Segurança da Informação no mercado jurídico — Parte II

A importância no controle de acesso às informações.

Os e-mails, documentos e arquivos de uma organização jurídica possuem informações sigilosas. Elas dizem respeito a técnicas e modos de agir da equipe, que servem como diferenciais positivos no meio jurídico, e também trazem detalhes e elementos de clientes e parceiros de trabalho que devem ser mantidos em segredo, por conta de todo o aparato legal em que estão envolvidos. Manter essas informações protegidas, na verdade, pode ser crucial para ser bem-sucedido no curso de um processo na Justiça.

Por outro lado, compartilhar a informação, tanto os arquivos quanto o conhecimento de cada advogado, é importante para se alcançar um bom andamento do trabalho em equipe, a fim de acelerar algumas demandas e diligências, além de prestar um melhor serviço advocatício. É importante que se encontre o equilíbrio, onde o usuário que precisa pode acessar as informações, porém, garantindo que ela esteja protegida contra acessos indevidos.

Os escritórios de advocacia podem se beneficiar não só de um software de gestão de casos, mas também de soluções como a encriptação de e-mails ou o acesso por nomes de usuários e senhas. Entretanto, os advogados e demais funcionários devem compreender seus deveres legais e éticos de proteger as informações sensíveis relativas ao escritório, aos seus clientes e demandas jurídicas.

Controle de Acesso

Primeiramente, devemos compreender que o controle de acesso é responsável por limitar as ações ou operações que um usuário de sistema computacional pode executar, restringindo diretamente o que ele pode fazer, como também os programas (softwares) que podem ser executados em seu nome.

Os controles de acesso, físico ou lógico, tem ainda como objetivo proteger equipamentos, aplicativos e arquivos de dados contra perda, modificação ou divulgação não autorizada. Não basta ter um firewall¹ rodando em servidores, ou no caso de ambientes físicos, câmeras de segurança para identificar e monitoras. É preciso desenvolver uma política de controle de acesso eficiente, para caso haja um incidente, ser possível identificar seu autor.

Um controle de acesso tem dois objetivos principais:

  1. Identificar cada pessoa que tem acesso a determinado recurso e quais não têm.
  2. Manter um controle das identificações realizadas. Isso permite que, caso um problema de segurança ocorra, seja facilmente identificado através deste controle, que em sua grande maioria das vezes é feito através de registro eletrônico e logs de acesso.

Para completar o raciocínio acima, para que se possa garantir um ambiente seguro, os seguintes aspectos tem que ser garantidos por meio do controle de acesso: Autenticidade, Confidenciabilidade e Integridade.

O que devo proteger?

A proteção aos recursos deve ser divida em, no mínimo, três diferentes categorias. São elas:

No sistema de arquivos — dados e informações que vão ser acessados;
Na rede — o que cada máquina pode acessar na rede;
Fisicamente — áreas que podem ser acessadas por todos no escritórios e áreas de acesso restrito.

Afinal, por que devo me preocupar com o controle de acesso?

Os escritórios de advocacia estão no topo da economia da informação, com a posse de ativos valiosos. No entanto, como constamos no primeiro artigo, a conscientização e aplicação da cibersegurança ainda não ganhou a força e atenção que merece.

Mais acordos e novos negócios gerados significa mais dados e informações, deixando escritórios de advocacia e setores jurídicos ainda mais vulneráveis a ataques e vazamentos de informações.

Essa falta de preocupação com a segurança eleva uma contradição: os dados são valiosos, mas protegê-los parece ser uma inconveniência, um desperdício de tempo que poderia ser usado para outros ganhos.

Quando uma violação acontece, a primeira pergunta que escutamos geralmente é “O que fizemos de errado?”. A resposta para essa questão é simples: depende. No entanto, sabemos que os escritórios costumam cometer um erro comum ao permitir que usuários comuns tenham acesso à conta de administrador local.

Os hackers sabem muito bem tirar proveito disso, segundo o diretor de segurança sênior Jackson Shaw. “Os hackers estão tentando invadir, e estão usando as credenciais dos usuários. Eles ficam na expectativa até obter acesso por uma conta privilegiada”, explica Shaw.

Como proteger o acesso a seus ativos mais preciosos

Padrões e frameworks de segurança já conhecidos, como o SANS Critical Security Controls, ISO 27001 e NIST Cybersecurity Framework, definem uma série de procedimentos para lidar com problemas comuns relacionados à cibersegurança. Veja algumas recomendações para lidar com o acesso privilegiado:

  • Monitore o uso de contas com privilégios administrativos
  • Remova privilégios de usuários que não precisam mais de acesso a informações críticas
  • Remova o excesso de privilégios e desabilite contas privilegiadas que não são mais necessárias

Os escritórios precisam implementar uma estratégia de gestão de contas privilegiadas e incorporá-la ao plano de proteção dos dados mais sensíveis da empresa. Confira alguns maneiras de fazer isso:

  1. Faça um inventário das contas, usuários e grupos privilegiados e dos sistemas de arquivos;
  2. Identifique os dados sensíveis;
  3. Audite todos os sistemas de arquivos, e-mails e atividades de grupos e usuários;
  4. Monitore o acesso privilegiado.

No próximo artigo da série Segurança da Informação no mercado jurídico, vamos explorar o gerenciamento de riscos e vulnerabilidades.