fbpx

Segurança da informação em escritórios de Advocacia

Segurança da Informação

Recentemente escritórios de advocacia tem nos procurado para treinamentos e conscientização em cibersegurança ou para realizarmos um checkup na estrutura de segurança, também conhecido como security assessment. A nova lei de proteção de dados LGPD que entra em vigar a partir e agosto de 2020 tem levantado preocupações com o tema.

A maioria dos escritórios que visitamos estão longe de um padrão mínimo de segurança. A boa notícia é o fato da Lei ter levantado a conscientização e a segurança ganha relevância.

Investir em segurança da informação é uma necessidade para qualquer escritório de advocacia. Hoje, o risco de ciberataques não é algo distante da realidade de nenhum advogado. Muitos sabem que o vazamento de dados pode custar caro, comprometendo tanto a imagem quanto a credibilidade do escritório.

Vale ressaltar que não se trata apenas de vazamento. A infecção por vírus, ransomware é ainda mais preocupante. Chegamos na era onde a competência em cibersegurança será uma competência básica para qualquer advogado, profissional ou empresário.

Não basta simplesmente delegar para algum prestador, analista de suporte ou o profissional de TI que auxilia nas atividades operacionais do dia a dia. É necessária uma validação especializada de alguma empresa ou consultor independente.

Ambiente Vulnerável

A nossa métrica desde que iniciamos esta abordagem é alarmante, 86% dos escritórios que visitamos não possuem o mínimo de segurança. Mas, o que é o mínimo? antes de responder, vamos aos problemas mais comuns.

  1. Falta de segmentação de rede. Antes de iniciar a reunião em 2 minutos, executamos um scan de IPs, conectado no WIFI do visitante. Teste simples, muito básico com ferramenta free, usada para auxiliar os administradores de rede na localização de endereços IPs ativo na rede.

    Resultado: Rede aberta! acesso aos servidores da empresa. Acesso aos compartilhamentos sem as devidas restrições. Acesso nas consoles de administração, como impressoras, iLO, manager do WIFI e outros.

  2. Acesso ao WIFI sem qualquer controle de acesso, identificação ou restrição.
  3. Acessos utilizando senhas administrativas do modem do WIFI com senha padrão, incluindo a impressora, DVR e outros acessos com interfaces WEB. Algum destes equipamentos é possível acessar.
  4. Backup utilizando HDs externos, conectados nos servidores.

Não precisa ir mais longe em cenários como este, não se trata de invasão, “hackeamento” ou teste de penetração (pentest) na verdade está tudo aberto e disponível para o acesso.

Antes da adequação do ambiente na regulamentação da LGPD ou qualquer outro normativo. Recomendamos separar em fases, onde a primeira fase seria: fazer o básico. Após subir para este nível é possível validar os demais itens ou recomendações.

Recomendações Mínimas

  1. Backup: mantenha o controle dos backups! recomendamos fortemente a transferência dos dados criptografados para nuvem utilizando soluções corporativas com retenções ou versionamentos de documentos. Sugerimos o Microsoft Azure Backup, mas existem outras opções com preços acessíveis no mercado.

Lembre-se: HD externo plugado no servidor não é backup. 

  1. Antivírus corporativo com assinatura! Existem boas opções de antivírus gratuitos, nestas opções não possui o gerenciamento centralizado e diversas limitações essenciais para segurança do ambiente.
  2. Firewall: Vital para segurança do ambiente! Em todos os casos que trabalhamos a resposta para o questionamento. Vocês possuem firewall? resposta: SIM, Tem o controle das licenças ou assinatura do firewall? resposta não. O firewall sem assinatura não atende os requisitos mínimos de segurança. A recomendação é utilizar um firewall padrão UTM com assinatura válida.Exemplo: Firewall Fortinet UTM, Sophos UTM ou Sonicwall são os equipamentos com melhor custo benefício. Tenha certeza de que os recursos como proteção web, antivírus, IPS/IDS, application control, SSL inspection estão habilitados.
  3. Segmentação de rede: Utilizando o firewall é possível criar segmentações de rede, ou seja, usuários conectados na rede WIFI não podem acessar a rede de servidores ou a rede corporativa. Recomendamos a criação de no mínimo cinco redes: servidores, wifi guest, wifi corporativo, wifi mobile para colaboradores e rede corporativa. Cada rede com as devidas restrições.Restrição de acesso: Validar os níveis de permissionamento dos documentos da empresa, restrição de acesso administrativo nas estações de trabalho e restrições nos acessos a determinados sites definidos por categorias com alto risco.
  4. Manter uma sistemática de atualizações de segurança, envolvendo atualizações de servidores e estações de trabalho, incluindo softwares de terceiros como Adobe, Java e outros.
  5. Finalmente, definir uma política de segurança da informação. Contendo as orientações gerais sobre as restrições da corporação, regras de acesso aos documentos e demais dispositivos da empresa. Aproveite este tema para incluir uma palestra de conscientização de melhores práticas relacionadas com segurança. Reforce este treinamento no mínimo uma vez por ano. 

    Atenção com o seu cartão de visitas! o website institucional sem o certificado digital, além de colocar em risco os visitantes é péssimo para imagem do escritório ao entrar no site e se deparar com o aviso, site não seguro. cuidado. Não basta simplesmente inserir o certificado digital. Vulnerabilidades expostas no código do site podem ser utilizadas para o hackeamento, faça um checkup de segurança básico utilizando esta ferramenta: https://sitecheck.sucuri.net/

Espero que tenha contribuído! A partir do ponto em que colocar em prática todos estes itens, estará pronto para o próximo nível. E não esqueça, os itens relacionados são básicos, nível iniciante! Ainda há muito trabalho nesta jornada rumo ao próximo nível mais seguro.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *