search
BlogGeral

Gestão de acessos no setor jurídico: dos riscos...

Gestão de acessos no setor jurídico: dos riscos e ameaças às boas práticas

Atualizado em 27 de abril de 22 | Geral  por

Doc9

Ter uma boa gestão de acessos é essencial para manter a segurança da informação, especialmente no setor jurídico, no qual vazamentos indevidos podem gerar consequências irreversíveis.

Quem quer cuidar da segurança da informação em um negócio precisa se atentar à gestão de identidades e acessos (Identity and Access Management - IAM, na sigla em inglês). Este é um elemento que precisa de atenção, especialmente diante das novas tecnologias constantemente integradas à rotina corporativa.

O atual cenário de trabalho remoto, possível por conta da tecnologia de armazenamento em nuvem, é um ótimo exemplo. Isso porque o acesso a recursos das empresas a partir de qualquer dispositivo e local também abre portas para novos riscos.

Diante de cenários como esses, as empresas precisam se preocupar em tomar medidas preventivas contra incidentes cibernéticos. Dessa forma, evitam que vazamentos de dados e crimes de roubo de identidade e credenciais possam manchar sua reputação.

Saiba mais sobre a gestão de identidades e acesso, princípios da segurança da informação, riscos e ameaças da gestão de acesso e algumas ferramentas que você pode adotar para cuidar dessa questão. Boa leitura!

O que é e como funciona a gestão de identidades e acesso? 

É possível fazer uma gestão de identidades e acesso usando soluções tecnológicas que ajudam a gerenciar identidades. Por meio delas, é possível definir quais pessoas terão acesso a quais recursos da empresa, e por qual período esse acesso estará vigente.

Dessa maneira, as empresas e escritórios conseguem garantir que apenas as pessoas autorizadas recebam permissão para acessar seus sistemas, fornecendo acesso personalizado de acordo com as políticas de segurança internas.

A principal função desse tipo de sistema é garantir que apenas pessoas autorizadas tenham acesso aos recursos necessários para executar suas funções. Isso inclui ações como as seguintes:

  • Captura e autenticação de login do usuário;
  • Registro de suas informações;
  • Implementação de ferramentas de permissão, como a assinatura criptografada e sistemas de gestão de certificados digitais;
  • Uso de serviços de armazenamento; 
  • Adição, exclusão e alteração da permissão dos usuários no acesso aos dados;
  • Registro de históricos de acesso aos sistemas da empresa;
  • Relatórios de usos das aplicações; 
  • Elaboração de políticas de acesso aos sistemas da empresa.

4 princípios da segurança da informação

Todas as ações citadas anteriormente devem ser executadas com base em políticas internas de gerenciamento de identidade. Elas são as responsáveis por determinar a maneira como os usuários serão identificados e suas funções, por exemplo.

Esse documento deve ser elaborado com base nos princípios da segurança da informação. Assim, é possível garantir que apenas as pessoas certas tenham acesso às informações certas. Esse controle tem quatro bases:

Disponibilidade

Garante que as informações estejam disponíveis sempre que necessário. Ou seja, é preciso garantir que os sistemas de processamento e armazenamento de informações e os canais de comunicação e segurança, por exemplo, estejam em pleno funcionamento.

As empresas podem recorrer a sistemas de alta disponibilidade, que evitam que os serviços sejam interrompidos por atualizações no sistema ou quedas de energia, por exemplo. Também é preciso criar medidas de prevenção a ataques com o objetivo de derrubar os serviços essenciais do negócio.

Integridade

Garante que as informações sejam precisas durante todo o seu ciclo de vida. Assim, os dados não podem ser alterados sem o consentimento e autorização do titular para evitar erros na interpretação das informações, rupturas no compliance e sanções penais.

As empresas devem tomar precauções para garantir que as informações não sejam excluídas ou modificadas sem autorização. Uma falha nesse processo gera quebra da integridade e pode trazer grandes impactos negativos para as organizações.

Confidencialidade

Garante que as informações não sejam divulgadas para terceiros não autorizados. A quebra de sigilo pode trazer grandes danos para o negócio, seus clientes e atingir, inclusive, o mercado em que ele está inserido.

Autenticidade

Garante a veracidade da autoria da informação, não do conteúdo da informação. Esse princípio inclui o “Não Repúdio”, o que significa que o autor da informação não tem como negar a autoria da informação.

Riscos e ameaças na gestão de acessos

Quando há falhas na política de gestão de identidades e acesso, os negócios ficam expostos a riscos que podem causar consequências até irreversíveis. Confira as principais ameaças:

Vazamento de dados

Falhas na gestão de acessos podem ocasionar um vazamento de dados. Ou seja, quando existe um ponto de entrada não autorizado no banco de dados da empresa, informações sensíveis e confidenciais podem ser expostas a pessoas não autorizadas. 

Quando ocorre um ciberataque, dados como CPF, número do cartão de crédito, senhas e outros podem ser expostos, vendidos ou até sequestrados para extorsão.

Reputação

Após uma falha na segurança da informação, a reputação de uma marca, que demora anos para ser construída, pode ser destruída em segundos. Por exemplo, uma empresa da área financeira que tem uma exposição de dados perde a confiança de seus clientes e pode vir a ter prejuízos milionários.

Inconformidade

Da mesma forma, uma empresa que não cuida da segurança da informação da maneira devida não está de acordo com as normas de compliance e LGPD. Por não estar seguindo as normas, leis e procedimentos éticos, fica sujeita a sanções e penalidades.

Empresas que querem estar em conformidade com a legislação precisam desenvolver uma política de compliance que faça com que o tratamento de dados seja adequado às normas da LGPD. Ao cuidarem da privacidade de seus clientes, fornecedores e outros, essas empresas garantem um diferencial competitivo.

Responsabilidade legal

Quando há falhas na política de gestão de acessos, pessoas não autorizadas podem ter acesso a informações indevidas e fazer um mau uso desses dados. Por exemplo, se o titular de um certificado digital compartilha esse documento com sua equipe, ele continua sendo o responsável legal em casos de mau uso das informações.

Ainda usando o mesmo exemplo, o usuário pode ter acesso a informações do imposto de renda quando acessa o sistema da Receita Federal usando o certificado digital. Hoje, já é possível até transferir a propriedade de um veículo usando apenas o certificado digital.

Em qualquer um desses casos, o responsável é o titular, que deu aval legal para que o usuário acessasse sistemas usando seu documento. Isso porque o certificado digital é uma ferramenta que tem validade jurídica, e tudo o que for feito com ele confere responsabilidade legal ao titular.

Formas de se prevenir diante das ameaças

Como a evolução da tecnologia e com o avanço da adoção de ferramentas tecnológicas para facilitar o dia a dia empresarial, surgem novos riscos, que demandam novas soluções. Assim, quem quer se manter de acordo com as normas e legislações, deve buscar novas ferramentas e estratégias. Confira algumas:

Concessão de acesso

Normalmente, a concessão de acessos é feita sem que as medidas necessárias sejam tomadas para que esse seja um processo seguro e dentro das normas de LGPD e compliance.

Para resolver esse tipo de problema, as empresas podem adotar ferramentas de permissão de acesso. Por meio de algumas delas, é possível desenvolver apenas um usuário e senha para que o colaborador acesse todos os sistemas ou programas necessários para a execução de seu trabalho.

Conformidade em compliance

Adotar esse tipo de ferramenta é uma medida protetiva para os negócios, já que é possível controlar o acesso dos usuários a dados sensíveis e sistemas. Dessa maneira, é possível evitar, inclusive, gastos e dores de cabeça pela não adequação às normas. 

Quando se trata do compartilhamento de certificados digitais, é possível adotar softwares de gestão de acessos que possuam termos de concessão mútua, conferindo o consentimento legal para o compartilhamento entre as partes. Ao adotar esse tipo de recurso, a empresa pode ficar em plena conformidade com os órgãos regulamentadores. 

Bônus: conheça uma ferramenta de gestão de certificados digitais para se manter em compliance

O compartilhamento de certificados digitais pode trazer diversos riscos ao negócio e ao titular do documento. Para evitar esse tipo de problema, a Doc9, lawtech especialista em soluções para o setor jurídico, desenvolveu o Whom.

Por meio desse sistema, o gestor pode conceder acessos de uso para colaboradores que precisam usar o certificado digital em seu dia a dia de trabalho. Assim, o titular e os colaboradores selecionados recebem uma autorização de concessão eletrônica de uso.

O titular consegue controlar, por meio de relatórios, tudo o que é feito em seu nome, além de se manter em conformidade com a legislação, o que permite realizar operações com o certificado digital mitigando os riscos.

Conheça todos os benefícios que o Whom? pode trazer ao seu negócio!

Conclusão

Fazer investimentos e direcionar as estratégias para cuidar da segurança da informação é essencial para todas as empresas que querem se manter em conformidade com a legislação e possuir um diferencial competitivo.

*Este texto foi produzido em parceria com a Doc9, uma lawtech que disponibiliza serviços de logística jurídica e soluções tecnológicas para áreas legais, empresariais e de compliance. Conheça o Whom? e garanta mais segurança e agilidade para o seu negócio.