarem suas informações para acesso externo (fornecedores, parceiros de negócio, clientes e, em várias situações, o público em geral). Existem também aqueles dados, os quais o acesso deve ser provido de forma condicional, para um grupo bem seleto de usuários.
Para um escritório de advocacia, entendo que seja interessante ter respostas às seguintes perguntas: você se sentiria tranquilo em saber que dados sensíveis de seus clientes podem estar visíveis para cada um que acesse a sua rede? E você se sentiria confortável em saber que a estratégia de defesa de um cliente se tornou visível (para o seu oponente) antes do dia do julgamento do processo?
Moraes: É preciso partir do geral para o específico. Em vez de achar que existe um “produto mágico” que seja capaz de materializar a segurança ideal, é importante ter a visão completa do assunto.
Considerando que a maioria dos escritórios de advocacia provavelmente não tenha uma equipe dedicada à segurança, talvez seja mais simples contratar um serviço gerenciado de uma empresa especializada. Segurança é um processo contínuo, que deve ser tratado com abordagem sistêmica (isso envolve pessoas, processos e rotina de monitorização e testes).
Moraes: Há uma imagem gravada no inconsciente coletivo em que o hacker está em algum lugar, lançando um ataque cibernético (ou planejando o próximo).
Apesar de existirem ataques direcionados a um sistema específico e os ataques de negação de serviço (“Denial of Service“), muitos problemas são oriundos de ações não intencionais como:
Moraes: Muito disso está associado a uma falta de Cultura Organizacional de Segurança e, em muitos casos, até mesmo da total inexistência de uma política que estabeleça os tipos de acessos permitidos (e sob quais condições).
Moraes: Partindo da resposta a seguinte pergunta: “Qual informação tem valor para sua organização?”. A partir daí, um conjunto de práticas associadas a tratar com o zelo apropriado tudo o que se refere ao tratamento dessa informação (geração, transporte e armazenamento de forma segura).
Adotando-se a premissa de que “ataques acontecem” (independentemente de quanto cada empresa invista em segurança), podemos pensar em outros elementos importantes para a definição:
Moraes: Esse é um dos aspectos mais importantes. É vital definir o que é importante, o que é estratégico e os riscos que se podem tolerar para manter a empresa funcionando.
Não adianta querer “começar a configurar coisas”, sem saber o que se deve proteger, sem entender o que os dados significam para a empresa (em termos de imagem, competitividade, relação com clientes e fornecedores, etc). Um aspecto que não se pode esquecer é que deve haver um endosso executivo para a prática de segurança.
Moraes: Costumo dizer que o primeiro passo para se resolver um problema é saber o que está sendo perguntado.Sem entender claramente o enunciado, fica difícil fazer algo consistente.
Sem um conhecimento detalhado do ambiente computacional em que rodam os seus sistemas, sem a visibilidade das aplicações utilizadas a partir da sua rede, sem entender claramente o que está acontecendo, os controles se tornam frágeis (principalmente por falhas humanas).
Moraes: Os Certificados Digitais são uma ferramenta importante no processo de identificação dos usuários e sistemas envolvidos na comunicação.
E isso vale tanto para o originador de uma mensagem (ou transação eletrônica) quanto para os computadores que hospedam as aplicações de interesse. Além disso, são um grande facilitador do dia a dia eletrônico, pois a figura da Autoridade Certificadora (como um “terceiro que possui fé pública” para emitir e assinar um “documento de identidade eletrônica) permite o estabelecimento de relações de confiança, inclusive entre indivíduos que não se conhecem.
Além disso se, por qualquer motivo, algo no processo for comprometido, um certificado pode ser dinamicamente revogado.
Isso traz escala e confiabilidade à tarefa de administração das identidades. Não se pode, no entanto, delegar à tecnologia a responsabilidade exclusiva pela segurança, afinal, segurança é um processo contínuo que envolve pessoas, processos e, claro, soluções que se contraponham às más intenções dos hackers.
Deve-se entender qual problema cada uma das variadas tecnologias se propõe a resolver e integrá-las, para se ter uma arquitetura em camadas que se complementem.
Você pode gostar de:
Clique em uma estrela para avaliá-lo!
Vamos melhorar este post!
Obrigado pelo seu feedback!
Entre os dias 23 e 27 de março, estaremos no CIO Brasil 2022, evento promovido…
Entre os dias 20 e 24 de março, estaremos no CIAED (Congresso Internacional ABED de…
Desde o dia 25 de fevereiro de 2022, o Centro Virtual de Atendimento da Receita…
Para você que tem um certificado (A1 ou A3) no cartão, token, computador, celular (mobileID)…
A CertiSign, especialista em identificação e segurança digital, esclarece que não comercializa, intermedia ou tem…
Celebrado no dia 15 de março, o Dia do Consumidor foi instituído no Brasil em…