Como navegar pelo risco interno
À medida que as organizações em todo o mundo continuam a enfrentar a Covid-19 e a mudança abrupta de um ambiente de trabalho predominantemente baseado em escritório para um ambiente de trabalho predominantemente remoto, a questão de como lidar eficazmente com o risco interno tornou-se um tema quente.
NOTA: Usarei os termos “risco interno” e “ameaça interna” de forma intercambiável. Embora alguns considerem uma ameaça interna um subconjunto do risco interno, ainda se referem essencialmente ao mesmo problema.
Vivemos agora num mundo onde os nossos funcionários e os nossos dados poderiam, teoricamente, estar localizados em qualquer parte do mundo e, portanto, o nosso foco mudou de um paradigma de segurança baseado em perímetro para um paradigma centrado em pessoas e dados. Os riscos internos podem ter origem em muitas fontes inesperadas. Eles podem ser iniciados por ex-funcionários, funcionários de agências, prestadores de serviços, parceiros da cadeia de suprimentos e até mesmo gerentes e executivos. Resolver o problema de proteção de dados confidenciais em um ambiente tão complexo, dinâmico e distribuído requer uma abordagem distribuída e multifacetada.
O que é risco interno?
Um dos primeiros desafios que enfrentamos quando se trata de lidar com o risco interno é que é difícil definir o que realmente é um risco interno. Por exemplo, os riscos internos são normalmente divididos em três categorias; negligente, malicioso e comprometido. O que você pode notar é que a maioria das ameaças à segurança são, de uma forma ou de outra, causadas por usuários negligentes, mal-intencionados ou comprometidos.
Por exemplo, normalmente não categorizaríamos um ataque de injeção de SQL como um risco interno. No entanto, se o ataque explorou um formulário web não seguro, então pode-se argumentar que ainda era tecnicamente um risco interno, uma vez que o programador responsável pela segurança do formulário web não conseguiu examinar minuciosamente o seu código e testar o formulário adequadamente. Por mais ambíguo que seja o termo, podemos definir um risco interno como uma ameaça que vem das pessoas da sua organização.
Qual é a escala do problema?
De acordo com o relatório de violação de dados da Verizon de 2020, 30% das violações de dados são causadas por atores internos. 62% foram resultado de negligência, 23% foram maliciosos e 14% foram causados por contas de usuários comprometidas. É importante observar que, embora a maioria das violações tenha sido causada por negligência dos funcionários, as violações causadas por agentes mal-intencionados ou contas de usuários comprometidas tendem a ser mais caras de resolver e, portanto, devem ser tratadas com o mesmo nível de importância.
Que tipos de risco interno representam a maior ameaça?
Uma pesquisa recente sugere que 42% das organizações acreditam que o “vazamento acidental de dados” é sua principal preocupação, com outros 30% citando “roubo de dados maliciosos”. ”Outras opções incluíam uso indevido de aplicativos e sistemas, fraude financeira e legal e espionagem estatal. É lógico que vazamentos acidentais de dados são a forma mais provável de ameaça interna que você enfrentaria. No entanto, o roubo malicioso de dados pode representar mais riscos em termos dos danos reais que podem ser causados.
Dicas para gerenciar riscos internos
Conforme mencionado anteriormente, a maioria dos incidentes de segurança pode, de uma forma ou de outra, ser atribuída a uma pessoa interna negligente, mal-intencionada ou comprometida. Como tal, é importante priorizar em vez de tentar “ferver o oceano”, como dizem.
Abaixo estão algumas das áreas mais importantes que precisam ser abordadas para mitigar, responder e se recuperar de ameaças internas.
Classificação de dados
Para evitar perda e roubo de dados, é fundamental que você saiba exatamente quais dados possui e onde estão localizados. Como tal, o primeiro passo óbvio seria descobrir e classificar os seus dados confidenciais, pois isso facilitará a atribuição dos controlos de acesso apropriados e o acompanhamento de qualquer atividade que envolva os seus ativos mais críticos.
Restringindo direitos de acesso
Um dos perigos dos usuários comprometidos é que um adversário tenha acesso “legítimo” à sua rede e pode levar meses até que sua equipe de segurança descubra isso. É sempre uma boa ideia garantir que as permissões de acesso sejam concedidas conforme a necessidade e, quando não forem mais relevantes, deverão ser revogadas, pois isso limitará o que o adversário pode fazer caso obtenha acesso a sua rede. Da mesma forma, é uma boa ideia automatizar o processo de identificação e desativação de contas de usuários inativas.
Auditoria em tempo real
Fique atento a quem tem acesso aos seus dados confidenciais e o que eles estão fazendo com eles. Certifique-se de manter um registro detalhado e imutável de todas as atividades relevantes e receber alertas em tempo real sempre que seus dados confidenciais forem acessados, compartilhados, movidos, modificados ou removidos.
Configuração de armazenamento em nuvem
Muitas violações de dados são causadas por contêineres de armazenamento em nuvem mal configurados. Como tal, você deve revisar cuidadosamente as opções de configuração antes de armazenar dados confidenciais na nuvem.
Treinamento de conscientização de segurança
Se a negligência dos funcionários é responsável pela maioria dos riscos internos, então nem é preciso dizer que o treinamento de conscientização em segurança é uma prioridade máxima. No mínimo, os funcionários devem ser treinados para identificar spam, phishing e tentativas de engenharia social.
Criptografia de dados:
Todos os dados confidenciais devem ser criptografados, tanto em repouso quanto em trânsito. Dessa forma, se um funcionário perder acidentalmente um dispositivo portátil contendo dados confidenciais, qualquer pessoa que encontrar o dispositivo precisará da chave de descriptografia para acessar os dados reais.
Procedimentos de desligamento
Às vezes acontece que um ex-funcionário tem acesso a dados confidenciais mesmo depois de ter deixado a organização. Em alguns casos, o antigo funcionário explorará o seu acesso para roubar ou expor dados sensíveis - talvez por vingança, para obter ganhos financeiros, para utilização no seu novo emprego, ou por alguma outra razão. Seja qual for o motivo, você deve garantir que possui procedimentos bem documentados a serem seguidos ao rescindir o contrato de um funcionário.
Além dos pontos mencionados acima, você precisará garantir que sabe quais dispositivos está pronto para oferecer suporte. Você precisará estabelecer um conjunto de regras básicas para que seus funcionários saibam o que podem ou não fazer e o que você (o empregador) pode ou não fazer. Por exemplo, os funcionários devem estar cientes de qualquer software de auditoria, software de limpeza remota ou software de gerenciamento de dispositivos móveis (MDM) instalado em seus dispositivos. Você também deve garantir que todos os dispositivos estejam protegidos por senha e tenham políticas em vigor que estipulem quais aplicativos um usuário pode ou não instalar em seu dispositivo.
Se você quiser ver como a Lepide Data Security Platform pode ajudá-lo a lidar com riscos internos, agende uma demonstração com um de nossos engenheiros ou inicie seu teste gratuito hoje mesmo.