Texto traduzido e adaptado de “3 reasons why ISO 27001 helps to protect confidential information in law firms” escrito por Francesca Lucarini
A ISO 27001 trata da proteção de informações por meio de um conjunto de requisitos que, entre outros métodos, preservam informações de acesso ou uso não autorizado. Toda organização lida com uma variedade de informações com diferentes riscos associados, dependendo das pessoas ou do departamento funcional a que se refere. Os escritórios de advocacia são um exemplo de organizações que lidam com informações altamente confidenciais sobre funcionários, fornecedores, contratados e clientes.
Informações confidenciais podem ser dados pessoais, arquivos de pesquisa e desenvolvimento (P&D), direitos de propriedade intelectual ou acordos financeiros. Algumas informações podem ser divulgadas ao público, enquanto outras precisam ser mantidas em sigilo; alguns podem ser acessíveis a todos os membros da organização, enquanto outros precisam ser restritos e acessíveis apenas a usuários privilegiados. Seja o que for, a informação precisa ser protegida. Saiba como a certificação ISO 27001 pode ajudar nesses casos.
Como a ISO 27001 pode ajudar escritórios de advocacia com relação a informações confidenciais?
Vamos ver como a implementação da ISO 27001 pode ser útil para proteger informações confidenciais em qualquer tipo de empresa, você encontrará algumas dicas úteis sobre como proteger as informações em escritórios de advocacia.
-
- Relação entre avaliação de risco e confidencialidade. A ISO 27001 exige que as organizações avaliem os riscos de segurança associados às informações. Quanto maior o impacto na organização e em seus clientes, maior o nível de confidencialidade das informações relacionadas. Como conseqüência, os controles de segurança que protegem as informações confidenciais podem ser recomendados para que os riscos sejam tratados, mitigados ou evitados.
- Cultura de segurança vs. segurança de TI. A ISO 27001 exige que as pessoas que trabalham sob o controle da organização sejam conscientizadas da importância da segurança da informação e do papel que desempenham na proteção de informações confidenciais. Você pode ter a tecnologia mais inovadora para proteger seus ativos contra ameaças internas e externas, mas se seu pessoal não souber por que isso é necessário, a tecnologia não impedirá violações de dados.
- Melhore a lealdade do cliente para dados altamente confidenciais. Ser certificado de acordo com a ISO 27001 pode ter um impacto na marca e na reputação das organizações, especialmente para aqueles que lidam com um grande e complexo volume de dados confidenciais (dados pessoais, informações comerciais), como fazem os escritórios de advocacia. Se você manipular informações confidenciais dos clientes, a ISO 27001 poderá ser um ponto de venda exclusivo e, portanto, usada como uma vantagem de marketing.
A ISO 27001 é uma norma que não é obrigatória, mas definitivamente aconselhável para escritórios de advocacia quando se fala em proteção de informações.
Implementação de controles de segurança em escritórios de advocacia
Os escritórios de advocacia lidam com um verdadeiro tesouro de dados pessoais e confidenciais e representam um alvo em potencial para cibercriminosos e, portanto, podem servir como um exemplo dos que provavelmente serão comprometidos por um ataque. As implicações de uma violação legal podem ser piores para as organizações que operam no setor jurídico do que para os de outros setores, principalmente por causa dos danos à reputação causados.
Os escritórios de advocacia devem manter os dados de seus clientes o mais seguros possível, a fim de preservar a confiança de seus clientes. A ISO 27001 os ajuda fornecendo controles de segurança. Alguns controles são extremamente importantes que são considerados altamente recomendados em escritórios de advocacia.
A.8.2.1 – Classificação da informação
As informações dentro de uma organização devem ser classificadas considerando seu valor e nível de sensibilidade. Geralmente, isso é de acordo com a confidencialidade.
O controle ISO 27001 A.8.2.1 exige que uma organização garanta que as informações tenham um nível de proteção adequado, considerando sua importância. Nos escritórios de advocacia, a principal fonte de informação inclui dados sobre clientes, juízes, casos, julgamentos e alterações legislativas, mas existem diferentes níveis de importância e confidencialidade em relação a cada um deles.
Segredos comerciais de clientes, detalhes sobre fusões e aquisições e informações privilegiadas de advogado e cliente são verdadeiros exemplos de informações altamente confidenciais que exigem medidas de segurança fortes. Por outro lado, a comunicação de um escritório de advocacia direcionada a todos os funcionários, mesmo que classificada como interna e, portanto, não aprovada para liberação em domínio público, pode ter um efeito negativo em apenas um pequeno grupo de usuários.
Além disso, poderia haver informações unanimemente consideradas confidenciais, como mudanças organizacionais (especialmente aquelas que afetam o departamento de RH), que não estão incluídas no esquema organizacional de classificação e são divulgadas.
Consequentemente, recomenda-se que os escritórios de advocacia forneçam aos funcionários um sistema que categorize todas as informações com base no nível de confidencialidade e no impacto para a organização em caso de alteração, destruição ou divulgação não autorizada de dados. Diferentes procedimentos sobre proteção de dados devem ser aplicados a cada nível de classificação para garantir a segurança adequada.
Um esquema sugerido de classificação para escritórios de advocacia pode incluir as seguintes categorias: “Público”, “Uso interno”, “Restrito” e “Confidencial”.
A.8.2.2 – Rotulagem de informações
Depois que as informações são classificadas, um padrão de rotulagem deve ser implementado de acordo com o esquema de classificação adotado.
As pessoas que trabalham em um escritório de advocacia devem reconhecer o tipo de informação que manipulam de maneira clara e oportuna para que informações confidenciais sejam compartilhadas ou mantidas em segurança.
Um padrão de rotulagem que reflete o esquema de classificação (público, interno, restrito ou confidencial) pode ser adotado. Exemplos de etiquetas podem ser:
-
- No caso de papel, as informações podem ser escritas (por exemplo: “Internas”) nas capas das pastas que contêm documentos.
- No caso de arquivos digitais, como bancos de dados e aplicativos de negócios, etiquetas eletrônicas podem ser adicionadas à tela de login, identificando claramente o nível de confidencialidade dos dados processados.
- No caso de correio eletrônico, a classificação pode ser indicada no assunto do e-mail e um aviso de isenção de responsabilidade pode ser inserido no corpo do e-mail.
A.8.2.3 – Movimentação de ativos
Um conjunto de procedimentos para o tratamento de dados deve ser implementado de acordo com o nível de confidencialidade das informações, conforme identificado pelo esquema de classificação.
Uma organização que lida com informações altamente confidenciais, como um escritório de advocacia, deve adotar um conjunto de regras para gerenciar, arquivar e usar ativos com base no nível de confidencialidade. De acordo com o esquema de classificação sugerido no parágrafo de controle A.8.2.1, os exemplos podem incluir:
-
- publicação em um site da Intranet para informações classificadas como “internas”
- criptografia para informações classificadas como “confidenciais internas” que precisam ser transferidas
- acesso restrito a informações classificadas como “altamente confidenciais”
ISO 27001 como uma maneira confiável de proteger dados
Agora que vimos como a ISO 27001 afeta positivamente a proteção de informações confidenciais em escritórios de advocacia, pense mais uma vez no nível de confidencialidade de seus negócios e tome todas as medidas necessárias para proteger suas informações confidenciais. A implementação e eventual certificação contra a ISO 27001 são uma maneira confiável e confiável de atingir seu objetivo, portanto, é definitivamente algo para se pensar e discutir com seus executivos.