Advogados: quando a segurança de informação é o assunto mais delicado JOÃO MALTEZ | [email protected] | 27 Julho 2016, 10:00 Os riscos existem sempre, mas há formas de prevenir que a informação não esteja segura. Numa sociedade de advogados a ética, a deontologia e os clientes exigem essa segurança. Das exigências éticas e deontológicas até às obrigações de confidencialidade que o cliente espera ver salvaguardadas, a atenção à segurança da informação numa sociedades de advogados ganha contornos únicos face a qualquer outra organização. Prevenir riscos e conhecer potenciais vulnerabilidades é meio caminho andado para evitar males maiores. Quando falamos em segurança da informação, há questões específicas para as quais deve olhar uma organização que se dedica à prestação de serviços jurídicos. Desde logo, como evidencia Rui Vaz, responsável de IT e segurança do sistema da ABBC Advogados, há "exigências éticas e deontológicas que derivam do exercício da profissão, incluindo as referentes ao segredo de justiça, e também as relativas a obrigações de confidencialidade assumidas perante clientes e parceiros". Numa firma de advogados, os principais riscos para a segurança da informação são, na perspectiva de Rui Vaz, a inexistência de uma política e de regras claras e falta de monitorização e de sensibilização de colaboradores. "Os riscos inerentes podem ir desde falha de confidencialidade de informação (do cliente, parceiros, tribunais, ou informação interna), fuga de informação para a concorrência, perda de integridade da informação, perda de disponibilidade, perda de imagem e confiança na sociedade caso algum dos riscos anteriores se concretize", explica, por seu turno, Pedro Queirós, engenheiro de cibersegurança da Multicert. Um projecto em comum A sociedade de advogados ABBC de-senvolveu, nos últimos três meses, com o apoio da empresa especializada em cibersegurança Multicert, um projecto destinado a avaliar a segurança do seu sistema de informação. Segundo Pedro Queirós, engenheiro de cibersegurança da Multicert, este projecto envolveu a realização de testes de intrusão e uma componente de formação e sensibilização em segurança da informação. "Nos testes de intrusão o objectivo passou por validar a segurança das redes wireless e da segmentação das mesmas e os vários endereços externos associados aos serviços informáticos da ABBC", explica Pedro Queirós. Até por isso, a adopção de práticas preventivas é uma atitude fulcral. Pedro Queirós defende que, numa sociedade de advogados, é importante apostar na "definição de regras e práticas internas, complementares à sensibilização dos colaboradores", já que essa atitude permite "mitigar muitos dos riscos associados à segurança da informação" que é detida pela organização. Como diz Rui Vaz, é verdade que é praticamente impossível concorrer em tempo real com novas ameaças. No entanto, "com conhecimento das potenciais vulnerabilidades é sempre possível minimizar riscos, procurando estar alerta e reagindo de imediato", evidencia. Existem actores maliciosos com a intenção de atacar os sistemas das organizações [...] ou causar disrupção no negócio. PEDRO QUEIRÓS Eng.º de cibersegurança da Multicert Pedro Queirós lembra que "existem actores maliciosos com a intenção de atacar os sistemas das organizações, com o intuito de roubar informação, ou simplesmente de causar disrupção no negócio das mesmas". Por isso, "ter consciência dos riscos envolvidos e adoptar as melhores práticas no que concerne à protecção dos dados da organização é o primeiro passo a dar para minimizar os danos de um ataque". Fazer testes regulares à infra-estrutura da organização e ter colaboradores conscientes sobre a segurança da informação é, adianta o engenheiro de cibersegurança, "uma prática já comum em várias sociedades, que se preocupam com os dados da sua empresa e dos seus clientes". PERGUNTAS A RUI VAZ RESPONSÁVEL DE IT E SEGURANÇA DO SISTEMA DA ABBC É essencial garantir confiança de clientes Salvaguardar profissionalmente as questões que são caras aos advogados é uma missão de Rui Vaz, o responsável pelo sistema de informação da ABBC. Aspectos fundamentais são, por exemplo, a salvaguarda do segredo de justiça, quando este se impõe, e a confidencialidade assumida perante o cliente. Quando falamos em segurança da informação, que exigências específicas se colocam a uma organização que actua na área da prestação de serviços jurídicos? As exigências éticas e deontológicas que derivam do exercício da profissão, incluindo as referentes ao segredo de justiça, nos casos em que se aplique e também as relativas a obrigações de confidencialidade assumidas perante clientes e parceiros. É essencial garantir ao cliente que os assuntos e dados que nos transmite são mantidos em estrita confidencialidade e não pode existir qualquer dúvida a esse respeito. Quais são os principais riscos para a segurança da informação numa sociedade de advogados? Inexistência de uma política e de regras claras na sociedade e a falta de monitorização e de sensibilização de colaboradores. Para o que devem estar sensibilizados os actores de uma organização, e em particular numa sociedade de advogados, quando está em causa a segurança da informação? Sobretudo para comportamentos estranhos ou situações que, sendo novas, levantem de alguma forma suspeitas. A sensibilização passa por, na dúvida, reportar e nunca ignorar.