O papel da IAM na Advocacia 5.0

O grande desafio à Advocacia 5.0 vem aliado a uma das maiores soluções desse tempo: O uso da inteligência de dados

Dados, dados, dados… Não à toa Dennis Herszkowicz, CEO da Totvs, anuncia 1 bilhão de investimento em pesquisa de inteligência de dados estampando a frase “O nome do jogo nesse momento é o uso de dados” em todo o noticiário de economia.

Por Marcelo Leite

Sua marca surfou a automatização que viria a definir o conceito de Sociedade 4.0 e agora vem mostrando seu cartão de embarque na próxima fase da jornada. Mas caso o leitor esteja se perguntando, não é nada incomum que pensar na nossa versão ‘Mundo 5.0’ gere uma estranheza: “Mas já?”

Já. Fomos em grande parte arremessados nesta etapa pelas necessidades da COVID-19, com suas aulas e reuniões remotas, acessos configurados às pressas e horas de trabalho na mesa da sala.

Naquela virada de chave para o isolamento, você – como eu – pode talvez relatar uma tarde na sala do gerente de conta empresarial, assinando a linha de crédito que tentaria garantir algum fôlego, enquanto via funcionários de banco carregando monitores e computadores às pressas para o home office.

No mesmo dia à noite, ajudar a esposa a instalar a VPN que o empregador dela contratara, mandando todos para casa com um manual PDF impresso e um telefone de suporte para ligar – claramente congestionado. Essa versão de mundo 5.0 que subiu para todos os usuários foi a beta e sem teste mesmo.

Já em 2021, uma pesquisa da IBM mostrava que cada pessoa havia gerado em média 17 novas contas online – reutilizando senhas em 82% dos casos. O profissional do direito também passa a utilizar todo um maior ferramental tecnológico para seguir atuando e com bastante sucesso.

O Advogado 5.0 é fruto da necessidade de seu tempo, mas em muitos casos ainda uma cria de escritórios e salas de aula vivendo o embate com a jurimetria, o compliance e os espasmos do direito no ambiente online, de startups e proteção de dados. Esse ‘salto’ então, de um 4 incompleto – 3.5? – para o 5.0, pode ser aquela estranheza supracitada traduzida para o jurista de hoje: A automação estatística do 4.0 – e os debates dela decorrentes – deixaram um vácuo formativo que faz com que em alguns meios, ainda hoje, compliance e governança tenham som de papelada e remetam isoladamente à coluna “custos” da planilha.

Mais recentemente, publicado em 23 de outubro de 2024, o Relatório de Segurança de Inteligência Artificial da Orca Security mostrou  56% das organizações implantando modelos de IA personalizados em nuvem – em um ponto preocupante, 98% das que usam Amazon SageMaker operam ao menos uma instância remota com acesso raiz habilitado.

Significa novos modelos sendo desenvolvidos sem observância a novas rotinas de segurança ou sequer práticas já estabelecidas de controle de acesso – como menor privilégio –, muitos destes por uma motivação auto justificada “precisamos achar um problema no qual usar de IA” – mais de 50% das organizações não poderiam ir a mercado buscar estas ferramentas?

Trazendo um exemplo mais prático, o recente arcabouço legal de proteção e privacidade demanda responsabilização pela tomada de decisão automatizada, o que passa pela gestão de registro e identidade dos decisores sobre as massas de dados a serem usadas, sanitizadas ou descartadas no aprendizado dessas máquinas.

O mundo de profissionais que foram trabalhar de casa esticou o tecido da T.I. das empresas, não apenas ampliando a superfície de ataque cibernético, mas – aproveitando a metáfora – afinando a malha e deixando quaisquer falhas mais à mostra.

Movimentos como o NIST, instituto de tecnologia e cibersegurança do governo americano, iniciar estudos da aplicação de zero-confiança em 2020, culminando em um projeto de arquitetura de redes em 2024, mostram a Gestão de Acesso da maior potência do mundo – ligada por anos aos chaveiros-token da RSA e aparelhos Blackberry – em busca de modelos mais radicais.

Mais do que tamanho e complexidade de senhas, Identity and Access Management (IAM) gerencia o ciclo de vida completo das identidades e direitos do usuário em todos os recursos da organização.

Possibilita, no ambiente de trabalho digital, responsabilização e compliance, especialmente para uma área de atuação como o Direito, que traz no privilégio de acesso a informações – seja o sigilo profissional ou o segredo industrial – um de seus pilares.

O grande desafio à Advocacia 5.0 vem aliado a uma das maiores soluções desse tempo: O uso da inteligência de dados só faz sentido se permitimos que cresça usando dos modelos e informações da organização. O que vendedores de soluções a todo o tempo vão chamar de “a inteligência artificial do SEU escritório/da SUA empresa”. Soluções containerizadas que prometem informar apenas um modelo interno de IA. Como anda sua política de cadeia de fornecedores – que pode ser só uma longa cláusula da sua política de Segurança da Informação –, antes de você permitir o acesso do seu novo ‘colaborador robô’? Para esse usuário digital entrando em sua rede, foram levados em consideração seus níveis de acesso com base em tarefas, por exemplo?

Implementar um pacote de IA com vulnerabilidades de segurança conhecidas – CVEs – pode expor todos os acessos dados a essa ferramenta, incluindo senhas, certificados digitais, modelos e informações sigilosas da organização e seus clientes.

A assinatura eletrônica em suas muitas modalidades não é mais uma questão de opção, ainda que muito se argumente sobre seus riscos. Mas será que nunca se hackeou papel? Peritos grafotécnicos podem dizer melhor do que eu. E a IAM do papel? As cópias da chave daquele armário/arquivo/cofre e a crença de que não seriam feitas novas cópias. A melhor solução do mundo ainda trará riscos.

Segurança e privacidade desde a concepção e por padrão – algo que deixo prometido para uma coluna vindoura, de tão denso – são conceitos cada vez mais presentes à regulação não por acidente: Refletem a necessidade de uma abordagem que meça e comprove a estrita necessidade dos dados acessados e sua adequação à finalidade apresentada. Governança de identidades não apenas aumenta a segurança como pode otimizar o trabalho de setores da organização, lhes direcionando o acesso apenas ao essencial de suas tarefas.

A Advocacia 5.0 precisa atender às necessidades e à velocidade da sociedade. Se aproxima mais do mercado a que atende, com metodologias ágeis de trabalho, Visual Law e Legal Design, discute ações e regulações de ESG e a efetiva geração – não apenas redistribuição – de valor. Onde o desenvolvimento tecnológico por vezes compra riscos em favor da inovação, o dever para com o cliente demanda maior compreensão e controle destes, quando assumidos no exercício do Direito. Dados, logs, dados…

Marcelo Leite é consultor e oficial de segurança e proteção de dados, fundador da LGPD Sua. Gestor de Privacidade Internacional e DPO/BR pela iapp – Associação Internacional de Profissionais de Privacidade. Profissional de cibersegurança pela UCD Dublin, profissional de nuvem Amazon AWS, Auditor Líder de Segurança da Informação e Privacidade – ISOs 27.001 e 27.701, Gestor de Riscos Corporativos – ISO 31.000, e de Continuidade de Negócios – ISO 22.301. Consultor nomeado para a Comissão de Advocacia Jurídica 5.0 da OAB/RJ em outubro de 2024.

Leia outros artigos de Marcelo Leite aqui!

Acompanhe o Crypto ID para conhecer as melhores soluções sobre IAM – Gerenciamento de Identidade e Acesso e CIAM – Gerenciamento de Acesso à Identidade do Cliente. Acesse nossa coluna aqui!

O Crypto ID trilhou um caminho incrível!

Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.

Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.

Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colunistas, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outra.