O que os escritórios de advocacia precisam saber sobre segurança cibernética

O que os escritórios de advocacia precisam saber sobre segurança cibernética. O privilégio advogado-cliente traz desafios de proteção da informação.

Os escritórios de advocacia têm exatamente o que os cibercriminosos desejam – dados confidenciais e confidenciais, PII, propriedade intelectual, detalhes de contratos, segredos comerciais e informações importantes sobre casos – com (normalmente) pouca segurança. Os advogados estão vinculados ao privilégio advogado-cliente, o que significa que eles devem fazer todos os esforços para manter todas as informações do cliente confidenciais. Isso inclui priorizar a segurança cibernética, pois muitos dados confidenciais de clientes são mantidos em sistemas digitais e tecnológicos.

A ABA divulgou uma Opinião Formal afirmando que “quando [não se] ocorrer uma violação de dados”, os advogados devem tomar medidas razoáveis ​​para interromper e conter a violação, notificar os clientes e tomar medidas para mitigar o risco de uma violação ocorrer novamente.

Tudo isso para dizer que, para instituições jurídicas que lidam com informações sensíveis e confidenciais de clientes, o gerenciamento do risco cibernético deve ser altamente priorizado.

A realidade é que não é.

Por que os escritórios de advocacia precisam de padrões rígidos de segurança cibernética

1. Construindo a confiança do cliente

   A ABA leva a sério o sigilo advogado-cliente. Os clientes são a alma de qualquer negócio, mas para os advogados, seus clientes confiam neles não apenas para defendê-los no tribunal e dentro do caso, mas também com suas informações confidenciais e privadas. Se essa confiança for quebrada, pode ser o fim do caso  e  da relação cliente-advogado.

2. Impacto de horas faturáveis

   Esta pode ser a maior implicação para os advogados. Se um escritório de advocacia sofrer um ataque cibernético, isso poderá afetar as horas faturáveis. Quando um sistema passa por um tempo de inatividade e os advogados não conseguem acessar as informações do cliente/caso e os sistemas necessários para realizar o trabalho, suas horas faturáveis ​​serão prejudicadas.

3. Evitando suas próprias batalhas legais se ocorrer uma violação

   Se um ataque cibernético atingir um escritório de advocacia, corre o risco de ir a tribunal. Basta dar uma olhada no escritório de advocacia Johnson and Bell. A empresa foi levada ao tribunal porque o demandante argumentou que seu portal da web estava desatualizado e vulnerável a um ataque cibernético. Isso só aconteceu porque o portal estava vulnerável – pense nas implicações se um ataque realmente acontecer.

Escritórios de advocacia: anote a infraestrutura crítica

Vários setores tiveram que fazer reformas drásticas em sua estrutura de segurança com base em novos riscos e no cenário de ameaças em evolução, e os escritórios de advocacia não devem ser exceção.

A infraestrutura crítica , por exemplo, teve que reestruturar suas práticas de segurança cibernética com base em ameaças vistas e até mesmo sofreram ataques devastadores como o ataque cibernético Colonial Pipeline. O Strengthening American Cybersecurity Act de 2022 exige que as organizações de infraestrutura crítica relatem ataques cibernéticos à CISA em até 72 horas após a ocorrência do ataque. O governo federal também divulgou uma Ordem Executiva com um conjunto de práticas obrigatórias para infraestrutura crítica, recomendando as melhores práticas, como controles de acesso refinados, acesso restrito à rede, métodos de autenticação e responsabilidade de terceiros.

Os escritórios de advocacia podem recorrer a organizações de infraestrutura crítica implementando algumas das mesmas práticas recomendadas que deveriam e reforçar quaisquer lacunas de segurança que possam levar a consequências danosas e extensas no mundo real, como tempo de inatividade do sistema, perda de produtividade ou perda de receita.

• Seja proativo . Responder de forma reativa a um ataque cibernético não é uma estratégia de segurança. Implemente medidas proativas, como monitoramento de acesso de usuários e gravação de sessões de usuários, para que você sempre saiba o que está acontecendo em seus ambientes digitais.
• Simplifique sua tecnologia de segurança, especialmente quando se trata de terceiros . Os escritórios de advocacia usam muitos terceiros para lidar com informações confidenciais, como software de contrato e documentação, programas de contabilidade e software que conecta advogados a grandes clientes corporativos. O acesso remoto seguro é a chave para bloquear e proteger as informações que terceiros acessam diariamente.
• Restrinja todo o acesso. Qualquer pessoa que não precise de acesso a determinados ativos confidenciais não deve ter acesso a eles. Torne uma prática revisar regularmente as permissões de acesso para garantir que os funcionários tenham acesso apenas aos sistemas que estão usando ativamente e revogue qualquer acesso que não seja mais necessário. Além disso, observe sua rede, sistemas e softwares que contêm dados confidenciais e garanta que apenas as partes autorizadas e verificadas tenham acesso e mais ninguém.

Como qualquer negócio, o cenário de ameaças cibernéticas para escritórios de advocacia se expandiu. Basta pensar em toda a atividade digital que envolve informações confidenciais: enviar informações privadas e confidenciais como anexos de e-mail (que podem ou não ser criptografados e protegidos), discutir assuntos de casos em mensagens internas ou inserir informações do cliente em um gerenciamento de relacionamento com o cliente (CRM) sistema. Os hackers podem explorar todas essas atividades para atacar uma empresa inteira. Tudo o que eles precisam é de um ponto de apoio digital para acessar uma grande quantidade de dados confidenciais e substanciais.

Fonte: Information Security Magazine por Tori Taylor

Veja também:

• Sophos nomeada líder no KuppingerCole Leadership Compass 2022
• Cloud viabiliza negócios, mas segurança ainda é um desafio para as empresas
• Cibersegurança: uma lista de tarefas para sua empresa
• Cloud computing: infraestrutura completa e segura
• Patch Tuesday julho é rico em problemas do Azure e do Windows
• Como encontrar novas primitivas de ataque no Microsoft Azure
• DoD testa programa de recompensas de bugs
• Como funcionam as avaliações do MITRE Engenuity ATT&CK
• Estudo mostra que soluções em SASE superam expectativas
• PMEs brasileiras estão na mira do ransomware aponta pesquisa da Arcserve
• FBI alerta sobre candidatos fake a vagas para trabalho remoto
• Google lança correção para novo zero-day crítico