Cada vez mais a segurança da informação, de uma maneira estruturada e normatizada, é necessária para o ambiente profissional no Brasil. O segmento das instituições financeiras (e seus fornecedores) foi o primeiro segmento obrigado a seguir os normativos de proteção da informação. O tipo de negócio Comércio Eletrônico foi um segmento que logo cedo entendeu a necessidade da Segurança da Informação. As organizações que tratam informações de saúde estão começando a serem exigidas para implementarem os controles de Segurança da Informação. Em seguida os Advogados e os Escritórios de Advocacia precisam (obrigatoriamente) utilizar a informação eletrônica (com segurança) em função de uma realidade (Advocacia Virtual) que se instalou no Brasil, como por exemplo, o Processo Judicial Eletrônico.
Com certeza o primeiro impacto para os Advogados e Escritórios de Advocacia é a novidade (para a maioria) das regras sobre como se relacionar com o Ambiente Jurídico Virtual. É necessário tomar conhecimento das novas ferramentas de interação com esta nova forma de comunicação jurídica.
A Segurança da Informação possui normas internacionais, a maioria publicada no Brasil, na Língua Portuguesa pela ABNT, que apesar de não terem força de lei, definem como uma organização, independentemente do seu porte, deve desenvolver e implantar uma efetiva proteção da informação. No nosso entendimento, os Advogados e seus Escritórios precisam seguir estas orientações. Caso não o façam, colocarão em risco a execução operacional da sua atividade profissional.
O Peticionamento Eletrônico foi implantado e está em utilização. Alguns requisitos do Peticionamento Eletrônico serão melhor executados com o respaldo dos 133 controles de Segurança da Informação, que agrupamos em Dimensões, descritos na NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Neste comentário, vamos destacar algumas dimensões e seu relacionamento com o Ambiente Jurídico Virtual.
1. Dimensão de Acesso à Informação
A identificação e autenticação para o Peticionamento Eletrônico é feito pela utilização de Certificado Digital, para pessoa física, pertencente à estrutura da ICP-Brasil. É de responsabilidade do usuário credenciado o sigilo da senha de acesso ao certificado, a guarda do certificado, e o sigilo da senha de acesso aos sistemas dos tribunais. Na assinatura convencional existe uma relação direta da pessoa com a assinatura (escrita). Na assinatura eletrônica não existe esta relação direta. Existe uma relação indireta utilizando um token inteligente ou um cartão inteligente e funções matemáticas confiáveis. Este token ou cartão é utilizado pela pessoa e para o seu acesso é utilizada uma senha, podendo no futuro utilizar biometria. A perda deste componente (token ou cartão) inviabiliza o acesso ao Ambiente Virtual Jurídico.
Isto significa que é necessário que a Organização tenha uma Gestão de Identidade. Preocupações com o uso individual do certificado, perda do certificado (impossibilidade do acesso do advogado ao ambiente eletrônico), validade do certificado, morte do usuário e certificado ainda válido, são algumas situações que precisam ser consideradas, avaliadas e normatizadas internamente pelo Escritório de Advocacia.
Porém o acesso à informação no ambiente convencional continua existindo bem como a necessidade de definição de regras para indicar quem pode acessar o que, como o acesso realizado fica registrado e como se garantirá que as pessoas acessam apenas aquilo que necessitam para o desempenho das suas atividades.
Apesar do Peticionamento Eletrônico ter gerado uma maior preocupação com o acesso lógico da informação, é bom lembrar que os Escritórios de Advocacia possuem vários sistemas internos no Ambiente de Tecnologia da Informação que também precisam ser protegidos. Muitas vezes os controles para estes sistemas não são rígidos como deveriam ser.
2. Dimensão Ambiente Tecnológico
O envio de documentação digitalizada (padrão PDF), documentação assinada (Certificado Digital ICP-Brasil), acesso autenticado pelo certificado digital, comunicação via Internet com os Tribunais, confiabilidade do provedor de Internet, configuração dos computadores utilizados, geram uma dependência da tecnologia como nunca existiu. Os elementos de tecnologia precisam ser protegidos e devem ter regras para a sua gestão e uso. Falhas neste ambiente podem deixar indisponível o acesso ao ambiente jurídico virtual. Muitas vezes estas falhas (ou erros) demoram a ser identificadas e podem acarretar impacto operacional no trabalho do advogado. Outra falha simples, mas de grande impacto é um erro no programa que gera o documento em padrão PDF que inviabilize a sua leitura pelo órgão da Justiça que receber este documento. A escolha e uso de produtos (softwares) confiáveis é de responsabilidade do usuário e organização.
3. Dimensão da Continuidade do Negócio
Esta dependência do Ambiente de Tecnologia da Informação exige que seja estruturado um plano de continuidade de negócio, caso estes elementos tecnológicos fiquem indisponíveis.
Além destes elementos tecnológicos, é necessário considerar para a continuidade da organização, outros recursos, como: ambiente físico do Escritório, pessoas que ficam indisponíveis, documentos em papel, pessoas que deixam a organização e outros recursos que trarão impacto para a organização. Neste ambiente de Peticionamento Eletrônico, o Correio Eletrônico é um elemento crítico na cadeia de sucesso operacional. O que acontecerá se o arquivo com as mensagens de correio eletrônico for perdido e não exista uma cópia de segurança? Também a perda dos documentos originais em papel poderá causar impactos operacionais.
É bom lembrar que um plano de continuidade somente será considerado efetivo se este plano existir formalmente estruturado, documentado, testado, aprimorado após cada teste e validado por uma terceira parte.
4. Dimensão de Cópia de Segurança
Continuando o caso da perda do arquivo de correio eletrônico citado no item anterior, é necessária a existência de um conjunto de cópias de segurança, estruturados e com a garantia de que é suficiente para atender situações de perda do arquivo original. Bem como a existência de cópia válida dos documentos em papel. O que acontecerá se as informações do seu Escritório de Advocacia forem destruídas por alguma falha, por algum desastre ou por uma sabotagem?
5. Dimensão de Classificação da Informação
Com certeza muitas informações de um Escritório de Advocacia são confidenciais e merecem um tratamento rigoroso para proteger este padrão de sigilo. Mas, segundo a Norma NBR 27002, um documento, ou uma apresentação de uma informação (tela de sistema em um computador), classificado (a) como confidencial precisa explicitamente informar este patamar de sigilo.
Também é necessária a existência de regras sobre como deve ser o tratamento da mídia que suporta esta informação confidencial. Pode-se enviar um documento contendo uma informação confidencial pelo correio eletrônico? E pelo fax?
Somente com a implantação da Dimensão de Classificação da Informação a Organização poderá fazer um eficiente descarte de informação e de recursos de informação. Por exemplo, definirá como colocar no lixo os documentos ou como doar equipamentos antigos do escritório. Estas são questões que precisam das regras de Classificação da Informação.
6. Dimensão Treinamento e Conscientização das Pessoas
Todos os profissionais envolvidos no ambiente do Escritório de Advocacia (não só os Advogados) precisam ser treinados e conscientizados em segurança da informação. Pelo tipo de negócio, acredito que a conscientização exista em todos, mas o treinamento não. Porque o treinamento dependerá de como são as regras em cada Escritório de Advocacia. Por exemplo: as regras das cópias de segurança ou o procedimento de descarte de informação.
7. Dimensão Gestão de Riscos em Segurança da Informação
Uma Organização, e no caso específico um Escritório de Advocacia que tenha como objetivo implantar um Processo Organizacional de Segurança da Informação precisa desenvolver e manter a Dimensão Gestão de Riscos. Este é um assunto tão crítico que existe um normativo específico: Norma NBR ISO/IEC 27005 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos em segurança da informação.
A Gestão de Riscos em Segurança da Informação permitirá que a Organização avalie (e defina providências) periodicamente as possíveis vulnerabilidades, tomando por base os controles de segurança da informação, que podem inviabilizar o uso da informação.
Conclusão
No Livro Praticando a Segurança da Informação, Editora Brasport, 2008, compartilho 123 questões que ajudam a Organização na avaliação do seu Processo Organizacional de Segurança da Informação. Como está a sua Organização?
O Ambiente Virtual Jurídico, no momento, está vivendo grande crescimento. Os usuários e as Organizações deste ambiente precisam se basear nos controles de Segurança da Informação descritos nas Normas da Família ISO 27000 para garantir uma proteção adequada da informação.
Questão de tempo, outros tipos de organização e profissões também cada vez mais utilizarão o ambiente virtual e precisarão seguir os controles de segurança da informação.
Boa segurança para todos!