O que os escritórios de advocacia precisam saber sobre segurança cibernética. O privilégio advogado-cliente traz desafios de proteção da informação.
Os escritórios de advocacia têm exatamente o que os cibercriminosos desejam – dados confidenciais e confidenciais, PII, propriedade intelectual, detalhes de contratos, segredos comerciais e informações importantes sobre casos – com (normalmente) pouca segurança. Os advogados estão vinculados ao privilégio advogado-cliente, o que significa que eles devem fazer todos os esforços para manter todas as informações do cliente confidenciais. Isso inclui priorizar a segurança cibernética, pois muitos dados confidenciais de clientes são mantidos em sistemas digitais e tecnológicos.
A ABA divulgou uma Opinião Formal afirmando que “quando [não se] ocorrer uma violação de dados”, os advogados devem tomar medidas razoáveis para interromper e conter a violação, notificar os clientes e tomar medidas para mitigar o risco de uma violação ocorrer novamente.
Tudo isso para dizer que, para instituições jurídicas que lidam com informações sensíveis e confidenciais de clientes, o gerenciamento do risco cibernético deve ser altamente priorizado.
A realidade é que não é.
Por que os escritórios de advocacia precisam de padrões rígidos de segurança cibernética
-
Construindo a confiança do cliente
A ABA leva a sério o sigilo advogado-cliente. Os clientes são a alma de qualquer negócio, mas para os advogados, seus clientes confiam neles não apenas para defendê-los no tribunal e dentro do caso, mas também com suas informações confidenciais e privadas. Se essa confiança for quebrada, pode ser o fim do caso e da relação cliente-advogado.
-
Impacto de horas faturáveis
Esta pode ser a maior implicação para os advogados. Se um escritório de advocacia sofrer um ataque cibernético, isso poderá afetar as horas faturáveis. Quando um sistema passa por um tempo de inatividade e os advogados não conseguem acessar as informações do cliente/caso e os sistemas necessários para realizar o trabalho, suas horas faturáveis serão prejudicadas.
-
Evitando suas próprias batalhas legais se ocorrer uma violação
Se um ataque cibernético atingir um escritório de advocacia, corre o risco de ir a tribunal. Basta dar uma olhada no escritório de advocacia Johnson and Bell. A empresa foi levada ao tribunal porque o demandante argumentou que seu portal da web estava desatualizado e vulnerável a um ataque cibernético. Isso só aconteceu porque o portal estava vulnerável – pense nas implicações se um ataque realmente acontecer.
Escritórios de advocacia: anote a infraestrutura crítica
Vários setores tiveram que fazer reformas drásticas em sua estrutura de segurança com base em novos riscos e no cenário de ameaças em evolução, e os escritórios de advocacia não devem ser exceção.
A infraestrutura crítica , por exemplo, teve que reestruturar suas práticas de segurança cibernética com base em ameaças vistas e até mesmo sofreram ataques devastadores como o ataque cibernético Colonial Pipeline. O Strengthening American Cybersecurity Act de 2022 exige que as organizações de infraestrutura crítica relatem ataques cibernéticos à CISA em até 72 horas após a ocorrência do ataque. O governo federal também divulgou uma Ordem Executiva com um conjunto de práticas obrigatórias para infraestrutura crítica, recomendando as melhores práticas, como controles de acesso refinados, acesso restrito à rede, métodos de autenticação e responsabilidade de terceiros.
Os escritórios de advocacia podem recorrer a organizações de infraestrutura crítica implementando algumas das mesmas práticas recomendadas que deveriam e reforçar quaisquer lacunas de segurança que possam levar a consequências danosas e extensas no mundo real, como tempo de inatividade do sistema, perda de produtividade ou perda de receita.
- Seja proativo . Responder de forma reativa a um ataque cibernético não é uma estratégia de segurança. Implemente medidas proativas, como monitoramento de acesso de usuários e gravação de sessões de usuários, para que você sempre saiba o que está acontecendo em seus ambientes digitais.
- Simplifique sua tecnologia de segurança, especialmente quando se trata de terceiros . Os escritórios de advocacia usam muitos terceiros para lidar com informações confidenciais, como software de contrato e documentação, programas de contabilidade e software que conecta advogados a grandes clientes corporativos. O acesso remoto seguro é a chave para bloquear e proteger as informações que terceiros acessam diariamente.
- Restrinja todo o acesso. Qualquer pessoa que não precise de acesso a determinados ativos confidenciais não deve ter acesso a eles. Torne uma prática revisar regularmente as permissões de acesso para garantir que os funcionários tenham acesso apenas aos sistemas que estão usando ativamente e revogue qualquer acesso que não seja mais necessário. Além disso, observe sua rede, sistemas e softwares que contêm dados confidenciais e garanta que apenas as partes autorizadas e verificadas tenham acesso e mais ninguém.
Como qualquer negócio, o cenário de ameaças cibernéticas para escritórios de advocacia se expandiu. Basta pensar em toda a atividade digital que envolve informações confidenciais: enviar informações privadas e confidenciais como anexos de e-mail (que podem ou não ser criptografados e protegidos), discutir assuntos de casos em mensagens internas ou inserir informações do cliente em um gerenciamento de relacionamento com o cliente (CRM) sistema. Os hackers podem explorar todas essas atividades para atacar uma empresa inteira. Tudo o que eles precisam é de um ponto de apoio digital para acessar uma grande quantidade de dados confidenciais e substanciais.
Fonte: Information Security Magazine por Tori Taylor
Veja também:
- Sophos nomeada líder no KuppingerCole Leadership Compass 2022
- Cloud viabiliza negócios, mas segurança ainda é um desafio para as empresas
- Cibersegurança: uma lista de tarefas para sua empresa
- Cloud computing: infraestrutura completa e segura
- Patch Tuesday julho é rico em problemas do Azure e do Windows
- Como encontrar novas primitivas de ataque no Microsoft Azure
- DoD testa programa de recompensas de bugs
- Como funcionam as avaliações do MITRE Engenuity ATT&CK
- Estudo mostra que soluções em SASE superam expectativas
- PMEs brasileiras estão na mira do ransomware aponta pesquisa da Arcserve
- FBI alerta sobre candidatos fake a vagas para trabalho remoto
- Google lança correção para novo zero-day crítico
Deixe sua opinião!