A confidencialidade da informação e a cibersegurança nos escritórios de advocacia

A advocacia é uma atividade que naturalmente opera com informações de alta confidencialidade, tratando, não só de dados pessoais, mas de segredos de pessoas e organizações, como confidências pessoais, propriedade intelectual, documentos e detalhes de seus diversos casos.

Há certo tempo atrás, falava-se que a advocacia seria, logo após os políticos, a segunda posição dos candidatos a sofrer um grampo telefônico ilícito o que, no atual mundo digital, significa que as informações tratadas nessa atividade são um alvo em potencial para outras formas de interceptação, praticadas agora por cibercriminosos, pelo que é relevante nessa atividade se falar em segurança da informação.

Como parte do ofício, os advogados devem guardar não apenas sigilo conforme as normas, mas também manter os dados de seus clientes o mais seguros possível, a fim de preservar pessoas e organizações, mantendo a confiança de seus clientes.

Temos como principais ameaças hoje os ataques cibernéticos com sequestro e vazamento de dados (ransomware), e a própria espionagem digital seja através da exploração das vulnerabilidades de redes e sistemas, como através de burla das pessoas com prática de engenharia social.

Como as boas práticas de proteção de dados recomendam a avaliação dos riscos de segurança da informação, sendo claramente relevante o risco do vazamento ou perda de informação nesse tipo de atividade, com consequências graves:

Portanto, como em todo tipo de organização, independentemente do tamanho, é imprescindível a adoção de medidas estritas de segurança da informação, não somente prevenindo a perda ou acesso não autorizado externo, como também o controle de acesso dentre os diversos membros do escritório, haja vista que há informações que somente podem ser compartilhadas com um número restrito de pessoas.

Corroborando com esse mister, devem ser adotadas as boas práticas de classificação da informação, controle de acesso e proteção da informação armazenada e em trânsito, seja ela física (documentos) como digital em sistemas e mídias.

Uma empresa especializada em segurança da informação pode realizar testes de segurança na infraestrutura tecnológica do escritório como a análise de vulnerabilidades, como também avaliar a conformidade dos processos de trabalho, orientando a melhoria de sua operação.

Como a maior parte da informação atual transita de forma digital, a segurança cibernética é fundamental em todas as frentes: nas redes, sistemas e dispositivos utilizados pelos membros no local ou de modo remoto (inclusive avaliar os que forem possíveis de terceiros como parceiros e fornecedores), para que se estabeleça de modo efetivo uma prática segura e que minimize incidentes.

Recomenda-se, então, que os escritórios realizem uma análise de segurança da sua operação, adotando medidas que atendam os reconhecidos pilares da segurança da informação (confidencialidade, integridade e disponibilidade), como a própria LGPD menciona de modo expresso, através da “utilização de medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”, e, tudo isso, de modo preventivo contra possíveis danos causados pelo tratamento da informação. Essa ideia de proteção se aplica a dados pessoais, como, pela natureza da atividade, claramente pode ser aplicada a toda a informação tratada pelos profissionais em sua atividade.

Por fim, para implementar essas melhorias, há referência em boas práticas internacionais de segurança, com verdadeiros roteiros de adequação disponíveis para orientar a estruturação de uma gestão de segurança da informação, tanto cibernética como de políticas e procedimentos a orientar a conduta dos profissionais.