Boas práticas de Segurança da Informação no Judiciário

Confidencialidade, integridade e disponibilidade – são esses os três aspectos que norteiam a segurança da informação. Por definição, a segurança da informação diz respeito a um conjunto de ações e estratégias para proteger dados sensíveis de possíveis ameaças e vulnerabilidades. Prevê, portanto, que apenas as pessoas autorizadas tenham acesso às informações em questão, evitando qualquer uso indevido, como alteração, divulgação ou destruição.

Aplicada ao Judiciário, essa prática visa proteger os dados e sistemas informatizados do sistema judicial, impedindo invasões, roubo ou vazamento de informações sigilosas, garantindo assim a tríade que a compõe:

1. Confidencialidade: 

Propriedade de que a informação não será disponibilizada ou divulgada a indivíduos, entidades ou processos não autorizados; visa preservar o acesso do conteúdo aos usuários explicitamente definidos.

2. Integridade: 

Confere precisão e completude à informação, evitando que o conteúdo informacional seja alterado ou corrompido.

3. Disponibilidade: 

Característica que possibilita o acesso à informação, bem como a sua utilização, sempre que o usuário necessitar.

O Judiciário brasileiro está atento a esse tema há muito tempo. São várias as iniciativas do Conselho Nacional de Justiça para aumentar a proteção de infraestruturas críticas de bases de dados e redes computacionais.

Ainda em 2010, a instituição divulgou a Política de Segurança da Informação, apresentando diretrizes gerais para implantação da gestão de segurança da informação no Poder Judiciário, visando a proteção de seus ativos de informação. Através do documento, o CNJ enfatizou a prática como prioridade constante no Judiciário, “de forma que se possa reduzir falhas e danos que possam comprometer a imagem da Justiça ou trazer prejuízos a outrem.” Também estabeleceu que as orientações deveriam ser devidamente compreendidas e adotadas em todos os ambientes e níveis do Judiciário brasileiro.

Mais recentemente, em junho de 2021, através da resolução nº 396, o CNJ instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ). Entre outros princípios, ela estabelece a educação e a inovação como alicerces fundamentais para o fomento da cultura em segurança cibernética, além de definir o fortalecimento da cultura de segurança cibernética como um de seus principais objetivos.

Nesse sentido, e com o objetivo de aumentar a conscientização sobre segurança da informação, a instituição lançou recentemente uma cartilha sobre o tema. Levando em consideração que 95% das violações de segurança cibernética são causadas por erro humano, segundo artigo publicado pelo World Economic Forum, educar o usuário mostra-se uma forma eficiente de controle para mitigar as vulnerabilidades existentes nos sistemas informatizados.

GUIA DE BOAS PRÁTICAS

É de entendimento do CNJ que o cuidado com a própria segurança se estende para o âmbito coletivo e preserva a integridade de dados sensíveis relativos ao ambiente profissional, contribuindo para a construção de um ambiente digital mais seguro e confiável para os usuários da Justiça. Assim, práticas básicas de segurança, que servem para o contexto pessoal e profissional, em qualquer setor da sociedade, também se aplicam ao Judiciário, já que a utilização responsável e segura da tecnologia depende do usuário.

As boas práticas recomendadas pelo CNJ são as seguintes:

• Realização de backup

Manter cópias dos arquivos digitais é uma das práticas mais recomendadas para se proteger contra a perda de dados, seja devido a falhas de hardware ou software, perda ou roubo de algum dispositivo, corrupção de dados ou malware. O backup pode ser feito em serviços na nuvem ou em discos rígidos externos.

• Uso de um computador específico para trabalho

O ideal é manter os dados de trabalho em computadores corporativos, pois o uso de computadores pessoais para atividades profissionais aumenta o risco de ataques. Caso seja necessário usar um dispositivo pessoal, recomenda-se manter sistemas e aplicativos atualizados, utilizar antimalware e firewall, utilizar rede virtual privada (VPN) ao invés de redes Wi-Fi públicas; e ter cuidado redobrado em viagens – em caso de furto ou roubo, é importante registrar boletim de ocorrência (BO). Essas mesmas práticas também são recomendadas para os equipamentos corporativos.

• Bloqueio do celular em caso de perda ou roubo

É importante que um eventual furto, roubo ou extravio do celular seja devidamente registrado através de um BO e que a prestadora de telefonia seja imediatamente comunicada para efetuar o bloqueio da linha e do aparelho. Da mesma forma, a chefia e os grupos de trabalho com os quais o usuário realiza atividades devem ser informados o mais breve possível. A grande quantidade de informações existente no celular e os diversos sistemas acessíveis através dele fazem do dispositivo um ponto de alta vulnerabilidade.

• Proteção contra phishing

Phishing é um tipo de crime cibernético que usa e-mails, mensagens de texto, telefonemas ou sites fraudulentos para obter ilegalmente informações pessoais, como senhas, números de cartões de crédito, números de contas bancárias, credenciais de login, entre outros. 

A tática é fazer o usuário acreditar que a mensagem foi enviada por alguém, alguma empresa ou instituição que ele conhece e em quem confia. A proteção contra esse tipo de ataque vem principalmente da percepção do usuário sobre a legitimidade da mensagem recebida. Verificar o endereço de e-mail do remetente, ter cuidado com anexos e links, limitar suas informações públicas e principalmente desconfiar de mensagens com senso de urgência e pedidos suspeitos são algumas formas de impedir esse tipo de ataque.

• Utilização de senhas fortes

A senha é uma das medidas mais básicas de segurança, e ao mesmo tempo uma das mais negligenciadas. Para que seja de fato segura, uma senha deve ser longa e complexa, misturando letras maiúsculas e minúsculas, números e símbolos e preferencialmente com tamanho mínimo de 8 caracteres para acessos com autenticação de dois fatores (2FA) e 14 caracteres para acessos sem 2FA. 

Também é recomendado evitar a reutilização de senhas em contas diferentes, trocar as senhas com frequência, não anotar nem compartilhar senhas com outras pessoas e utilizar gerenciadores de senha com uma credencial mestra de acesso. O uso de mecanismos de dois fatores adiciona uma camada extra de segurança e também é uma prática altamente recomendada, já utilizada no acesso aos sistemas existentes no CNJ.

• Navegação cautelosa

Muitos sites funcionam como armadilhas para infectar os sistemas operacionais dos computadores. Por isso, e também por serem proibidos em políticas de segurança organizacionais, sites de conteúdos inapropriados e softwares sem licença devem ser evitados.

• Cuidado com o uso de mídias removíveis

Pendrives e outras mídias removíveis podem ser a porta de entrada para vírus e outros tipos de malware. Há diferentes técnicas para imunizar um pendrive para que sua utilização seja segura – como formatação, criptografia e instalação de antivírus. 

Além disso, não usar pendrives pessoais na rede do trabalho e jamais plugar no computador pendrives de propriedade desconhecida são medidas básicas de segurança com esse tipo de mídia.

• Atualização do software antivírus

Manter o software antivírus atualizado é essencial para garantir a segurança das informações armazenadas no computador, já que diferentes tipos de malware podem roubar dados, criptografá-los – impedindo seu uso –, ou até mesmo apagá-los completamente.

• Uso responsável de ferramentas de Inteligência Artificial

Com a disseminação de ferramentas de pesquisa com IA como o ChatGPT, da OpenAI, cresce a preocupação com a privacidade e a segurança dos dados fornecidos pelos usuários. Entre as boas práticas recomendadas na interação com IA estão a de nunca compartilhar informações confidenciais – como dados financeiros, objetivos estratégicos, metas da organização, indicadores, logins e senhas – e também não inserir códigos-fonte no aplicativo. Como essas ferramentas estão evoluindo rapidamente, é importante manter-se atualizado sobre os procedimentos de segurança recomendados.

Além dessas, outras boas práticas de segurança da informação são especialmente importantes para o Judiciário devido à sensibilidade dos dados envolvidos:

• Definição de um Plano de Contingência: Antes de qualquer outra prática, é de extrema importância manter um plano de ação para situações em que houver indisponibilidade ou intercorrências de quebra de segurança nos sistemas informatizados judiciais do tribunal. Esse plano deve assegurar que as operações e o acesso às informações sejam rapidamente restabelecidos em caso de falhas ou ataques.

• Implementação de controle de acesso: Implementar um controle rigoroso de acesso a sistemas, documentos e redes, concedendo permissão apenas a usuários autorizados, conforme a necessidade de suas funções, é fundamental para preservar a confidencialidade e a integridade dos dados.

• Uso de criptografia: Uma criptografia robusta é um elemento imprescindível para garantir a segurança de documentos processuais, informações pessoais das partes envolvidas nos processos e comunicações sensíveis entre órgãos judiciais. Essa técnica transforma os dados em um código que só pode ser desbloqueado com uma chave digital exclusiva.

• Realização de auditoria e monitoramento: Auditorias regulares e monitoramento contínuo de sistemas e redes ajudam a identificar comportamentos suspeitos e detectar ameaças em potencial, permitindo respostas rápidas a incidentes de segurança.

• Treinamento de servidores: Todos os agentes do Judiciário que geram, processam e descartam informações devem receber a devida orientação e treinamento sobre segurança da informação para que saibam identificar ameaças e se prevenir de potenciais ataques.
  

BENEFÍCIOS DA SEGURANÇA DA INFORMAÇÃO

Toda informação que é criada, armazenada e processada por qualquer agente do Judiciário é considerada patrimônio valioso. O Judiciário brasileiro possui nível elevado de informatização e manuseia grande quantidade de informações sigilosas, o que só reforça a necessidade dos tribunais estarem comprometidos e constantemente atualizados no que diz respeito à segurança da informação.

Além de ser um passo importante para garantir a confidencialidade, a integridade e a disponibilidade das informações, seguir boas práticas de segurança da informação no Judiciário significa:

• Reduzir vulnerabilidades, já que quanto mais barreiras de segurança implementadas, mais protegidos de ameaças cibernéticas estarão os dados.
• Reduzir custos, considerando que implementar controles de segurança é mais barato do que restaurar sistemas corrompidos e reparar danos morais.
• Estar em conformidade com as normas regulatórias, uma vez que a adoção de boas práticas facilita o cumprimento da Lei Geral de Proteção de Dados (LGPD) e de outras normativas específicas do setor público.
• Identificar ameaças e agir rapidamente, porque uma política de segurança da informação bem estruturada consegue prever eventuais riscos e colocar em prática medidas para mitigá-los.
• Reforçar a credibilidade do Judiciário, visto que a população confia no Poder Judiciário para lidar responsavelmente com seus dados pessoais e proteger as informações relativas a seus processos.
  

SEGURANÇA DA INFORMAÇÃO NO TRÍADES

A segurança é um dos pilares do Tríades, plataforma que automatiza toda a jornada de audiências dos tribunais seguindo as melhores práticas e recomendações de segurança da informação.

O Tríades utiliza o chamado controle de acesso baseado em função – do inglês, role-based access control (RBAC) – para atribuir permissões específicas dependendo da função do usuário no tribunal. Magistrados, analistas judiciários e advogados, por exemplo, têm permissões de acesso diferentes, compatíveis com suas responsabilidades. É o próprio sistema de gestão de identidade do tribunal que indica quem é o usuário e quais suas permissões. Da mesma forma, há o perfil do processo, indicado pelo sistema de processo eletrônico. Processos sigilosos, por exemplo, só podem ser acessados pelas partes envolvidas naquele caso. Isso faz com que as permissões de acesso sejam dadas pelo próprio sistema do tribunal.

Trabalhando integrado ao sistema de gestão de identidade do tribunal, o Tríades utiliza o login único (single sign-on). Isso significa que não há usuário e senha específicos do Tríades – há usuário e senha do funcionário do tribunal. Por isso, todas as boas práticas de gestão de identidade que o tribunal já implementa são automaticamente aplicadas ao Tríades.

Outro ponto primordial de segurança é que, no Tríades, todos os dados são criptografados em trânsito. Ou seja, a plataforma só é acessível de maneira segura, via HTTPS, garantindo que nenhum terceiro intercepte a comunicação do usuário com a infraestrutura do Tríades.

Para assegurar a rastreabilidade dos acessos, o Tríades também usa URLs de acesso individual e envia links codificados, com chave de autenticação, para todas as partes intimadas para uma audiência.

Além disso, como o Tríades automatiza toda a jornada de audiência do tribunal, da gravação à transcrição, ele reduz os pontos de operação manual, minimizando as possibilidades de vazamento de conteúdo. Os vídeos das audiências realizadas através do Tríades ficam automaticamente disponíveis na plataforma. Essa automação garante que os vídeos não serão adulterados por qualquer parte da cadeia e estarão armazenados de forma segura, independente da ação de qualquer usuário. Da mesma forma, quando a audiência acontece, ela é transcrita e automaticamente registrada no sistema de processo eletrônico, sem intervenções manuais, o que favorece a lisura do processo.

Saiba mais sobre o Tríades e como ele pode atender
a sua instituição jurídica agendando uma demonstração.