menu

Contact Us

1 (800) 723-1166 |

Insights

HomeInsightsTRÊS OBRIGAÇÕES PARA ELIMINAR AS AMEAÇAS INTERNAS
HomeInsightsTRÊS OBRIGAÇÕES PARA ELIMINAR AS AMEAÇAS INTERNAS

TRÊS OBRIGAÇÕES PARA ELIMINAR AS AMEAÇAS INTERNAS

Por Dan Velez, diretor de operações de Insider Threat da Forcepoint

Entre as resoluções de começo de ano, todos sabemos que algumas dessas "promessas" são mais fáceis de cumprir do que outras.  Uma coisa que aprendemos com a experiência é que somos mais bem-sucedidos quando nossas metas são realistas e produzem benefícios concretos, sabemos quais resultados positivos elas nos trarão e obter esses resultados não pode nos deixar tão sobrecarregados a ponto de desistir. 

Devemos usar a mesma abordagem tanto para solucionar como para enfrentar a presença cada vez maior das ameaças internas. Considerando-se que quase três quartos das empresas são vulneráveis a essas ameaças, de acordo com pesquisas da Palerra, apenas 42% dessas empresas possuem os controles corretos para evitá-las. 

Descobri que as empresas geralmente deixam de implementar esses controles porque se sentem desencorajadas pela dimensão do problema, ou seja, trata-se da síndrome "Por onde eu começo?".    Por isso recomendo que a questão seja enfrentada do mesmo modo que encaramos uma resolução de Ano Novo, adotando os três passos seguintes que são fáceis de cumprir e que surtem efeito:

  • Fundamente o seu programa com base na gestão de riscos.   Sou chamado a participar de várias reuniões sobre a questão das ameaças internas e as salas estão inevitavelmente lotadas com engenheiros de TI. O objetivo, em geral, é utilizar uma estratégia totalmente voltada para a tecnologia, deixando o aspecto comercial e das "pessoas" fora da equação. Sempre digo a eles que precisamos da participação dos líderes de gestão de riscos para alinhar o que fazemos ao negócio em questão.  Através da análise da gestão de riscos ideal, determinamos o que é específico à empresa, e como as ameaças internas podem nos impedir de atingir nossas metas estratégicas. Como parte disso, você faz um inventário para identificar suas "jóias mais valiosas" baseadas nos dados – quais são elas e onde estão?  – e estabelece um plano de gestão para a proteção de cada uma delas. O plano deve abranger não só as soluções técnicas, mas também o elemento humano (falaremos sobre esse tópico na nossa terceira e última "resolução"). 
  • Escolha alguém para ser o responsável. Todo navio precisa de um capitão, certo? Sua iniciativa não chegará a lugar nenhum se você não indicar uma pessoa com as credenciais certas para ser o gerente. Repito, o gerente não obtém resultados utilizando unicamente soluções "tecnológicas". Ele não precisa ser altamente especializado em soluções de cibersegurança, deve ser capaz de combinar a abordagem de gestão de riscos com uma abordagem técnica para produzir uma resposta útil e duradoura para as ameaças internas   – uma resposta que permaneça consistente quando aplicada a vários departamentos em toda a empresa. 
  • Proporcione treinamento, treinamento e mais treinamento. Como prometi, é aqui que entra a parte das "pessoas".  Você incorporou uma abordagem de gestão de riscos. Escolheu um responsável. Agora você precisa levar o seu programa e a sua mensagem até aqueles que representam o fator "vai ou racha" em termos de sucesso futuro – seus funcionários. Nossa última resolução é essencial e por isso vamos dividi-la em quatro componentes críticos do treinamento: 

    • Definição da ameaça interna.   As ameaças internas assumem formas variadas. São funcionários mal-intencionados que roubam dados, sabotam sistemas, etc., porque não foram promovidos ou não receberam aumento – ou simplesmente porque odeiam o chefe e/ou o emprego.   Existem também pessoas dentro da empresa que não desejam nenhum mal à companhia, mas mesmo assim acabam causando danos "sem querer" devido a comportamentos de risco. E há também os prestadores de serviços  – subcontratados e parceiros cujo nível de risco se torna nosso nível de risco por causa da parceria no negócio e da interdependência dos sistemas, aplicativos, ferramentas de comunicação, etc. Conscientize seus funcionários sobre todos os tipos de ameaças internas. 
    • Ilustração do que são e como são as atividades de ameaça interna.   É exatamente aqui que você educa o pessoal sobre o que procurar e o que fazer. Ao lidar com cenários de ameaças internas acidentais, eleve a conscientização sobre os perigos de compartilhar senhas e a necessidade de alterá-las constantemente evitando usar senhas simples e previsíveis. Os funcionários também devem aprender sobre as técnicas mais recentes de ataques de phishing – qual a origem do link e como sei se posso confiar nessa fonte? E quanto aos insiders mal-intencionados, seu pessoal deve saber reconhecê-los... Você tem algum colega que vive reclamando do trabalho, da empresa, etc. e está sempre transferindo arquivos para um pendrive? Os arquivos não têm relação com o trabalho dele?   Ele se conecta ao sistema em locais estranhos, em horários estranhos? Explore esses e outros sinais clássicos de problema. 
    • Explicar por que isso é importante.   Não ignore a pergunta "o que importa?" porque seus funcionários farão essa pergunta, seja abertamente ou apenas entre eles.   Explique como as ameaças internas podem causar interrupções na produtividade, quedas do sistema, perdas corporativas, danos à reputação e falha estratégica.   Esses efeitos negativos podem ter consequências devastadoras para todos, considerando-se que o custo dos incidentes de ameaças internas gira em torno de $ 4,3 milhões, de acordo com  pesquisas do Ponemon Institute.
    • Anúncios e informações sobre o que a empresa está fazendo.   Através de apresentações ao vivo, materiais impressos e recursos online, explique ao pessoal as medidas que você pretende tomar imediatamente e a longo prazo, incluindo controles técnicos e de auditoria. Forneça também informações úteis, por exemplo, sobre um website central onde se possa conhecer as mais recentes tendências de ameaças internas e até mesmo compartilhar melhores práticas. 

Com um plano de gestão de riscos abrangente, um responsável, treinamento e conscientização constantes, você promove uma cultura que desencoraja ameaças internas.   Uma cultura que está presente no quadro de avisos do escritório e nos materiais gráficos informativos da empresa. Seja na cozinha do escritório onde os funcionários se reúnem para conversar sobre o que estão observando, seja nos e-mails, pelos quais o gerente de ameaças internas envia as últimas notícias e recomendações sobre o assunto.

À medida que a cultura de dissuasão se solidifica, você reduz a potencialidade de resistência às tecnologias introduzidas em breve para monitorar as atividades de ameaças internas e preveni-las/mitigá-las.   Sem essa cultura específica, os funcionários podem se sentir intimidados com as tecnologias. Mas ao entenderem o que está em jogo, eles não só aceitarão as mudanças e o programa em geral, mas eles próprios se tornarão os defensores de "resoluções" que consideram valer a pena.