Aumento dos requisitos do cliente: garantia de escritórios de advocacia para o século XXI
- Criado em 05/11/2019 Por LinkLei
Já se foram os dias de "segurança básica". O que costumava ser opcional agora é padrão: autenticação de dois fatores, senhas complexas, políticas de limpeza de escritórios, criptografia de dados em repouso e em trânsito, gerenciamento de dispositivos móveis e atualizações instantâneas . Os clientes esperam que esses itens já estejam em vigor e estão expandindo ainda mais suas expectativas.
Eles esperam que sistemas sofisticados e seguros mantenham suas informações seguras. Obviamente, isso dificulta muito o trabalho do seu profissional de TI. Além disso, os advogados esperam desempenho instantâneo e quase 100% de tempo de atividade. Alcançar o delicado equilíbrio entre acessibilidade e segurança é um desafio. Enquanto isso, os clientes continuam focando a atenção na documentação, planejamento e treinamento.
A frequência das auditorias iniciadas pelo cliente aumentou dramaticamente nos últimos cinco anos. Em 2013, Frandzel recebeu sua primeira auditoria; tinha uma página e consistia em sete perguntas. Em 2018, a empresa recebeu cinco auditorias. Todas tinham mais de cem páginas. A mais longa incluiu mais de setecentas perguntas. Todas as consultas buscam políticas documentadas de segurança da informação, planos de resposta a incidentes e planos de continuidade de negócios. As varreduras de vulnerabilidade das redes são necessárias mensalmente, com controles de classificação e inventário implementados imediatamente. Os clientes buscam conscientização anual sobre segurança e treinamento em defesa contra phishing para todos os funcionários. A mudança mais consistente é um requisito para que a empresa realize verificações substanciais dos antecedentes dos funcionários a cada nova contratação.
Políticas de Segurança da Informação
Desenvolver uma política de segurança para todos os clientes é muito mais simples do que responder a todas as perguntas individualmente. Essa prática também fornece diretrizes à empresa e a seus fornecedores terceirizados. Essas políticas se tornam a bíblia de uma empresa a seguir em relação à segurança da tecnologia da informação. Eles incluem informações gerais sobre padrões de gerenciamento de segurança, classificação e controles, usuários de informações, diretrizes para pessoal e segurança física.
- Políticas de Segurança da Informação. Eles identificam: 1) o Information Security Manager (ISM) da empresa, a pessoa responsável por sua tecnologia da informação; 2) como gerenciar informações confidenciais; e 3) quem pode acessar o quê em sua empresa.
- Classificação e Controle. Isso descreve os fundamentos da segurança das informações, incluindo uma descrição das informações que você mantém e como elas são classificadas (ou seja, privadas, sensíveis, restritas ou confidenciais).
- Usuários da informação. Na maioria dos casos, o fator humano é o maior risco de uma empresa. Padrões de senha, segurança da estação de trabalho e proteção automática da tela, requisitos de logoff no final do dia, detecção incomum de comportamento, proteção de dispositivo móvel, política de bom senso e, mais importante, treinamento entram em cena.
- Segurança física. A existência de controles físicos ajuda a equipe a seguir os padrões em relação à segurança dos visitantes e das salas físicas. Educar a equipe sobre as políticas do visitante, como manter um registro com o nome do visitante, data, objetivo da visita e manter fisicamente todas as salas do servidor bloqueadas, também ajuda na segurança. Esses são os requisitos padrão e os controles básicos comumente considerados hoje.
Plano de resposta a incidentes
Isso documenta o plano de resposta formal da sua organização em preparação para uma violação. Os requisitos nessa área variam amplamente. Os clientes frequentemente determinam inclusões de política, como tempos máximos de notificação, contatos específicos e práticas recomendadas gerais. Independentemente da existência de requisitos do cliente, as práticas recomendadas gerais incluem o desenvolvimento desses procedimentos hoje. É comum que essas políticas incluam alguns ou todos os seguintes itens:
- Nomes da equipe de resposta a incidentes e principais clientes e os números que você precisa ligar se ocorrer um incidente;
- O nome dos seus principais recursos necessários para manter ou retomar as operações;
- Procedimentos para vários incidentes;
- Inventário de todo o hardware;
- Inventário de todos os softwares;
- Inventário de fornecedores de conectividade;
- Inventário de documentos críticos de TI;
- Localização dos dados;
- Localização de senhas; e
- Inventário de registros comerciais vitais.
Planos de continuidade de negócios
Uma prática recomendada crescente é combinar planos de continuidade de negócios e resposta a incidentes em um único documento. Eles são de igual importância e tendem a conter informações semelhantes. Seja uma violação, incêndio, terremoto etc., você precisará seguir igualmente os planos de ação documentados. O foco principal é garantir a operacionalidade dos recursos de tecnologia sem interrupção para minimizar a perda de receita. Planos devidamente documentados e testados permitirão que sua empresa permaneça em pé.
Verificações de vulnerabilidade
Nossa empresa executa varreduras de vulnerabilidades há vários anos. Após executar a varredura inicial, percebemos o quão criticamente importantes eram essas varreduras. Inúmeras portas abertas, senhas padrão e contas de serviço que, historicamente, não eram importantes, proporcionavam oportunidades de acesso, hackers e até retransmissões por email. Uma vez identificadas as aberturas, percebemos o que estava aberto, o processo de aprimoramentos foi efetivo e permanente. As verificações futuras identificaram vulnerabilidades e riscos mínimos, que foram criados devido a modificações e melhorias no ambiente. À medida que nosso sistema continua amadurecendo, os riscos de segurança diminuem e a confiança interna e com os clientes da empresa melhoram.
Classificação e controles de estoque
O que você tem, onde está localizado e como é classificado? Antes de inventariar documentos, é preciso entender o que está em sua posse. Alguns clientes de nossa empresa estão classificando documentos quando os enviam para nós com designações como Restrito, Confidencial, Interno e Público. Devido à rotatividade de clientes, fusões etc., os clientes perguntam com mais frequência quais dados do cliente estão contidos em nosso sistema. O desenvolvimento de uma referência de conteúdo que identifique o conteúdo facilitará sua capacidade de responder. A colaboração com profissionais de tecnologia da informação, advogados de gerenciamento e grupos de prática interna ajudará a acelerar esse processo. Os clientes estão aumentando a frequência com que estão fazendo esses pedidos; ficar na frente deles com antecedência ajudará sua empresa a se preparar para o inevitável.
Treinamento de conscientização de segurança
O treinamento de conscientização de segurança parece o mais básico dos itens, mas é um dos mais difíceis de aderir. Os usuários finais freqüentemente acreditam que "isso não vai acontecer comigo", "eu sou especialista em tecnologia" ou "posso identificar uma fraude a uma milha de distância". Esse risco envolve conscientização e treinamento humano, e provavelmente oferece o maior risco e vulnerabilidade no ambiente da sua empresa. Os clientes estão cientes das violações de segurança divulgadas e estão começando a exigir que os escritórios de advocacia exijam treinamento anual em segurança para todos os funcionários. As práticas recomendadas sugerem a utilização de uma parte externa totalmente equipada, conhece o setor e é atualizada com golpes contínuos e crescentes. Utilizar um especialista ajudará a manter um público interessado por um período mais longo. Prevenir violações investindo em treinamento resultará em um retorno tremendo sobre o investimento.
Treinamento de defesa contra phishing
A realização de uma amostragem aleatória de cliques através de e-mails distribuídos aos usuários finais de uma empresa tem o potencial de criar a maior abertura de eventos. Um e-mail de teste é enviado aleatoriamente depois que todos passam pelo treinamento de conscientização de segurança. A intenção não é prender ou culpar os funcionários; pelo contrário, deve ser utilizado como uma ferramenta de treinamento para ajudá-los a identificar e evitar golpes futuros. Os clientes ainda não começaram a exigir esse tipo de treinamento. Independentemente disso, estamos fazendo isso em um esforço para educar e preparar melhor nossos advogados e funcionários.
Preparando-se para desafios contínuos de segurança
Os requisitos do cliente para escritórios de advocacia em torno de políticas, procedimentos e preparação de segurança permanecerão firmes. Prevemos que eles continuem aumentando com o tempo. Mantendo-se atualizado sobre as solicitações de auditoria em andamento, realizando varreduras e treinando funcionários, nossa empresa está em uma posição forte. Utilizamos nossa experiência e investimento como uma ferramenta de marketing para reunir novos negócios. Embora algumas tentativas tenham sido minimizar os requisitos do cliente, abraçar as mudanças e proteger o investimento em segurança da informação da sua empresa não é apenas sensato, mas pode até impressionar seus clientes e angariar mais negócios para a empresa.
*****
Debra Gray é diretora executiva da Frandzel Robins Bloom & Csato, LC