Notícias
Escritórios de advocacia alvo de ataques cibernéticos
O Relatório Anual de Segurança 2015 da Cisco classificou os escritórios de advocacia como o número sete em sua lista de setores de negócios mais vulneráveis, comumente visados por hackers, e essa foi a primeira vez que a área jurídica apareceu entre os 10 primeiros. Isso se explica porque é muito mais fácil obter informações de grandes empresas invadindo os servidores de escritórios de advocacia do que atravessar as sólidas infraestruturas tecnológicas de segurança das corporações. Indo um pouco mais longe, é o escritório de advocacia que presta serviços a essas empresas e que armazena e concentra suas informações mais sensíveis.Os documentos, sejam minutas em formato Word, documentos finais em formato Acrobat ou e-mails que podem conter verdadeiros pareceres legais no seu conteúdo, muitas vezes estão dispersos em caixas de entrada, pastas de rede, desktops e notebooks, o que inviabiliza seu controle e um simples vazamento de usuário e senha com acesso ilimitado pode comprometer a confidencialidade e a reputação de décadas de um escritório de advocacia, além da responsabilidade civil.
Para estar preparado para esse tipo de ocorrência e minimizar esses riscos é importante observar algumas políticas básicas de governança e segurança. Entre elas podemos destacar:
1. Armazenamento Controlado: Onde armazenar os dados é uma decisão crucial quando o objetivo é garantir que informações não acabem caindo nas mãos erradas. Se compararmos pastas compartilhadas de rede ou na nuvem ou mesmo discos locais com um sistema de gerenciamento de documentos, esse último traz benefícios significativos como a possibilidade de garantir a criptografia dos documentos, exigência de autenticação simples ou dupla, trilha detalhada de auditoria por documento e segurança por cliente/caso. Enquanto pode parecer ser tentador, conveniente e aparentemente barato armazenar os dados dos clientes em caixas postais pessoais e pastas compartilhadas, definitivamente se você está preocupado com a segurança das informações dos seus clientes, esta prática deve ser evitada.
2. Modelo de Segurança Restritiva: Normalmente você encontra o modelo de segurança otimista nos escritórios de advocacia que consiste em permitir que todos os membros do corpo jurídico tenham acesso a todo conteúdo, com pouquíssimas exceções relacionadas às informações administrativas e financeiras do próprio escritório e a casos ultra confidenciais. Nesse modelo, um acesso mal-intencionado utilizando qualquer credencial, garantirá direitos a um grande universo de informações. O que temos visto como uma boa prática é que os profissionais devem ter acesso apenas às informações que interessam para exercerem suas atividades, conhecido como modelo de segurança pessimista. Há, cada vez mais, situações em que o próprio cliente do escritório exige que apenas os membros das equipes responsáveis por seus casos acessem seus documentos, reduzindo sensivelmente o alcance de um invasor no caso de quebra de um usuário e senha.
3. Utilização de Recursos Seguros de Compartilhamento de Informações: Colaboração e comunicação são essenciais na prestação de serviços jurídicos, e a maioria dos profissionais confiam e utilizam ferramentas de e-mail para executar essas tarefas. Dessa maneira, informações sensíveis são enviadas e recebidas para revisão e alteração e isso ocorre diversas vezes durante o ciclo de vida do caso. Além disso, esse fluxo se estabelece entre inúmeras caixas postais, gerando grande quantidade de cópias dessas informações em sistemas externos fora do controle do escritório, multiplicando a probabilidade de vazamento de informações. Para lidar com essas demandas, a prática mais efetiva é utilizar uma ferramenta centralizada de compartilhamento e colaboração, integrada com suas aplicações de geração e de gestão de documentos que permita colaborar com segurança com agentes externos, seja no escritório ou em trânsito. Essas soluções corporativas garantem que a informação esteja centralizada, sob controle e ainda mantém uma trilha de auditoria detalhada de acesso.
4. Implementar Política de Retenção e Expurgo de Documentos: Enquanto guardar todos os documentos para futuras referências é perfeitamente justificável, cabe alertar que quanto maior o volume de informações maior o risco de vazamento. Pior do que responder por uma falha que levou a um incidente de segurança em um caso ativo de um cliente, é responder por um caso encerrado que já não gera receita para o escritório há mais de 10 anos.
5. Usar Machine Learning para detectar atividades suspeitas: Analytics e Machine Learning são duas tecnologias que estão em evidência e mudando o modo de operar das empresas. Os softwares de ponta para escritórios de advocacia podem auditar os dados incluindo monitoramento de utilização e acesso com base em padrões de comportamento. Esse tipo de observação pode reduzir dramaticamente o tempo de detecção de atividades criminosas que hoje, segundo pesquisas, é em média de 150 dias. Os escritórios também podem configurar gatilhos para determinar alertas e ações de contenção contra intrusos antes que fique fora de controle. Melhor ainda, ferramentas de machine learning ficam mais efetivas à medida que são utilizadas.
6. Treinamento de Colaboradores: O item mais importante para prevenir e conter invasões e vazamentos é o treinamento. O elo mais fraco no planejamento de segurança do escritório são as pessoas, e não por má fé ou falta de capacidade, mas porque elas não são bem informadas pela organização. Os profissionais precisam estar sempre informados e atualizados sobre as ameaças e técnicas mais utilizadas pelos hackers para invadir e obter informações. Uma iniciativa importante é disparar e-mails de fishing para alertar usuários e orientá-los como agir nesses casos. Motivar usuários a reportar e-mails suspeitos ou atitudes suspeitas é também uma boa prática.
É interessante notar que as práticas acima foram comentadas com enfoque em segurança da informação, mas que podemos revisitar cada uma delas e encontrar benefícios relacionados a ganhos de produtividade, análise de produtividade e à redução de custos entre outros.