Ameaças internas não se aplicam a mim... se aplicam?

É bastante frustrante (especialmente se você trabalha para um fornecedor especializado em detectar e prevenir ameaças internas) quando as organizações assumem falsamente que as ameaças internas não se aplicam a elas.

Apesar de serem responsáveis por cerca de 30% de todos os crimes cibernéticos, as ameaças internas não parecem receber a mesma atenção quando se trata de orçamentos de segurança como a prevenção de ataques externos, por exemplo. Parece que tanto as PME como as organizações empresariais acreditam estar imunes a tais ameaças.

Para ser claro, o número de organizações que começam a levar as ameaças internas mais a sério (particularmente à luz de regulamentações de conformidade mais rigorosas) está a aumentar ano após ano. No entanto, a educação sobre as causas e implicações das ameaças internas ainda não está a ser transmitida a todos os departamentos, sendo que a equipa de TI/segurança tende a ser o único departamento consciente dos riscos.

A falta de conscientização sobre segurança cibernética é generalizada em todo o C-Suite e se espalha pelos respectivos departamentos como resultado disso. Para organizações empresariais, se o Diretor de Vendas ou o CMO não seguirem as boas práticas de segurança cibernética, esse tipo de comportamento se espalhará por toda a organização, criando inúmeras ameaças internas potenciais.

Por outro lado, muitos proprietários de PME acreditam que, por empregarem apenas um pequeno número de pessoas (ou talvez apenas empregarem amigos e familiares), é menos provável que sejam vítimas de uma ameaça interna. Isto simplesmente não é o caso. Mesmo que você possa garantir que nenhum de seus funcionários roubará dados confidenciais de forma oportunista para ganho pessoal (o que você não pode), a maioria das violações de dados perpetradas por pessoas internas são feitas acidentalmente.

Eu poderia escrever milhares e milhares de palavras sobre como a melhor maneira de lidar com ameaças internas é adotar uma abordagem de segurança centrada em dados (e, mais especificamente, uma solução de auditoria e proteção centrada em dados, como a Lepide Data Security Platform), mas você provavelmente não gostaria de ler. Nem é preciso dizer que você precisará de uma solução se quiser resolver totalmente o problema, mas uma solução por si só não é suficiente. Existem mais algumas etapas educacionais que você pode seguir para mitigar os riscos também.

Saiba quem são seus funcionários

Antes de contratar alguém, independentemente da sua posição dentro da organização, você pode tomar medidas para reduzir o potencial de comportamento de ameaça interna. A mais simples verificação de antecedentes deve ser feita para avaliar antecedentes criminais, escolaridade, se o funcionário mentiu em seu currículo ou candidatura e muito mais. Também seria aconselhável, ao ligar para referências, perguntar sobre a competência anterior do cliente potencial, relacionamento com colegas de trabalho, comportamento, etc.

Isso pode parecer muito trabalhoso (ou caro se você planeja terceirizá-lo) se você contrata pessoas regularmente, mas só terá que fazer essas verificações naqueles a quem oferece a função. Apenas certifique-se de mencionar que a oferta depende de a verificação de antecedentes ser satisfatória.

Bem, não estou dizendo que você não deva contratar pessoas com base em sua experiência. A ação afirmativa é uma coisa boa e o histórico de alguém não significa necessariamente que essa pessoa será uma ameaça à segurança dos seus dados. No entanto, provavelmente é aconselhável monitorar de perto os funcionários que você acredita serem uma ameaça maior.

No entanto, conhecer seus funcionários não termina após o processo de contratação. Sem ser muito invasivo, você deve se esforçar para conhecer seus funcionários de forma mais pessoal. O que eles estão acontecendo em suas vidas pessoais que pode levá-los a se tornarem uma ameaça interna? Se John, do departamento de Contas, acabou de passar por um divórcio difícil e está com dificuldades financeiras, pode ser sensato monitorar suas ações no que diz respeito a arquivos e pastas confidenciais.

Avaliações regulares de risco

O processo é simples; determine onde estão seus ativos valiosos, quem tem acesso a eles, quais alterações estão sendo feitas nos ativos ou nas permissões e se o ambiente ao seu redor é seguro.

Para a fase de descoberta, você deve localizar, marcar e classificar onde residem os dados mais confidenciais da sua infraestrutura. Isso pode ser qualquer coisa, desde informações de identificação pessoal até segredos comerciais críticos. Depois de saber onde estão esses dados, você poderá ficar de olho em quem tem acesso a eles e quais alterações estão sendo feitas neles.

Depois de localizar seus arquivos e pastas confidenciais, determine quem tem permissão para acessá-los e modificá-los. Essas pessoas serão suas maiores ameaças internas e aquelas que poderão causar mais danos a você. Você está operando com uma política de privilégio mínimo? Caso contrário, você precisará revisar quem tem acesso a quê.

Depois de identificar os principais participantes do seu ambiente de TI, é hora de olhar para o céu. Você precisa monitorar de forma proativa e contínua as atividades de seus usuários privilegiados e analisar o comportamento dos usuários/entidades. Depois de estabelecer como é o comportamento normal desses usuários, você será capaz de identificar com que frequência ocorrem eventos anômalos.

Finalmente, você deve tomar conhecimento de todos os riscos potenciais no ambiente ao seu redor. Por exemplo, quantos usuários obsoletos você tem? Usuários obsoletos podem fornecer uma porta para seus arquivos e pastas críticos que um insider pode usar para encobrir seus rastros.

Se isso parece muito trabalhoso, é porque é. Não estou sugerindo que você implante uma solução de auditoria e proteção centrada em dados apenas porque trabalho para um fornecedor que vende uma (pelo menos não inteiramente). É genuinamente a melhor maneira de garantir a avaliação do risco do seu ambiente de TI, melhorar a segurança dos seus dados e mitigar os riscos de ameaças internas.

Se você não acredita em mim, deixe-me mostrar a você. Fornecemos um serviço gratuito de avaliação de risco que permite que você veja onde estão as falhas em sua segurança usando nossa solução. É totalmente gratuito, sem compromisso e nós fazemos todo o trabalho pesado para você. O que você tem a perder?