1.1 OBJETIVOS
2.1 GESTÃO DE ATIVOS DE INFORMAÇÃO
2.1.1 INVENTÁRIO DE ATIVOS
2.1.2 CICLO DE VIDA DA INFORMAÇÃO
2.2 CLASSIFICAÇÃO DA INFORMAÇÃO
2.2.1 NÍVEIS DE CLASSIFICAÇÃO
2.2.2 CRITÉRIOS DE CLASSIFICAÇÃO
2.2.3 RESPONSABILIDADES
2.3 CONTROLE DE ACESSO
2.3.1 GESTÃO DE IDENTIDADES E ACESSOS
2.3.2 SEGREGAÇÃO DE FUNÇÕES
2.3.3 ACESSO REMOTO
2.4 RESPONSABILIDADE DOS COLABORADORES
2.4.1 CONSCIENTIZAÇÃO E TREINAMENTO
2.4.2 TERMOS DE RESPONSABILIDADE
2.4.3 NOTIFICAÇÃO DE INCIDENTES
2.5 USO DE RECURSOS TECNOLÓGICOS
2.5.1 POLÍTICA DE USO ACEITÁVEL
2.5.2 SOFTWARE E APLICATIVOS
2.6 MONITORAMENTO E AUDITORIA
2.6.1 ESCOPO DO MONITORAMENTO
2.6.2 AUDITORIAS DE SEGURANÇA
2.6.3 LOGS E REGISTROS
2.6.4 TRANSPARÊNCIA
3.1 COMPOSIÇÃO DO COMITÊ
3.1.1 MEMBROS ADICIONAIS (CONFORME NECESSIDADE)
3.2 ATRIBUIÇÕES DO COMITÊ
3.2.1 DEFINIÇÃO E REVISÃO DE POLÍTICAS
3.2.2 AVALIAÇÃO DE RISCOS E DEFINIÇÃO DE CONTROLES
3.2.3 INVESTIMENTOS EM SEGURANÇA
3.2.4 GESTÃO DE INCIDENTES
3.2.5 CONFORMIDADE E AUDITORIA
3.2.6 CONSCIENTIZAÇÃO E CULTURA DE SEGURANÇA
3.3 FUNCIONAMENTO DO COMITÊ
3.3.1 REUNIÕES
3.3.2 TOMADA DE DECISÕES
3.3.3 RELATÓRIOS E DOCUMENTAÇÃO
3.3.4 REVISÃO E AVALIAÇÃO
3.4 RESPONSABILIDADES INDIVIDUAIS DOS MEMBROS
4.1 PROCESSO DE CONTRATAÇÃO
4.1.1 VERIFICAÇÃO DE ANTECEDENTES
4.1.2 TERMOS E CONDIÇÕES DE EMPREGO
4.1.3 TERMO DE CONFIDENCIALIDADE
4.2 DURANTE O EMPREGO
4.2.1 PROGRAMA DE CONSCIENTIZAÇÃO EM SEGURANÇA
4.2.2 TREINAMENTOS PERIÓDICOS
4.2.3 GESTÃO DE MUDANÇAS
4.3 PROCESSO DE DESLIGAMENTO OU MUDANÇA DE FUNÇÃO
4.3.1 PROCEDIMENTO DE DESLIGAMENTO
4.3.2 TRANSFERÊNCIA DE CONHECIMENTO
4.3.3 COMUNICAÇÃO DO DESLIGAMENTO
4.3.4 MONITORAMENTO PÓS-DESLIGAMENTO
4.4 TRATAMENTO DE VIOLAÇÕES DE SEGURANÇA
4.4.1 POLÍTICA DE CONSEQUÊNCIAS
4.4.2 PROCESSO DE INVESTIGAÇÃO
4.4.3 MEDIDAS DISCIPLINARES
4.5 TERCEIROS E PRESTADORES DE SERVIÇO
4.5.1 REQUISITOS DE SEGURANÇA PARA TERCEIROS
4.5.2 MONITORAMENTO DE TERCEIROS
4.6 CULTURA DE SEGURANÇA
4.6.1 LIDERANÇA PELO EXEMPLO
4.6.2 COMUNICAÇÃO CONTÍNUA
4.6.3 RECONHECIMENTO E INCENTIVOS
5.1 CONTROLE DE ACESSO LÓGICO
5.1.1 PRINCÍPIOS GERAIS
5.1.2 GESTÃO DE IDENTIDADES E ACESSOS
5.1.3 AUTENTICAÇÃO
5.1.4 CONTROLES DE ACESSO A SISTEMAS E APLICAÇÕES
5.2 CONTROLE DE ACESSO FÍSICO
5.2.1 ENTREGA E CARREGAMENTO
5.3 MONITORAMENTO E AUDITORIA DE ACESSOS
5.3.1 LOGS DE ACESSO
5.3.2 MONITORAMENTO EM TEMPO REAL
5.3.3 REVISÃO E ANÁLISE
5.4 GESTÃO DE ACESSOS PRIVILEGIADOS
5.4.1 CONTAS PRIVILEGIADAS
5.4.2 ACESSO DE EMERGÊNCIA
5.5 TREINAMENTO E CONSCIENTIZAÇÃO
5.5.1 PROGRAMA DE CONSCIENTIZAÇÃO
5.5.2 RESPONSABILIDADE INDIVIDUAL
5.6 REVISÃO E MELHORIA CONTÍNUA
6.1 REQUISITOS DE SEGURANÇA PARA DISPOSITIVOS MÓVEIS
6.1.1 AUTENTICAÇÃO
6.1.2 GERENCIAMENTO DE DISPOSITIVOS MÓVEIS
6.2 ARMAZENAMENTO E TRANSMISSÃO DE DADOS
6.2.1 ARMAZENAMENTO DE DADOS
6.2.2 SINCRONIZAÇÃO E BACKUP
6.2.3 TRANSMISSÃO DE DADOS
6.3 SEGURANÇA DE E-MAIL MÓVEL
6.4 TREINAMENTO E CONSCIENTIZAÇÃO
6.5 RESPOSTA A INCIDENTES
6.5.1 NOTIFICAÇÃO DE INCIDENTES
6.5.2 PROCEDIMENTOS DE RESPOSTA
6.6 MONITORAMENTO E AUDITORIA
6.7 DESCARTE SEGURO
6.8 REVISÃO E ATUALIZAÇÃO DA POLÍTICA
7.1 POLÍTICA DE USO DE E-MAIL
7.1.1 USO PROFISSIONAL
7.1.2 CONTEÚDO E ETIQUETA
7.1.3 CONFIDENCIALIDADE E PRIVILÉGIO ADVOGADO-CLIENTE
7.1.4 SEGURANÇA DE E-MAIL
7.1.5 CRIPTOGRAFIA DE E-MAIL
7.1.6 GERENCIAMENTO DE E-MAIL
7.2 POLÍTICA DE USO DA INTERNET
7.2.1 USO ACEITÁVEL
7.2.2 CONTEÚDO PROIBIDO
7.2.3 SEGURANÇA NA NAVEGAÇÃO
7.2.4 REDES SOCIAIS
7.3 SEGURANÇA E PROTEÇÃO
7.4.1 FIREWALLS E FILTROS
7.4.2 ANTIVÍRUS E ANTI-MALWARE
7.5 TREINAMENTO E CONSCIENTIZAÇÃO
7.6 RESPOSTA A INCIDENTES
7.7 REVISÃO E ATUALIZAÇÃO DA POLÍTICA
8.1 CLASSIFICAÇÃO E IDENTIFICAÇÃO DE DOCUMENTOS
8.1.1 SISTEMA DE CLASSIFICAÇÃO
8.1.2 MARCAÇÃO DE DOCUMENTOS
8.2 ARMAZENAMENTO SEGURO
8.2.1 ÁREAS DE ARMAZENAMENTO
8.2.2 MOBILIÁRIO DE SEGURANÇA
8.2.3 COFRES
8.3 MANUSEIO DE DOCUMENTOS
8.3.1 REGRAS GERAIS
8.3.2 CONTROLE DE ACESSO
8.3.3 CÓPIAS E REPRODUÇÃO
8.4 TRANSPORTE DE DOCUMENTOS
8.4.1 PROTOCOLOS DE SEGURANÇA PARA TRANSPORTE
8.4.2 REGRAS PARA TRANSPORTE PESSOAL
8.4.3 SERVIÇOS DE COURIER
8.5 DESCARTE SEGURO
8.5.1 MÉTODOS DE DESCARTE
8.5.2 PROCEDIMENTOS DE DESCARTE
8.5.3 TERCEIRIZAÇÃO DE DESCARTE
8.6 DIGITALIZAÇÃO E ARQUIVAMENTO ELETRÔNICO
8.6.1 PROCESSO DE DIGITALIZAÇÃO
8.6.2 RETENÇÃO DE ORIGINAIS
8.7 AUDITORIA E CONTROLE
8.7.1 INVENTÁRIO DE DOCUMENTOS
8.7.2 REGISTROS DE ACESSO E MANUSEIO
8.8 TREINAMENTO E CONSCIENTIZAÇÃO
8.9 RESPOSTA A INCIDENTES
8.10 REVISÃO E ATUALIZAÇÃO DA POLÍTICA
9.1 POLÍTICA DE BACKUP
9.1.1 ESCOPO DO BACKUP
9.1.2 FREQUÊNCIA DE BACKUP
9.1.3 MÉTODOS DE BACKUP
9.2 SEGURANÇA DOS BACKUPS
9.2.1 CRIPTOGRAFIA
9.2.2 CONTROLE DE ACESSO
9.2.3 PROTEÇÃO FÍSICA
9.3 TESTES DE BACKUP
9.3.1 VERIFICAÇÃO DE INTEGRIDADE
9.3.2 TESTES DE RESTAURAÇÃO
9.4 PLANO DE RECUPERAÇÃO DE DESASTRES (PRD)
9.4.1 DESENVOLVIMENTO DO PRD
9.4.2 OBJETIVOS DE TEMPO DE RECUPERAÇÃO (RTO) E PONTO DE RECUPERAÇÃO (RPO)
9.4.3 TESTES DO PRD
9.5 RECUPERAÇÃO DE DADOS
9.5.1 PROCEDIMENTOS DE RECUPERAÇÃO
9.5.2 PRIORIZAÇÃO DE RECUPERAÇÃO
9.5.3 VERIFICAÇÃO PÓS-RECUPERAÇÃO
9.6 DOCUMENTAÇÃO E TREINAMENTO
9.6.1 DOCUMENTAÇÃO
9.6.2 TREINAMENTO DA EQUIPE
9.7 CONFORMIDADE E AUDITORIA
9.7.1 CONFORMIDADE LEGAL
9.7.2 AUDITORIAS
9.8 REVISÃO E MELHORIA CONTÍNUA
10.1 EQUIPE DE RESPOSTA A INCIDENTES
10.1.1 COMPOSIÇÃO DA EQUIPE
10.1.2 RESPONSABILIDADES DA EQUIPE
10.2 PLANO DE RESPOSTA A INCIDENTES
10.2.1 DESENVOLVIMENTO DO PLANO
10.2.2 TIPOS DE INCIDENTES COBERTOS
10.2.3 FASES DE RESPOSTA A INCIDENTES
10.3 DETECÇÃO E REPORTE DE INCIDENTES
10.3.1 MECANISMOS DE DETECÇÃO
10.3.2 PROCESSO DE REPORTE
10.3.3 OBRIGATORIEDADE DE REPORTE
10.4 CLASSIFICAÇÃO E PRIORIZAÇÃO DE INCIDENTES
10.4.1 SISTEMA DE CLASSIFICAÇÃO
10.4.2 NÍVEIS DE PRIORIDADE
10.5 PROCEDIMENTOS DE RESPOSTA
10.5.1 CONTENÇÃO
10.5.2 ERRADICAÇÃO
10.5.3 RECUPERAÇÃO
10.6 COMUNICAÇÃO DURANTE INCIDENTES
10.6.1 COMUNICAÇÃO INTERNA
10.6.2 COMUNICAÇÃO EXTERNA
10.6.3 GESTÃO DE MÍDIA
10.7 DOCUMENTAÇÃO E REGISTRO DE INCIDENTES
10.8 ANÁLISE PÓS-INCIDENTE
10.8.1 REVISÃO PÓS-INCIDENTE
10.8.2 ATUALIZAÇÃO DE POLÍTICAS E PROCEDIMENTOS
10.9 TREINAMENTO E SIMULAÇÕES
10.9.1 TREINAMENTO DA EQUIPE
10.9.2 EXERCÍCIOS DE SIMULAÇÃO
10.10 CONFORMIDADE LEGAL E REGULATÓRIA
10.11 REVISÃO E MELHORIA CONTÍNUA
11.1 PROGRAMA DE AUDITORIA INTERNA
11.1.1 ESCOPO DAS AUDITORIAS
11.1.2 FREQUÊNCIA DAS AUDITORIAS
11.1.3 EQUIPE DE AUDITORIA
11.1.4 METODOLOGIA DE AUDITORIA
11.2 PROCESSO DE AUDITORIA
11.2.1 PLANEJAMENTO
11.2.2 EXECUÇÃO
11.2.3 DOCUMENTAÇÃO E RELATÓRIOS
11.2.4 ACOMPANHAMENTO
11.3 CONFORMIDADE REGULATÓRIA
11.3.1 IDENTIFICAÇÃO DE REQUISITOS REGULATÓRIOS
11.3.2 PROGRAMA DE CONFORMIDADE COM A LGPD
11.3.3 AVALIAÇÕES DE CONFORMIDADE
11.3.4 GESTÃO DE NÃO-CONFORMIDADES
11.4 AUDITORIAS EXTERNAS E CERTIFICAÇÕES
11.4.1 AUDITORIAS EXTERNAS
11.4.2 CERTIFICAÇÕES DE SEGURANÇA
11.5 MONITORAMENTO CONTÍNUO
11.5.1 MONITORAMENTO DE CONTROLES
11.5.2 REVISÃO DE LOGS E ALERTAS
11.6 GESTÃO DE RISCOS
11.6.1 AVALIAÇÕES DE RISCO
11.6.2 TRATAMENTO DE RISCOS
11.7 RELATÓRIOS E COMUNICAÇÃO
11.7.1 RELATÓRIOS PARA A ALTA ADMINISTRAÇÃO
11.7.2 COMUNICAÇÃO COM STAKEHOLDERS
11.8 TREINAMENTO E CONSCIENTIZAÇÃO
11.8.1 PROGRAMA DE TREINAMENTO
11.8.2 CONSCIENTIZAÇÃO GERAL
11.9 MELHORIA CONTÍNUA
11.9.1 REVISÃO DO PROGRAMA
11.9.2 BENCHMARKING
12.1 PRINCÍPIOS GERAIS
12.1.1 OBJETIVO DAS SANÇÕES
12.1.2 APLICAÇÃO JUSTA E CONSISTENTE
12.1.3 DEVIDO PROCESSO
12.2 CLASSIFICAÇÃO DAS VIOLAÇÕES
12.2.1 VIOLAÇÕES MENORES
12.2.2 VIOLAÇÕES MODERADAS
12.2.3 VIOLAÇÕES GRAVES
12.2.4 VIOLAÇÕES CRÍTICAS
12.3 PROCESSO DE APLICAÇÃO DE SANÇÕES
12.3.1 DETECÇÃO E REPORTE
12.3.2 INVESTIGAÇÃO
12.3.3 AVALIAÇÃO
12.3.4 DETERMINAÇÃO DA SANÇÃO
12.3.5 COMUNICAÇÃO E APLICAÇÃO
12.4 TIPOS DE SANÇÕES
12.4.1 ADVERTÊNCIA VERBAL
12.4.2 ADVERTÊNCIA ESCRITA
12.4.3 TREINAMENTO OBRIGATÓRIO
12.4.4 SUSPENSÃO DE PRIVILÉGIOS
12.4.5 SUSPENSÃO
12.4.6 DEMISSÃO
12.4.7 AÇÃO LEGAL
12.5 FATORES MITIGANTES E AGRAVANTES
12.5.1 FATORES MITIGANTES
12.5.2 FATORES AGRAVANTES
12.6 REGISTRO E DOCUMENTAÇÃO
12.7 APELAÇÃO E REVISÃO
12.8 COMUNICAÇÃO E TREINAMENTO
12.9 MONITORAMENTO E MELHORIA CONTÍNUA
O escritório Vinciguera & Reic Advogados Associados lida diariamente com um vasto conjunto de informações confidenciais e sensíveis de seus clientes. Estas informações abrangem desde estratégias legais até dados pessoais e corporativos sigilosos. A proteção dessas informações não é apenas uma questão de boas práticas, mas uma necessidade crítica para o sucesso e a integridade do escritório.
A segurança da informação é fundamental pelos seguintes motivos:
Manter a confiança dos clientes
Cumprir obrigações éticas e legais da advocacia
Proteger a reputação e integridade do escritório
Evitar prejuízos financeiros e operacionais
Garantir vantagem competitiva
A segurança da informação visa proteger os ativos de informação contra uma ampla gama de ameaças, que incluem, mas não se limitam a:
Ataques cibernéticos
Vazamentos acidentais de dados
Acesso não autorizado (interno ou externo)
Perda ou corrupção de dados
Espionagem industrial ou concorrencial
Isso é alcançado através da implementação de um conjunto abrangente e integrado de controles, que incluem:
Políticas e diretrizes claras e atualizadas
Processos e procedimentos bem definidos e documentados
Tecnologias de ponta em segurança da informação
Treinamento e conscientização contínua dos colaboradores
Monitoramento e auditorias regulares
Planos de resposta a incidentes e continuidade de negócios
Os principais objetivos da segurança da informação no Vinciguera & Reic Advogados Associados são:
Confidencialidade
Garantir que as informações dos clientes e do escritório sejam acessadas apenas por pessoas autorizadas.
Implementar controles de acesso baseados em funções e necessidades.
Utilizar criptografia para proteger dados em repouso e em trânsito.
Estabelecer políticas rígidas de compartilhamento de informações.
Integridade
Assegurar que as informações permaneçam íntegras e não sejam alteradas indevidamente.
Implementar controles de versionamento e trilhas de auditoria.
Utilizar assinaturas digitais para garantir a autenticidade de documentos.
Estabelecer processos de validação e verificação de dados.
Disponibilidade
Garantir que as informações estejam disponíveis quando necessário para a condução dos trabalhos.
Implementar sistemas redundantes e planos de backup robustos.
Estabelecer acordos de nível de serviço (SLAs) para sistemas críticos.
Desenvolver e testar planos de continuidade de negócios.
Conformidade
Atender aos requisitos éticos, legais e regulatórios aplicáveis à advocacia.
Manter-se em conformidade com a LGPD, Marco Civil da Internet e outras legislações relevantes.
Seguir as diretrizes do Código de Ética e Disciplina da OAB.
Implementar controles específicos para atender a requisitos setoriais.
Continuidade
Manter a capacidade de operar e prestar serviços mesmo em situações adversas.
Desenvolver e manter um Plano de Continuidade de Negócios (PCN) atualizado.
Realizar testes regulares de recuperação de desastres.
Estabelecer procedimentos de trabalho remoto seguro.
Resiliência
Desenvolver a capacidade de detectar, responder e se recuperar rapidamente de incidentes de segurança.
Implementar sistemas de detecção e prevenção de intrusões (IDS/IPS).
Estabelecer uma equipe de resposta a incidentes de segurança.
Conduzir simulações regulares de cenários de ataques.
Conscientização
Criar uma cultura de segurança da informação em todos os níveis do escritório.
Realizar treinamentos regulares e campanhas de conscientização.
Incentivar a reportagem de incidentes e vulnerabilidades.
Manter os colaboradores atualizados sobre as últimas ameaças e melhores práticas.
Ao perseguir esses objetivos de forma integrada e contínua, nosso escritório busca não apenas proteger suas informações e as de seus clientes, mas também estabelecer-se como referência em segurança da informação no setor jurídico, reforçando sua posição de confiança e excelência no mercado.
Toda informação gerada, recebida, armazenada ou manipulada no escritório é considerada um ativo valioso e deve ser protegida adequadamente. Isso inclui, mas não se limita a:
Documentos legais (contratos, petições, pareceres)
Dados de clientes
Estratégias jurídicas
Comunicações internas e externas
Registros financeiros e administrativos
Manter um inventário atualizado de todos os ativos de informação.
Designar um responsável para cada ativo.
Revisar periodicamente o inventário (no mínimo anualmente).
Estabelecer procedimentos para cada fase do ciclo de vida da informação: Criação/Recebimento
Armazenamento
Uso
Compartilhamento
Arquivamento
Descarte
As informações devem ser classificadas quanto ao seu grau de sigilo e criticidade, recebendo o nível apropriado de proteção. A classificação deve considerar:
Pública: Informações que podem ser divulgadas sem restrições.
Interna: Informações de uso interno do escritório.
Confidencial: Informações sensíveis, acesso restrito a um grupo específico.
Altamente Confidencial: Informações críticas, acesso extremamente limitado.
Valor para o escritório e clientes
Requisitos legais e regulatórios
Sensibilidade e criticidade
Impacto potencial se divulgada indevidamente
O autor ou custodiante da informação é responsável por sua classificação inicial.
A classificação deve ser revisada periodicamente e ajustada quando necessário.
O acesso às informações deve ser concedido apenas na medida necessária para o desempenho das funções, seguindo o princípio do menor privilégio.
Implementar um processo formal de solicitação, aprovação e revogação de acessos.
Revisar periodicamente os direitos de acesso (no mínimo semestralmente).
Utilizar autenticação multifator para acessos ao sistema microsoft.
Identificar e documentar funções que requerem segregação.
Implementar controles para evitar conflitos de interesse.
Estabelecer políticas específicas para acesso remoto seguro.
Utilizar tecnologias de segurança para conexões remotas.
Todos os colaboradores, incluindo advogados, estagiários e funcionários administrativos, são responsáveis pela segurança das informações que acessam ou manipulam.
Conduzir treinamentos obrigatórios de segurança da informação anualmente.
Realizar campanhas de conscientização regulares.
Todos os colaboradores devem assinar termos de confidencialidade e responsabilidade.
Atualizar os termos conforme mudanças na legislação ou políticas internas.
Estabelecer canais claros para reportar incidentes de segurança.
Incentivar a cultura de reportar sem medo de retaliação.
Os recursos de tecnologia devem ser utilizados exclusivamente para fins profissionais relacionados às atividades do escritório.
Definir claramente o que constitui uso aceitável e inaceitável dos recursos de TI.
Proibir expressamente o uso para atividades ilegais, antiéticas ou que possam prejudicar a reputação do escritório.
Manter uma lista de softwares aprovados para uso.
Proibir a instalação de softwares não autorizados.
O escritório se reserva o direito de monitorar o uso dos recursos de TI para fins de segurança, sem aviso prévio, respeitando a legislação aplicável.
Definir claramente o que será monitorado (ex: tráfego de rede, logs).
Estabelecer procedimentos para garantir a privacidade e legalidade do monitoramento.
Realizar auditorias internas de segurança regularmente (no mínimo anualmente).
Considerar auditorias externas para avaliação independente.
Manter logs de acesso e atividades em sistemas críticos.
Estabelecer políticas de retenção de logs em conformidade com requisitos legais.
Informar claramente aos colaboradores sobre as práticas de monitoramento.
Incluir informações sobre monitoramento nos termos de uso dos recursos de TI.
Será estabelecido um Comitê de Segurança da Informação (CSI) composto pelos seguintes membros:
Sócio
Papel: Presidir o comitê e garantir alinhamento com os objetivos estratégicos do escritório.
Responsabilidades: Aprovar políticas de alto nível e orçamentos de segurança.
Gerente de TI
Papel: Coordenador técnico do comitê.
Responsabilidades: Propor soluções técnicas e supervisionar a implementação de controles.
Gerente Administrativo
Papel: Representante das áreas administrativas e de compliance.
Responsabilidades: Garantir alinhamento com processos administrativos e requisitos regulatórios.
Advogado sênior especialista em proteção de dados
Papel: Consultor jurídico do comitê.
Responsabilidades: Assegurar conformidade legal e aconselhar sobre implicações jurídicas das decisões.
Representante da área de Recursos Humanos
Representante da área de Comunicação
Especialistas externos (consultores) em temas específicos
O Comitê de Segurança da Informação terá as seguintes atribuições principais:
Estabelecer, revisar e atualizar a Política de Segurança da Informação do escritório.
Aprovar políticas e procedimentos específicos de segurança.
Garantir que as políticas estejam alinhadas com os objetivos estratégicos do escritório e requisitos legais.
Realizar revisões anuais das políticas ou sempre que houver mudanças significativas no ambiente.
Conduzir avaliações de risco de segurança da informação pelo menos anualmente.
Identificar e priorizar riscos de segurança para o escritório.
Definir e aprovar controles de segurança para mitigar riscos identificados.
Estabelecer métricas e indicadores de desempenho de segurança (KPIs).
Analisar e aprovar o orçamento anual de segurança da informação.
Avaliar e priorizar projetos de segurança.
Deliberar sobre aquisições de tecnologias e serviços de segurança.
Garantir que os investimentos em segurança estejam alinhados com as necessidades do escritório.
Estabelecer um processo formal de gestão de incidentes de segurança.
Analisar incidentes graves de segurança e suas respostas.
Aprovar planos de ação para prevenir recorrências.
Decidir sobre comunicações internas e externas relacionadas a incidentes graves.
Supervisionar programas de conformidade com regulamentações relevantes (ex: LGPD, OAB).
Revisar resultados de auditorias de segurança internas e externas.
Aprovar planos de ação para endereçar não-conformidades identificadas.
Aprovar e supervisionar programas de conscientização em segurança da informação.
Promover uma cultura de segurança dentro do escritório.
Avaliar a eficácia dos programas de treinamento e conscientização.
Reuniões extraordinárias: Conforme necessidade, especialmente em caso de incidentes graves
Quórum mínimo: 3 membros, incluindo obrigatoriamente o Sócio responsável ou seu delegado
As decisões serão tomadas por consenso sempre que possível.
Em caso de impasse, o Sócio responsável terá o voto de desempate.
Decisões críticas devem ser documentadas e comunicadas à alta direção do escritório.
O CISO será responsável por preparar as atas das reuniões e relatórios do comitê.
Um relatório semestral sobre o estado da segurança da informação deve ser apresentado à alta direção.
Toda a documentação do comitê deve ser tratada como confidencial e armazenada de forma segura.
A eficácia do comitê será avaliada anualmente.
A composição do comitê será revisada a cada dois anos ou conforme necessidade.
Participar ativamente das reuniões e discussões do comitê.
Manter-se atualizado sobre as tendências e ameaças de segurança relevantes para o setor jurídico.
Agir como embaixadores da segurança da informação em suas respectivas áreas.
Manter confidencialidade sobre as discussões e decisões do comitê.
A segurança da informação começa com as pessoas. Esta seção estabelece diretrizes para garantir que todos os colaboradores, desde a contratação até o desligamento, estejam alinhados com as práticas de segurança do escritório.
Realizar verificações de antecedentes de todos os candidatos, respeitando a legislação aplicável.
Incluir verificações adicionais para posições sensíveis ou de alto risco.
Incluir cláusulas de segurança da informação nos contratos de trabalho.
Especificar as responsabilidades do colaborador em relação à segurança da informação.
Todos os colaboradores devem assinar um termo de confidencialidade abrangente.
O termo deve cobrir:
Obrigações de sigilo profissional
Proteção de dados de clientes
Uso adequado de recursos de TI
Consequências de violações de confidencialidade
Desenvolver um programa contínuo de conscientização em segurança da informação.
Abordar temas como:
Políticas e procedimentos de segurança do escritório
Ameaças cibernéticas atuais (phishing, engenharia social, etc.)
Boas práticas de segurança no dia a dia
Responsabilidades legais e éticas
Realizar treinamentos obrigatórios sobre segurança da informação:
Para novos colaboradores: durante o processo de integração
Para todos os colaboradores: pelo menos anualmente
Treinamentos adicionais após mudanças significativas nas políticas ou sistemas
Oferecer treinamentos específicos para funções sensíveis (ex: TI, RH, alta administração)
Atualizar permissões de acesso quando houver mudanças de função ou responsabilidades.
Reavaliar necessidades de treinamento após mudanças organizacionais.
Estabelecer um checklist de desligamento que inclua:
Revogação imediata de todos os acessos lógicos (sistemas, e-mail, VPN, etc.)
Coleta de todos os ativos físicos (laptops, smartphones, tokens de acesso, etc.)
Desativação de crachás e acessos físicos
Realizar entrevista de desligamento para reforçar obrigações de confidencialidade
Garantir a transferência segura de informações e responsabilidades para outros colaboradores.
Documentar conhecimentos críticos antes do desligamento.
Notificar prontamente todas as partes relevantes sobre o desligamento (TI, segurança, recepção, etc.)
Atualizar listas de contatos e diretórios internos
Monitorar atividades suspeitas após o desligamento (tentativas de acesso, etc.)
Manter registros de desligamento para fins de auditoria
Estabelecer uma política clara de consequências para violações de segurança.
Graduar as consequências de acordo com a gravidade da violação e intenção.
Definir um processo formal para investigar suspeitas de violações de segurança.
Garantir confidencialidade durante as investigações.
Alinhar medidas disciplinares com as políticas de RH e legislação trabalhista.
Documentar adequadamente todas as ações disciplinares relacionadas à segurança.
Estender requisitos de segurança relevantes a terceiros e prestadores de serviço.
Incluir cláusulas de segurança em contratos com terceiros.
Estabelecer processos para monitorar a conformidade de terceiros com os requisitos de segurança.
Realizar auditorias periódicas em fornecedores críticos.
Engajar a alta administração na promoção da segurança da informação.
Incentivar líderes a demonstrar boas práticas de segurança.
Manter canais abertos para discussão de questões de segurança.
Promover uma cultura de reportar incidentes sem medo de retaliação.
Reconhecer e recompensar comportamentos que promovam a segurança da informação.
Considerar a segurança da informação nos programas de avaliação e promoção.
O controle de acesso é fundamental para proteger os ativos de informação do escritório. Esta seção estabelece diretrizes abrangentes para garantir que apenas pessoas autorizadas tenham acesso às informações e instalações do escritório, na medida necessária para desempenhar suas funções.
O acesso lógico aos sistemas deve ser individual, intransferível e auditável.
Implementar o princípio do menor privilégio: usuários devem ter acesso apenas ao necessário para suas funções.
Aplicar segregação de funções para prevenir conflitos de interesse e fraudes.
Estabelecer um processo formal para solicitação, aprovação, criação e revogação de acessos.
Manter um registro atualizado de todos os direitos de acesso concedidos.
Realizar revisões periódicas (no mínimo semestrais) dos direitos de acesso.
Implementar autenticação multifator (MFA) para todos os acessos remotos e sistemas críticos.
Proibir o compartilhamento de credenciais de acesso sob qualquer circunstância.
Registrar e monitorar todas as tentativas de acesso, bem-sucedidas e malsucedidas.
Controlar áreas de entrega e carregamento para prevenir acesso não autorizado.
Inspecionar todos os pacotes e correspondências na entrada.
Manter logs detalhados de todos os acessos lógicos e físicos.
Sincronizar todos os sistemas de log com uma fonte de tempo confiável.
Proteger logs contra adulteração e acesso não autorizado.
Implementar sistemas de detecção de intrusão (IDS) e prevenção de intrusão (IPS).
Monitorar ativamente por atividades suspeitas ou anômalas.
Realizar revisões regulares dos logs de acesso (no mínimo mensalmente).
Utilizar ferramentas de análise de logs para identificar padrões suspeitos.
Investigar prontamente quaisquer anomalias detectadas.
Limitar o número de contas com privilégios administrativos.
Utilizar contas administrativas apenas para tarefas que requerem tais privilégios.
Implementar monitoramento adicional para atividades de contas privilegiadas.
Estabelecer um processo formal para concessão de acesso de emergência.
Limitar a duração do acesso de emergência e revisar após o uso.
Conduzir treinamentos regulares sobre políticas de controle de acesso.
Educar colaboradores sobre a importância de proteger suas credenciais.
Enfatizar a responsabilidade individual na proteção de acessos.
Incentivar a reportagem imediata de qualquer suspeita de comprometimento de acesso.
Realizar auditorias periódicas dos controles de acesso (no mínimo anualmente).
Atualizar políticas e procedimentos de controle de acesso conforme necessário.
Acompanhar as melhores práticas e novas tecnologias em controle de acesso.
O uso de dispositivos móveis no ambiente de trabalho jurídico apresenta desafios únicos de segurança. Esta seção estabelece diretrizes abrangentes para garantir que o uso de dispositivos móveis seja seguro e não comprometa a confidencialidade das informações do escritório e de seus clientes.
Exigir autenticação forte para desbloquear dispositivos (PIN de 6 dígitos, senha complexa, ou biometria).
Implementar bloqueio automático após um curto período de inatividade (máximo 5 minutos).
Configurar bloqueio do dispositivo após um número limitado de tentativas de acesso malsucedidas.
Habilitar localização e apagamento remoto em caso de perda ou roubo
É estritamente proibido armazenar dados de clientes em dispositivos pessoais.
Limitar o armazenamento local de dados sensíveis em dispositivos móveis corporativos.
Utilizar soluções de armazenamento em nuvem corporativa aprovadas para dados sensíveis.
Configurar sincronização automática de dados importantes com sistemas corporativos seguros.
Implementar backup regular e seguro de dados em dispositivos móveis.
Exigir o uso de conexões seguras (HTTPS, SSL/TLS) para transmissão de dados sensíveis.
Evitar o uso de redes Wi-Fi públicas não seguras.
Implementar criptografia de e-mail para comunicações sensíveis.
Utilizar soluções de e-mail corporativo seguro em dispositivos móveis.
Configurar políticas de retenção e arquivamento de e-mails em conformidade com requisitos legais.
Conduzir treinamentos regulares sobre o uso seguro de dispositivos móveis.
Fornecer orientações claras sobre:
Práticas seguras de uso de dispositivos móveis
Riscos associados ao uso de dispositivos móveis para trabalho
Procedimentos para reportar incidentes de segurança
Em caso de perda, roubo ou suspeita de comprometimento, o incidente deve ser comunicado imediatamente ao departamento de TI.
Implementar procedimentos rápidos para:
Bloqueio remoto do dispositivo
Apagamento remoto de dados sensíveis
Revogação de credenciais de acesso
Conduzir uma investigação para determinar o impacto potencial do incidente.
Realizar auditorias regulares de conformidade em dispositivos móveis.
Manter logs de acesso e atividades em dispositivos móveis para fins de auditoria.
Estabelecer procedimentos para o descarte seguro de dispositivos móveis corporativos.
Garantir que todos os dados sejam completamente apagados antes do descarte ou reutilização do dispositivo.
Revisar e atualizar a política de segurança em dispositivos móveis anualmente.
Ajustar a política conforme mudanças tecnológicas e novas ameaças de segurança.
O uso adequado de e-mail e internet é fundamental para a segurança da informação e a produtividade no ambiente jurídico. Esta seção estabelece diretrizes abrangentes para garantir que o uso desses recursos seja seguro, ético e eficiente.
O e-mail corporativo deve ser usado exclusivamente para fins profissionais relacionados às atividades do escritório.
É proibido o uso do e-mail corporativo para fins pessoais, comerciais não relacionados ao escritório, ou qualquer atividade ilegal ou antiética.
Todas as comunicações por e-mail devem manter um tom profissional e respeitar os padrões éticos da advocacia.
É proibido o envio de conteúdo ofensivo, discriminatório, difamatório ou que viole direitos autorais.
Tratar todas as comunicações por e-mail com a devida consideração à confidencialidade e ao privilégio advogado-cliente.
Utilizar marcações apropriadas para e-mails confidenciais ou privilegiados.
Evitar discutir informações sensíveis de clientes por e-mail, a menos que seja absolutamente necessário e com as devidas precauções.
É estritamente proibido abrir anexos suspeitos ou clicar em links desconhecidos.
Utilizar ferramentas de verificação de anexos e links antes de abri-los.
Implementar filtros de spam e malware em nível de servidor e cliente.
Ativar autenticação de dois fatores (2FA) para acesso às contas de e-mail.
Utilizar criptografia de e-mail para comunicações sensíveis, especialmente quando envolvem informações de clientes.
Fornecer treinamento sobre o uso adequado de ferramentas de criptografia de e-mail.
Implementar políticas de retenção de e-mail em conformidade com requisitos legais e regulatórios.
Arquivar regularmente e-mails importantes de acordo com as políticas de gestão de documentos do escritório.
O acesso à internet deve respeitar as políticas do escritório e ser primariamente para fins profissionais.
É permitido o uso pessoal da internet, desde que não interfira com as responsabilidades profissionais ou viole as políticas do escritório.
É estritamente proibido acessar, baixar, armazenar ou distribuir:
Material de natureza obscena ou de teor sexual explícito
Conteúdo ilegal ou que promova atividades ilegais
Material que viole direitos autorais
Conteúdo ofensivo, discriminatório ou difamatório
Utilizar apenas navegadores aprovados pelo departamento de TI.
Evitar o acesso a sites não confiáveis ou suspeitos.
Não baixar ou instalar software sem aprovação prévia do departamento de TI.
O uso de redes sociais deve seguir as diretrizes específicas estabelecidas pelo escritório.
Evitar discutir assuntos relacionados a clientes ou casos em redes sociais.
Manter a confidencialidade e profissionalismo em todas as interações online.
Implementar firewalls e filtros de conteúdo para proteger a rede contra ameaças da internet.
Atualizar regularmente as regras de firewall e listas de bloqueio.
Manter software antivírus e anti-malware atualizado em todos os dispositivos.
Realizar varreduras regulares em anexos de e-mail e downloads da internet.
Conduzir treinamentos regulares sobre uso seguro de e-mail e internet.
Manter os colaboradores informados sobre as últimas ameaças cibernéticas e técnicas de phishing.
Realizar simulações periódicas de phishing para testar a conscientização dos usuários.
Estabelecer procedimentos claros para reportar incidentes de segurança relacionados a e-mail e internet.
Definir um plano de resposta para lidar com violações de segurança, como phishing bem-sucedido ou infecção por malware.
Revisar e atualizar as políticas de uso de e-mail e internet anualmente.
Ajustar as políticas conforme necessário para abordar novas ameaças ou mudanças tecnológicas.
A gestão adequada de documentos físicos é essencial em um escritório de advocacia, onde a confidencialidade e a integridade das informações são fundamentais. Esta seção estabelece diretrizes abrangentes para garantir que os documentos físicos sejam manuseados, armazenados e descartados de forma segura e em conformidade com as obrigações legais e éticas.
Implementar um sistema de classificação de documentos baseado em níveis de confidencialidade:
Público
Interno
Confidencial
Altamente Confidencial
Todos os documentos físicos devem ser claramente marcados com seu nível de confidencialidade.
Utilizar carimbos ou etiquetas coloridas para fácil identificação visual.
Designar áreas seguras específicas para o armazenamento de documentos confidenciais.
Implementar controle de acesso físico a essas áreas (ex: planilha de controle de acesso).
Utilizar armários com trava para armazenar documentos confidenciais.
Implementar uma política de “mesa limpa” para garantir que documentos não sejam deixados expostos.
Utilizar cofres à prova de fogo para documentos altamente confidenciais ou críticos.
Documentos confidenciais não devem ser deixados expostos em mesas, impressoras ou áreas comuns.
Implementar uma política de “tela limpa” para documentos digitais exibidos em monitores.
Manter um registro de acesso para documentos altamente confidenciais.
Limitar o acesso a documentos confidenciais apenas a pessoal autorizado.
Restringir a cópia de documentos confidenciais.
Utilizar malotes seguros ou pastas com trava para o transporte de documentos confidenciais.
Estabelecer diretrizes claras para o transporte de documentos fora do escritório.
Proibir o transporte desnecessário de documentos originais ou altamente confidenciais.
Utilizar apenas serviços de courier confiáveis e aprovados para o transporte de documentos.
Exigir assinatura e confirmação de entrega para documentos confidenciais.
Todos os documentos confidenciais devem ser descartados por meio de fragmentação segura.
Utilizar fragmentadoras de corte cruzado que atendam aos padrões de segurança.
Estabelecer pontos de coleta seguros para documentos a serem descartados.
Implementar um cronograma regular de descarte de documentos.
Se utilizar serviços terceirizados de descarte, garantir que atendam aos padrões de segurança do escritório.
Exigir certificados de destruição para cada lote de documentos descartados.
Estabelecer procedimentos seguros para a digitalização de documentos físicos.
Garantir que os documentos digitalizados sejam armazenados com a mesma classificação de segurança dos originais físicos.
Definir políticas claras sobre quais documentos originais devem ser retidos após a digitalização.
Estabelecer períodos de retenção em conformidade com requisitos legais e regulatórios.
Manter um inventário atualizado de documentos físicos confidenciais.
Realizar auditorias regulares para garantir a integridade do inventário.
Implementar um sistema de registro para o acesso e manuseio de documentos confidenciais.
Revisar regularmente os registros de acesso para detectar atividades suspeitas.
Conduzir treinamentos regulares sobre o manuseio seguro de documentos físicos.
Incluir orientações sobre gestão de documentos físicos nos programas de integração de novos colaboradores.
Estabelecer procedimentos claros para lidar com a perda, roubo ou exposição indevida de documentos físicos.
Definir um protocolo de notificação para casos de violação de segurança envolvendo documentos físicos.
Revisar e atualizar as políticas de gestão de documentos físicos anualmente.
Ajustar as políticas conforme necessário para atender a novos requisitos legais ou mudanças nas práticas do escritório.
A proteção e a capacidade de recuperação dos dados são fundamentais para a continuidade dos negócios e a preservação da integridade das informações em um escritório de advocacia. Esta seção estabelece diretrizes abrangentes para garantir que os dados sejam adequadamente protegidos e possam ser recuperados em caso de perda ou corrupção.
Identificar e categorizar todos os dados críticos que requerem backup, incluindo:
Arquivos de casos e clientes
Bancos de dados de gestão de casos
E-mails e comunicações eletrônicas
Documentos administrativos e financeiros
Configurações de sistemas
Implementar um cronograma de backup que inclua:
Backups incrementais diários
Backups completos semanais
Backups mensais para arquivamento de longo prazo
Utilizar uma combinação de métodos de backup:
Backup local para recuperação rápida
Backup off-site para proteção contra desastres físicos
Backup em nuvem para redundância adicional
Implementar criptografia forte para todos os dados de backup, tanto em trânsito quanto em repouso.
Gerenciar chaves de criptografia de forma segura, com acesso restrito.
Limitar o acesso aos sistemas e dados de backup apenas a pessoal autorizado.
Implementar autenticação multifator para acesso aos sistemas de backup.
Armazenar mídias de backup em locais seguros, protegidos contra ameaças físicas e ambientais.
Para backups off-site, utilizar instalações de armazenamento seguras e certificadas.
Realizar verificações automáticas de integridade após cada backup.
Implementar checksums ou outras técnicas de verificação de dados.
Conduzir testes de restauração regulares:
Testes trimestrais para sistemas críticos completos
Documentar e revisar os resultados dos testes de restauração.
Criar um plano de recuperação de desastres abrangente e documentado, que inclua:
Definição de cenários de desastre (ex: falha de hardware, ciberataque, desastre natural)
Procedimentos detalhados de recuperação para cada cenário
Lista de contatos e responsabilidades da equipe de recuperação
Priorização de sistemas e dados para restauração
Definir RTO (tempo máximo aceitável para restaurar sistemas) e RPO (quantidade máxima aceitável de perda de dados) para cada sistema crítico.
Alinhar as estratégias de backup e recuperação para atender aos RTO e RPO definidos.
Realizar testes completos do plano de recuperação de desastres anualmente.
Conduzir simulações de cenários de desastre para treinar a equipe.
Documentar e revisar os resultados dos testes, atualizando o PRD conforme necessário.
Estabelecer procedimentos detalhados para diferentes cenários de recuperação:
Recuperação de arquivos individuais
Restauração de sistemas completos
Recuperação de dados em caso de ransomware
Definir uma ordem de prioridade clara para a recuperação de sistemas e dados.
Garantir que os sistemas críticos para a continuidade dos negócios sejam restaurados primeiro.
Implementar processos de verificação após a recuperação para garantir a integridade e completude dos dados restaurados.
Realizar testes de funcionalidade em sistemas restaurados antes de colocá-los em produção.
Manter documentação detalhada e atualizada de todos os procedimentos de backup e recuperação.
Armazenar cópias da documentação em locais seguros e acessíveis em caso de desastre.
Conduzir treinamentos regulares para a equipe de TI sobre procedimentos de backup e recuperação.
Realizar workshops para familiarizar a equipe jurídica com os processos básicos de backup e recuperação.
Garantir que as práticas de backup e recuperação estejam em conformidade com requisitos legais e regulatórios aplicáveis.
Considerar requisitos específicos para dados de clientes e informações privilegiadas advogado-cliente.
Realizar auditorias internas anuais dos processos de backup e recuperação.
Considerar auditorias externas periódicas para validação independente.
Revisar e atualizar as políticas e procedimentos de backup e recuperação anualmente.
Incorporar lições aprendidas de testes e incidentes reais nas revisões.
Manter-se atualizado sobre novas tecnologias e melhores práticas em backup e recuperação de dados.
A capacidade de responder eficazmente a incidentes de segurança é fundamental para minimizar danos, proteger informações sensíveis e manter a confiança dos clientes. Esta seção estabelece diretrizes abrangentes para garantir que o escritório esteja preparado para detectar, responder e se recuperar de incidentes de segurança de forma rápida e eficiente.
Estabelecer uma Equipe de Resposta a Incidentes de Segurança (ERIS) composta por:
Coordenador de Resposta a Incidentes (geralmente o CISO ou Gerente de TI)
Representante da Alta Administração
Especialista em Segurança da Informação
Representante do Departamento Jurídico
Representante de TI
Representante de Comunicação
Coordenar a resposta a incidentes de segurança
Tomar decisões críticas durante um incidente
Conduzir investigações pós-incidente
Atualizar e melhorar continuamente o plano de resposta a incidentes
Criar um plano de resposta a incidentes documentado que inclua:
Definição clara de papéis e responsabilidades
Procedimentos detalhados para diferentes tipos de incidentes
Árvore de decisão para escalação de incidentes
Protocolos de comunicação interna e externa
Lista de contatos de emergência (internos e externos)
O plano deve abordar, no mínimo, os seguintes tipos de incidentes:
Violações de dados
Ataques de malware (incluindo ransomware)
Phishing e engenharia social
Acesso não autorizado a sistemas
Perda ou roubo de dispositivos
Ameaças internas
Estruturar o plano de acordo com as seguintes fases:
Preparação
Detecção e Análise
Contenção
Erradicação e Recuperação
Atividades Pós-Incidente
Implementar sistemas de detecção de intrusão (IDS/IPS)
Utilizar ferramentas de monitoramento de segurança em tempo real
Estabelecer alertas para atividades suspeitas em sistemas críticos
Criar um canal claro e acessível para reportar incidentes (ex: caixa de e-mail compartilhada)
Educar todos os colaboradores sobre como identificar e reportar incidentes de segurança
Estabelecer um processo de triagem para avaliar a gravidade dos incidentes reportados
Enfatizar que todos os incidentes de segurança, suspeitos ou confirmados, devem ser reportados imediatamente
Implementar uma política de não-retaliação para incentivar o reporte de incidentes
Classificar incidentes com base em:
Tipo de incidente
Gravidade do impacto
Sistemas ou dados afetados
Potencial de danos
Estabelecer níveis de prioridade (ex: Crítico, Alto, Médio, Baixo) com tempos de resposta associados
Definir estratégias de contenção para diferentes tipos de incidentes
Estabelecer procedimentos para isolar sistemas comprometidos
Implementar protocolos para preservação de evidências
Desenvolver procedimentos para remover ameaças dos sistemas afetados
Estabelecer processos para identificar e corrigir vulnerabilidades exploradas
Definir procedimentos para restaurar sistemas e dados a partir de backups seguros
Estabelecer critérios para determinar quando os sistemas podem retornar à operação normal
Estabelecer protocolos claros para comunicação com partes internas relevantes
Definir modelos de comunicação para diferentes tipos e níveis de incidentes
Desenvolver estratégias de comunicação com clientes, parceiros e autoridades reguladoras
Preparar modelos de comunicação para diferentes cenários de incidentes
Designar porta-vozes autorizados para lidar com consultas da mídia
Preparar diretrizes para comunicação com a mídia em caso de incidentes graves
Manter registros detalhados de todos os incidentes, incluindo cronologia, ações tomadas e resultados
Estabelecer um sistema seguro para armazenar documentação relacionada a incidentes
Conduzir uma análise detalhada após cada incidente significativo
Identificar lições aprendidas e oportunidades de melhoria
Revisar e atualizar o plano de resposta a incidentes com base nas lições aprendidas
Ajustar políticas de segurança conforme necessário para prevenir incidentes similares no futuro
Conduzir treinamentos regulares para colaboradores relevantes
Manter a equipe atualizada sobre as últimas tendências em ameaças e técnicas de resposta
Realizar simulações de incidentes pelo menos anualmente
Incluir cenários variados para testar diferentes aspectos do plano de resposta
Garantir que o plano de resposta a incidentes esteja em conformidade com requisitos legais e regulatórios aplicáveis (ex: LGPD, regulamentações da OAB)
Estabelecer procedimentos para notificação de autoridades e indivíduos afetados, conforme exigido por lei
Revisar e atualizar o plano de resposta a incidentes pelo menos anualmente
Incorporar feedback de incidentes reais, simulações e mudanças no ambiente de ameaças
A realização de auditorias regulares e a manutenção da conformidade com regulamentações aplicáveis são essenciais para garantir a eficácia das políticas de segurança da informação e proteger a reputação do escritório. Esta seção estabelece diretrizes abrangentes para auditorias internas e conformidade regulatória.
Desenvolver um programa abrangente de auditoria interna que cubra todos os aspectos da segurança da informação, incluindo:
Políticas e procedimentos de segurança
Controles de acesso físico e lógico
Segurança de rede e sistemas
Gestão de dados e privacidade
Continuidade de negócios e recuperação de desastres
Conscientização e treinamento em segurança
Realizar auditorias internas de segurança pelo menos anualmente
Conduzir auditorias adicionais após mudanças significativas nos sistemas ou processos
Estabelecer uma equipe interna de auditoria com conhecimentos em segurança da informação
Considerar a contratação de auditores externos para avaliações independentes periódicas
Utilizar metodologias e frameworks reconhecidos (ex: ISO 27001, COBIT)
Desenvolver checklists e procedimentos específicos para o ambiente do escritório
Definir objetivos claros para cada auditoria
Identificar sistemas, processos e áreas a serem auditados
Notificar as partes relevantes com antecedência
Realizar entrevistas com pessoal-chave
Revisar documentação e registros relevantes
Conduzir testes e verificações de controles de segurança
Utilizar ferramentas automatizadas de auditoria quando apropriado
Documentar detalhadamente todas as descobertas e observações
Preparar relatórios de auditoria claros e acionáveis
Classificar as descobertas por nível de risco ou gravidade
Desenvolver planos de ação para abordar as descobertas da auditoria
Estabelecer prazos para implementação de melhorias
Realizar verificações de acompanhamento para garantir que as ações corretivas foram implementadas
Manter um registro atualizado de todas as regulamentações aplicáveis, incluindo:
Lei Geral de Proteção de Dados (LGPD)
Estatuto da Advocacia e Código de Ética e Disciplina da OAB
Outras regulamentações específicas do setor jurídico
Implementar um programa abrangente de conformidade com a LGPD, incluindo:
Mapeamento de dados pessoais
Implementação de medidas técnicas e organizacionais de proteção de dados
Nomeação de um Encarregado de Proteção de Dados (DPO)
Desenvolvimento de políticas e procedimentos de privacidade
Treinamento de colaboradores em práticas de proteção de dados
Realizar avaliações regulares de conformidade com todas as regulamentações aplicáveis
Utilizar ferramentas e metodologias específicas para avaliação de conformidade (ex: RIPD – Relatório de Impacto à Proteção de Dados)
Estabelecer um processo para identificar e documentar não-conformidades
Desenvolver planos de ação para remediar não-conformidades
Monitorar e reportar o progresso na resolução de não-conformidades
Considerar a realização de auditorias externas periódicas por terceiros independentes
Utilizar os resultados de auditorias externas para validar e melhorar os processos internos
Avaliar a necessidade e viabilidade de obter certificações de segurança relevantes (ex: ISO 27001)
Implementar e manter os controles necessários para atender aos requisitos de certificação
Implementar sistemas de monitoramento contínuo para controles de segurança críticos
Utilizar dashboards e relatórios automatizados para acompanhar métricas de segurança
Estabelecer processos para revisão regular de logs de segurança e alertas
Investigar prontamente quaisquer anomalias ou violações de política detectadas
Conduzir avaliações de risco de segurança da informação regularmente
Integrar os resultados das avaliações de risco ao planejamento de auditorias e conformidade
Desenvolver e implementar planos de tratamento para riscos identificados
Priorizar ações baseadas no nível de risco e impacto potencial
Preparar relatórios regulares sobre o status de auditoria e conformidade para a alta administração
Incluir métricas-chave, tendências e recomendações nos relatórios
Manter stakeholders internos e externos informados sobre o status de conformidade do escritório
Desenvolver materiais de comunicação para demonstrar o compromisso do escritório com a segurança e conformidade
Desenvolver e implementar um programa de treinamento em auditoria e conformidade para pessoal relevante
Incluir treinamentos específicos sobre requisitos regulatórios e melhores práticas de auditoria
Promover a conscientização sobre a importância da auditoria e conformidade entre todos os colaboradores
Incluir tópicos de auditoria e conformidade nos programas gerais de conscientização em segurança
Revisar e atualizar o programa de auditoria e conformidade anualmente
Incorporar lições aprendidas, mudanças regulatórias e novas ameaças nas atualizações
Realizar benchmarking com outras organizações do setor jurídico para identificar melhores práticas
Participar de fóruns e grupos de trabalho relevantes para se manter atualizado sobre tendências em auditoria e conformidade
O cumprimento rigoroso das políticas de segurança da informação é fundamental para proteger os interesses do escritório, seus clientes e colaboradores. Esta seção estabelece um framework claro e justo para lidar com violações das políticas de segurança, garantindo que as consequências sejam proporcionais e aplicadas de maneira consistente.
As sanções têm como objetivo principal garantir a conformidade com as políticas de segurança e proteger os ativos de informação do escritório.
As medidas disciplinares visam educar, corrigir comportamentos e prevenir futuras violações.
As sanções serão aplicadas de forma justa, sem discriminação e consistente com as políticas de Recursos Humanos do escritório.
A gravidade da sanção será proporcional à natureza e impacto da violação.
Todos os colaboradores têm direito a um processo justo na investigação e aplicação de sanções.
Será dada oportunidade de explicação e defesa antes da aplicação de qualquer medida disciplinar.
Exemplos: Falha ocasional em bloquear a estação de trabalho, uso limitado de recursos de TI para fins pessoais.
Geralmente resultam em advertência verbal ou escrita.
Exemplos: Compartilhamento de senhas, desativação não autorizada de controles de segurança.
Podem resultar em advertência formal, treinamento obrigatório ou suspensão temporária de privilégios.
Exemplos: Acesso não autorizado a informações confidenciais, negligência que resulta em violação de dados.
Podem levar a suspensão, perda de privilégios ou demissão.
Exemplos: Roubo ou divulgação intencional de informações confidenciais, sabotagem de sistemas.
Geralmente resultam em demissão imediata e possível ação legal.
Incentivar o reporte de violações suspeitas através de canais estabelecidos.
Proteger denunciantes contra retaliação.
Conduzir uma investigação completa e imparcial de todas as violações reportadas.
Documentar detalhadamente o processo de investigação e suas descobertas.
Avaliar a gravidade da violação considerando:
Intenção (acidental vs. deliberada)
Impacto (real ou potencial)
Histórico do colaborador
Circunstâncias atenuantes ou agravantes
Consultar a matriz de sanções para determinar a medida disciplinar apropriada.
Envolver Recursos Humanos, Departamento Jurídico e gestores relevantes na decisão.
Comunicar claramente a decisão ao colaborador, incluindo as razões e consequências.
Aplicar a sanção de acordo com as políticas de RH.
Para violações menores ou primeiras ocorrências.
Documentar a conversa para referência futura.
Para violações repetidas ou moderadas.
Manter registro no arquivo do colaborador.
Requerer treinamento adicional em segurança da informação.
Pode ser combinado com outras sanções.
Revogar temporariamente certos privilégios de acesso.
Duração baseada na gravidade da violação.
Afastamento temporário do trabalho, com ou sem remuneração.
Para violações graves ou padrão de não conformidade.
Para violações críticas ou padrão contínuo de não conformidade.
Seguir todos os procedimentos legais e de RH para demissão.
Em casos de violações que resultem em danos significativos ou violem leis.
Consultar o Departamento Jurídico antes de iniciar qualquer ação legal.
Autorreporte da violação
Cooperação total durante a investigação
Ações imediatas para mitigar danos
Tentativa de ocultar a violação
Reincidência
Impacto significativo nos clientes ou no escritório
Manter registros detalhados de todas as violações e sanções aplicadas.
Garantir a confidencialidade desses registros, com acesso restrito.
Estabelecer um processo de apelação para colaboradores que contestem as sanções.
Conduzir revisões periódicas da eficácia e consistência das sanções aplicadas.
Comunicar claramente a política de sanções a todos os colaboradores.
Incluir informações sobre sanções nos treinamentos de segurança da informação.
Avaliar regularmente a eficácia da política de sanções.
Ajustar a política conforme necessário para garantir sua relevância e eficácia contínuas.
Esta política entra em vigor na data de sua publicação e deve ser revisada anualmente ou sempre que houver mudanças significativas no ambiente de negócios ou tecnológico do escritório.
Dourados – MS, 12 de março de 2025.
VINCIGUERA & REIC ADVOGADOS ASSOCIADOS
OAB-MS 652/14
7Unity Copyright © 2025 – Todos os Direitos Reservados
