O caso PLMJ

Que tal a Ordem dos advogados recomendar que as sociedades de advogados sejam assistidas por um Conselho Consultivo de Segurança da Informação?

A Ordem dos Advogados manifestou o maior repúdio e considerou absolutamente inaceitável o ataque informático de que foi alvo a sociedade de advogados PLMJ. A Ordem “esqueceu-se” de comentar as obrigações que as sociedades de advogados têm no que respeita à segurança da informação. É fácil concordar que o hacker é o vilão da história, mas será que a PLMJ pode demonstrar que não é o segundo vilão?

A noticia da violação de dados ocorrida na sociedade de advogados PLMJ foi amplamente referida nos meios de comunicação social e pode ser lida, entre outros locais, aqui.

A Ordem dos Advogados, em comunicado assinado pelo bastonário, afirma que “uma advocacia sem medo e sem que os cidadãos tenham medo de a ela recorrer é essencial para a vida em democracia e para a proteção dos direitos de todos, pelo que procurar condicioná-la, seja de que forma for, tem de merecer, da sociedade, o maior repúdio e censura. Trata-se de um inaceitável atentado ao Estado de Direito e de um atentado de que todos, advogados e não só, são vítimas e em que todos estão na mira”.

Não se vê no comunicado da Ordem dos Advogados, nenhuma referência a algum código de conduta ou práticas de segurança da informação que obriguem, em particular, as sociedades de advogados. É bem claro que o vilão da história é o hacker, que ao que se diz é o mesmo do caso emails do Benfica, mas poderá haver um segundo vilão. Quem não protege a informação que lhe está confiada é, também, um vilão. É um vilão de outro teor, mas um vilão.

Parece evidente que uma sociedade de advogados que não dê prioridade à segurança das informações dos clientes e à defesa dos seus interesses e direitos constitui-se no segundo vilão da história. Dar prioridade significa, desde logo, afetar meios humanos, tecnológicos e, portanto, financeiros a esse objetivo. Essa prioridade tem que ser demonstrada, a sociedade de advogados tem que respeitar o princípio da accountability, tem que ser capaz de demonstrar responsabilidade. E se não for capaz de demonstrar responsabilidade, a meu ver, constitui-se como o segundo vilão da história. A Ordem dos Advogados deve dar indicações precisas de como essa demonstração de responsabilidade deve ser realizada, até porque, a natureza da informação à guarda de uma sociedade de advogados pode ser de máxima confidencialidade.

É óbvio que as sociedades de advogados não devem nem podem vir para a praça publica divulgar as medidas de segurança que as protegem, mas certamente que podem ser certificadas ISO 27001 e/ou terem um Conselho Consultivo para a Segurança da Informação recheado com nomes sonantes. Qualquer uma destas práticas, só por si, daria uma imagem publica de demonstração de responsabilidade.

Mas para o caso de sociedades de advogados do tipo da PLMJ, o que se recomenda é a aplicação conjunta das duas mediadas, Certificação ISO 27001 e Conselho Consultivo para a Segurança da Informação.

Lamentável é que a Ordem dos Advogados não vincule as sociedades de advogados a determinadas práticas que consagrem a demonstração de responsabilidade.

É evidente o papel da certificação ISO 27001 na demonstração da responsabilidade, mas já não é tão óbvio o papel de um Conselho Consultivo para a Segurança da Informação, ainda que em meu entender, o Conselho Consultivo possa ser um instrumento prático de muito maior alcance e eficiência que a certificação ISO 27001.

Então mas o DPO, o encarregado de proteção de dados (EPD), não é suficiente?

Note-se que não estamos a referir a necessidade de um Conselho Consultivo para a proteção de dados pessoais (ou privacidade) como por exemplo o da seguradora AXA (aqui) porque há vastas competências nessa área dentro de uma sociedade de advogados como a PLMJ. O que se alerta é para o problema da segurança da informação e a necessidade de um respetivo Conselho Consultivo, numa área que não é da especialidade de uma sociedade de advogados.

Vejamos a adequabilidade, vantagens e desvantagens do Conselho Consultivo para a Segurança da Informação como forma de proteção e de demonstração da responsabilidade. Neste sentido, comecemos por caracterizar a natureza de um Conselho Consultivo.

Qual é a ideia de um Conselho Consultivo?

Conselho Consultivo, é um órgão que se destina a aconselhar, ajudar e orientar a organização na solução dos problemas.

Serve para aconselhar, ajudar e orientar o órgão de gestão da organização, de forma regular, trazendo uma visão externa, informação, conhecimento, competência e networking para além da incorporada pela própria organização.

Serve como ferramenta de apoio à gestão para gestores e diretores das organizações.

Serve para complementar as competências e experiência da organização, aconselhando com maior profundidade, na aplicação das melhores práticas, assim como acompanhar a implementação dos planos de ação.

Os conselhos consultivos são mais frequentes nas grandes empresas, mas são de grande utilidade nas pequenas e médias empresas.

É particularmente útil nas pequenas e médias empresas no sentido de os gestores deixarem de ter comportamentos de “donos” (omnipresentes, omnipotentes e omniscientes) da organização e para assumirem o papel efetivo de executivos do negócio com metas a cumprir e com delegação de funções que permitam o empowerment e a responsabilização dos colaboradores.

Muitos dirigentes e gestores só procuram aconselhamentos nos momentos em que a organização passa por dificuldades, mas é desejável que se adote uma prática de reuniões periódicas com os conselheiros, mesmo que algumas dessas reuniões sejam informais. A frequência de reunião trimestral é a mais comum, mas em determinadas circunstâncias também é usual adotar uma frequência mensal.

Adequabilidade

Os casos recentes de violações de dados em geral e os de ciberataques em particular, devem fazer lembrar que é necessário ter uma ampla perspetiva dos seus riscos para que haja diretivas e controlos apropriados evitando-se a desconsideração dos riscos que sejam significativos para a organização.

É particularmente difícil hierarquizar os riscos e aplicar com razoabilidade os recursos limitados da organização aos riscos existentes, tendo sempre presente que o nível de segurança mede-se pelo elo mais fraco e que o objetivo não é eliminar o risco mas mitigá-lo. Só por si, o conjunto destas dificuldades, são justificação mais que suficiente para o recurso a apoio externo, designadamente a um consultor de segurança da informação. Contudo, é preciso caracterizar melhor a ameaça para se perceber qual o tipo de ajuda externa que é mais adequada à circunstância.

De uma forma geral, a primeira resposta é sempre a de índole tecnológica. E sem dúvida que a tecnologia é uma parte importante da solução, mas é preciso bem mais que tecnologia para responder de forma adequada aos riscos identificados. Ainda que as ameaças mais assustadoras e mais frequentes estejam associadas à questão tecnológica é preciso ter presente que a tecnologia é insuficiente para, por si só, compor a solução.

A questão fulcral da solução, a questão que deve concentrar a atenção da administração da organização é procurar garantir que o risco seja devidamente considerado no processo de definição de estratégia e integrado na gestão da organização. Terá que haver empenho em criar, implementar e manter os melhores recursos para gerir os seus riscos mais críticos e abordar questões organizacionais e culturais que possam assegurar esses recursos. Empenho em avaliar soluções tecnológicas para a monitorização e controlo, empenho na comunicação e empenho em implementar novos processos que sejam bem-sucedidos, através de uma correta gestão da mudança. A questão fulcral é a formação de um juízo adequado, um juízo experiente, um juízo coletivo ou colegial.

Mas o que vemos na prática é que, com frequência, os riscos são abordados tardiamente na definição da estratégia e da gestão de risco sendo considerados um apêndice na gestão da organização.

Há várias soluções para este problema. Vamos analisar uma das soluções possíveis. Vamos analisar a solução de constituir um conselho consultivo.

Como nota prévia, tem que se sublinhar que só se consegue ajudar quem quer ser ajudado.

Quaisquer potenciais benefícios de se recorrer a consultores externos caiem por terra se não houver transparência para com os consultores. Se forem calados os problemas reais e apenas forem analisadas as questões e as perspetivas que conduzam à resposta pretendida, tudo acabará numa perda de tempo para todos os envolvidos.

A constituição de um conselho consultivo só faz sentido se for possível à gestão de topo ser honesta perante o conselho de consultores. Em grande medida, essa liberdade de transparência depende do perfil dos membros do conselho consultivo.

Conselho Consultivo, para quê?

  • Conhecimento especializado – o tema da  segurança da informação é muito vasto e especializado e por isso um órgão colegial é mais adequado. É praticamente impossível que a organização encontre dentro de si o vasto leque de competências requeridas. O recurso a um consultor externo pode vir a verificar-se insuficiente face à diversidade de temas e à profundidade de conhecimento necessária.
  • Formar Juízo – É preciso uma certa mundividência para aconselhar a hierarquização das ameaças e a adequada escolha das medidas a adotar. É necessário conhecimento, mas também é preciso sapiência para equilibrar na justa medida a proteção necessária aos meios financeiros razoáveis para se atingir a segurança aceitável. Num mundo de gradientes, interessa conhecer a opinião de várias pessoas com profundos conhecimentos e saber de experiência feito. As vantagens de um juízo coletivo são bem conhecidas.
  • Dinâmica – A constante evolução das ameaças de segurança exige fontes de informação privilegiadas que uma escolha adequada dos membros do Conselho Consultivo pode assegurar.

Prós da opção Conselho Consultivo

  1. Qualidade e Quantidade – O objetivo final de qualquer equipe é criar a mais alta qualidade de trabalho. No caso da consultoria de questões cruciais, a quantidade também é importante, se não for à custa da qualidade. Através do conselho consultivo, obtém-se o contributo de peritos que permitem constituir um painel único de relevantes experiências profissionais. Mesmo que em determinadas questões não haja capacidade para dar um conselho final, os pontos de vista e opiniões podem ajudar a aprofundar o entendimento do que deve ser feito para desenvolver a análise e desenhar a solução final.
  2. Seguro, Criativo e lucrativo – Recolhendo a opinião de pessoas experientes há tendência para obter soluções comprovadas por essa mesma experiência. Mas, também é um meio de gerar soluções criativas. Ao colocar-se meia dúzia de peritos numa sala durante uma ou duas horas, é certo que surgirão ideias criativas. Essas ideias podem então ser transformadas em projetos que podem ser altamente lucrativos no sentido de contenção de custos ou mesmo de criação de valor acrescentado.
  3. Flexibilidade – Os conselhos consultivos não têm que se pautar pela permanência dos seus membros. Há vantagens na continuidade de alguns conselheiros, mas também é desejável alguma rotatividade que acompanhe a evolução das ameaças e um desejável dinamismo. A flexibilidade pode e deve ser aplicada à dimensão do conselho consultivo. O conselho pode ser tão grande ou tão pequeno quanto o CEO queira ou precise para que as metas específicas possam ser alcançadas. Essa flexibilidade também facilita a seleção e recrutamento de membros para o conselho, já que é mais fácil o ajustamento às necessidades do momento.
  4. Accountability – Toda a documentação produzida para suportar a atividade do conselho consultivo bem como, as opiniões produzidas e as conclusões levadas à pratica são preciosas evidências de responsabilidade demonstrada.

Contras da opção Conselho Consultivo

  1. Dificuldade em encontrar membros para o conselho consultivo.
  2. É só um conselho. Quem se limita a dar um conselho, sem responsabilidade de o pôr em prática pode ter tendência para desvalorizar a dificuldade de realização.
  3. Custo. Os membros do conselho consultivo não vão trabalhar sem uma qualquer forma de retribuição. Pode ser o prestígio ou promoção pessoal, podem ser senhas de presença, pode ser remuneração especifica, certo é que só é expectável um bom contributo se houver algum tipo de retribuição.
  4. Burocracia. Processos administrativos associados à preparação das reuniões, documentação das reuniões e das conclusões. É preciso alguém para secretariar a atividade do conselho consultivo.

Conclusão

Que tal a Ordem dos Advogados recomendar que as sociedades de advogados sejam assistidas por um Conselho Consultivo de Segurança da Informação?

O que é que a Ordem dos Advogados fez para apurar que a PLMJ não é o segundo vilão da história?

O que é que a CNPD vai fazer? Este caso tem notoriedade pública e causa alarme social. Será que a CNPD não se vai pronunciar?

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)