Segurança da Informação e a advocacia eletrônica virtual

16 de abril de 2013
Compartilhe

Cada vez mais, a segurança da informação, de uma maneira estruturada e normatizada, é necessária para o ambiente profissional no Brasil. O segmento das instituições financeiras (e seus fornecedores) foi o primeiro obrigado a seguir os normativos de proteção da informação. O tipo de negócio Comércio Eletrônico foi um segmento que logo entendeu a necessidade da Segurança da Informação. As organizações que tratam informações de saúde estão começando a ser exigidas para implementar os controles de Segurança da Informação. Em seguida, os advogados e os escritórios de advocacia precisam (obrigatoriamente) utilizar a informação eletrônica (com segurança), em função de uma realidade (Advocacia Virtual) que se instalou no Brasil, como por exemplo, o Processo Judicial Eletrônico.

Com certeza, o primeiro impacto para os advogados e escritórios de advocacia é a novidade (para a maioria) das regras sobre o como se relacionar com o Ambiente Jurídico Virtual. É necessário tomar conhecimento das novas ferramentas de interação com esta nova forma de comunicação jurídica.

A Segurança da Informação possui normas internacionais, a maioria publicada no Brasil, na Língua Portuguesa, pela ABNT, que apesar de não terem força de lei, definem como uma organização, independentemente do seu porte, deve desenvolver e implantar uma efetiva proteção da informação. No nosso entendimento, os advogados e seus escritórios precisam seguir estas orientações. Caso não o façam, colocarão em risco a execução operacional de sua atividade profissional.

O Peticionamento Eletrônico foi implantado e está em utilização. Alguns requisitos do Peticionamento Eletrônico serão mais bem executados com o respaldo dos 133 controles de Segurança da Informação, que agrupamos em dimensões, descritos na NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Neste comentário, vamos destacar algumas dimensões e seu relacionamento com o Ambiente Jurídico Virtual.

1. Dimensão de acesso à informação

A identificação e autenticação para o Peticionamento Eletrônico é feito pela utilização de Certificado Digital, para pessoa física, pertencente à estrutura da ICP-Brasil. É de responsabilidade do usuário credenciado o sigilo da senha de acesso ao certificado, a guarda do certificado, e o sigilo da senha de acesso aos sistemas dos tribunais. Na assinatura convencional existe uma relação direta da pessoa com a assinatura (escrita). Na assinatura eletrônica não existe esta relação direta. Existe uma relação indireta utilizando um token inteligente ou um cartão inteligente e funções matemáticas confiáveis. Este token ou cartão é utilizado pela pessoa e para o seu acesso é utilizada uma senha, podendo no futuro utilizar biometria. A perda deste componente (token ou cartão) inviabiliza o acesso ao Ambiente Virtual Jurídico.

Isto significa que é necessário que a Organização tenha uma Gestão de Identidade. Preocupações com o uso individual do certificado, perda do certificado (impossibilidade do acesso do advogado ao ambiente eletrônico), validade do certificado, morte do usuário e certificado ainda válido, são algumas situações que precisam ser consideradas, avaliadas e normatizadas internamente pelo escritório de advocacia.

O acesso à informação no ambiente convencional continua existindo, bem como a necessidade de definição de regras para indicar quem pode acessar o que, como o acesso realizado fica registrado e como se garantirá que as pessoas acessam apenas o que necessitam para o desempenho das suas atividades.

Apesar de o Peticionamento Eletrônico ter gerado uma maior preocupação com o acesso lógico da informação, é bom lembrar que os escritórios de advocacia possuem vários sistemas internos no ambiente de Tecnologia da Informação que também precisam ser protegidos. Muitas vezes, os controles para estes sistemas não são rígidos como deveriam ser.

2. Dimensão ambiente tecnológico

O envio de documentação digitalizada (padrão PDF), documentação assinada (Certificado Digital ICP-Brasil), acesso autenticado pelo certificado digital, comunicação via Internet com os Tribunais, confiabilidade do provedor de Internet, configuração dos computadores utilizados, geram uma dependência da tecnologia como nunca existiu. Os elementos de tecnologia precisam ser protegidos e devem ter regras para a sua gestão e uso.  Falhas neste ambiente podem deixar indisponível o acesso ao ambiente jurídico virtual. Muitas vezes, estas falhas (ou erros) demoram a ser identificadas e podem acarretar impacto operacional no trabalho do advogado. Outra falha simples, mas de grande impacto, é um erro no programa que gera o documento em padrão PDF que inviabilize a sua leitura pelo órgão da Justiça que recebê-lo. A escolha e o uso de produtos (softwares) confiáveis é de responsabilidade do usuário e organização.

3. Dimensão da continuidade do negócio

Esta dependência do Ambiente de Tecnologia da Informação exige que seja estruturado um plano de continuidade de negócio, caso estes elementos tecnológicos fiquem indisponíveis.

Além destes elementos tecnológicos, é necessário considerar para a continuidade da organização, outros recursos, como: ambiente físico do escritório, pessoas que ficam indisponíveis, documentos em papel, pessoas que deixam a organização e outros recursos que trarão impacto para a organização. Neste ambiente de Peticionamento Eletrônico, o correio eletrônico é um elemento crítico na cadeia de sucesso operacional. O que acontecerá se o arquivo com as mensagens de correio eletrônico for perdido e não exista uma cópia de segurança? Também a perda dos documentos originais em papel poderá causar impactos operacionais.

É bom lembrar que um plano de continuidade somente será considerado efetivo se este plano existir formalmente, estruturado, documentado, testado, aprimorado após cada teste e validado por uma terceira parte.

4. Dimensão de cópia de segurança

Continuando o caso da perda do arquivo de correio eletrônico citado no item anterior, é necessário que haja um conjunto de cópias de segurança, estruturado e com a garantia de que é suficiente para atender situações de perda do arquivo original. Bem como, a existência de cópia válida dos documentos em papel. O que acontecerá se as informações do seu escritório de advocacia forem destruídas por alguma falha, por algum desastre ou por uma sabotagem?

5. Dimensão de classificação da informação

Com certeza, muitas informações de um escritório de advocacia são confidenciais e merecem um tratamento rigoroso para proteger este padrão de sigilo. Mas, segundo a Norma NBR 27002, um documento, ou uma apresentação de uma informação (tela de sistema em um computador), classificado (a) como confidencial precisa explicitamente informar este patamar de sigilo.

Também são necessárias regras sobre como deve ser o tratamento da mídia que suporta esta informação confidencial. Pode-se enviar um documento contendo uma informação confidencial pelo correio eletrônico? E pelo fax?

Somente com a implantação da Dimensão de Classificação da Informação, a organização poderá fazer um eficiente descarte de informação e de recursos de informação. Por exemplo, definirá como colocar no lixo os documentos ou como doar equipamentos antigos do escritório. Estas são questões que precisam das regras de Classificação da Informação.

6. Dimensão Treinamento e Conscientização das pessoas

Todos os profissionais envolvidos no ambiente do escritório de advocacia (não só os advogados) precisam ser treinados e conscientizados em segurança da informação.

Pelo tipo de negócio, acredito que a conscientização exista em todos, mas o treinamento não. Porque o treinamento dependerá de como são as regras em cada escritório de advocacia. Por exemplo: as regras das cópias de segurança ou o procedimento de descarte de informação.

7. Dimensão gestão de riscos em segurança da informação

Uma organização, e no caso específico um escritório de advocacia que tenha como objetivo implantar um Processo Organizacional de Segurança da Informação, precisa desenvolver e manter a Dimensão Gestão de Riscos. Este é um assunto tão crítico que existe um normativo específico: Norma NBR ISO/IEC 27005 – Tecnologia da informação – Técnicas de segurança – Gestão de Riscos em Segurança da Informação.

A Gestão de Riscos em Segurança da Informação permitirá que a organização avalie (e defina providências) periodicamente as possíveis vulnerabilidades, tomando por base os controles de segurança da informação, que podem inviabilizar o uso da informação.

Conclusão
No Livro Praticando a Segurança da Informação, Editora Brasport, 2008, compartilho 123 questões que ajudam a organização na avaliação do seu Processo Organizacional de Segurança da Informação. Como está a sua Organização?

O Ambiente Virtual Jurídico, no momento, está vivendo grande crescimento. Os usuários e as organizações deste ambiente precisam se basear nos controles de Segurança da Informação descritos nas Normas da Família ISO 27000, para garantir uma proteção adequada da informação.

Questão de tempo, outros tipos de organização e profissões, cada vez mais, utilizarão também o ambiente virtual e precisarão seguir os controles de segurança da informação.

Boa segurança para todos!

 

*Edison Fontes. Mestre em Tecnologia. Possui as certificações internacionais de CISM, CISA e CRISC. É consultor, gestor e professor de Segurança da Informação dos cursos de pós-graduação da FIAP. Compartilha seu conhecimento como colunista do site Information Week. Autor dos livros: Políticas e Normas para a Segurança da Informação (Editora Brasport), Clicando com Segurança (Editora Brasport), Praticando a Segurança da Informação (Editora Brasport), Segurança da Informação: o usuário faz a diferença! (Editora Saraiva) e Vivendo a Segurança da Informação (Editora Sicurezza). Atua na área de Segurança da Informação desde 1989.

Últimas Notícias
STARTUP ONE MBA 2024 – 1° SEMESTRE: CONHEÇA O TOP 10 Leia mais
PROFESSORES DA FIAP PARTICIPAM DA III BUSINESS WEEK DA MUST UNIVERSITY Leia mais
MBA em Product Management é opção para transição de carreira Leia mais
NEXT 2023: FIAP PREMIA MAIS DE 80 PROJETOS DOS ALUNOS DA GRADUAÇÃO Leia mais

Nosso site armazena cookies para coletar informações e melhorar sua experiência. Gerencie seus cookies ou consulte nossa política.

Prosseguir

Configure seus cookies

Pensando em nossos alunos, fazemos o uso de cookies para melhorar a experiência de navegação em nosso site e otimizar constantemente os nossos serviços. Os cookies armazenam temporariamente algumas informações básicas da sua interação com as nossas páginas.

Cookies indispensáveis

Estes cookies não podem ser desativados pois são necessários para que o site funcione corretamente ou para melhorar o desempenho funcionalidades diversas. Eles estão relacionados com a realização de login no Portal do Aluno, o preenchimento de formulários, contagem de visitas para a medição de performance de páginas, entre outros. Todos armazenados sem a possibilidade de identificação pessoal. Ao configurar seu navegador para bloquear esses cookies, algumas partes do site podem não funcionar.

Cookies de publicidade

Habilitado

Estes cookies são estabelecidos por nossos parceiros de publicidade e podem ser usados para compor um perfil sobre seus interesses e, a partir disso, mostrar anúncios relevantes para você em outros sites. As informações armazenadas são baseadas na identificação exclusiva do seu navegador e dispositivo de internet, sem armazenar diretamente informações pessoais. Ao configurar seu navegador para bloquear esses cookies, você terá menos publicidade direcionada.