Ameaças internas não são só os funcionários maliciosos

As ameaças internas são muito mais que os funcionários mal-intencionados que praticam atos criminosos contra a rede corporativa. Nem toda ação ruim de um funcionário é intencional, feita com o objetivo de prejudicar a empresa ou roubar informações, muitas vezes, os usuários internos são “apenas” negligentes ou ameaças internas acidentais.

Os usuários negligentes são aqueles que estão cientes das políticas de segurança, mas acham que não vai acontecer nada se as regras forem “contornadas” para vencer um desafio maior. É o caso, por exemplo, de um usuário que precisa enviar um arquivo pesado para um usuário e acaba usando uma ferramenta que não foi aprovada pela TI para isso. As ameaças internas acidentais são causadas pelos usuários que simplesmente cometeram um erro, algo não intencional, que acabou colocando os ativos corporativos em perigo.

A pior parte desses dois tipos de ameaça interna é que são praticamente impossíveis de controlar, pois não são intencionais, logo, são de difícil previsão. Para evitar acidentes de segurança, o melhor que as empresas podem fazer é treinar e educar os usuários. Os usuários negligentes, por outro lado, devem receber um reforço das políticas e boas práticas de segurança.

Praticamente todos os funcionários atualmente têm múltiplos dispositivos que podem comprometer milhões de informações de maneira praticamente imediata. Ou seja, o impacto não se limita mais à quantidade de papéis que um funcionário pode levar na bolsa.

Como reduzir as vulnerabilidades

Para diminuir as vulnerabilidades, as empresas devem começar pelo risk assessment para analisar todas as informações disponibilizadas pela empresa, categorizá-las e estudar o que pode acontecer se forem comprometidas.

Quanto mais valiosos forem os dados, mais bem protegidos devem ser. Os treinamentos e os programas de conscientização também podem ser baseados nas descobertas do risk assessment.

É importante também estabelecer uma política de privilégios mínimos. Isso se estende também aos executivos. Por que um CFO precisa ter acesso aos dados de desempenho dos funcionários, que só interessam ao RH, por exemplo? É preciso limitar o acesso às informações àqueles que realmente precisam delas.

Além disso, é preciso ter em mente que a confiança ainda tem um papel importante. Ferramentas de monitoramento permitem que as empresas avaliem o grau de confiança que podem ter nos funcionários. No entanto, tudo deve ser comunicado de maneira apropriada para não destruir a confiança dos funcionários na empresa.

Os funcionários devem estar sempre cientes de que também é sua responsabilidade proteger os dados corporativos e as empresas precisam se certificar de que as políticas atuais são apropriadas para a maneira como fazem negócios.

O risk assessment é o início da construção de uma estratégia de segurança efetiva e pode indicar quais são as soluções mais apropriadas para reduzir riscos e manter os ativos da empresa protegidos. Baixe o whitepaper da PROOF Saiba como implementar um risk assessment efetivo e obtenha a base perfeita para a criação de um bom plano de segurança da informação.

Com CSO

Gerenciamento de dados corporativos: saiba prevenir perda de dados e ameaças internas

Embora as tecnologias de DLP (Data Loss Prevention) estejam cada vez mais avançadas, algumas organizações ainda enfrentam dificuldades em prevenir a perda de dados.

A perda de informações internas continua a ser uma das principais ameaças para as organizações, principalmente nos últimos tempos, com o aumento na preocupação decorrente de violações de dados registradas na primeira metade da segunda década do século XXI. Os executivos atualmente não só buscam mais recursos para evitar a perda de dados e combater o risco das ameaças internas, mas também estão mais interessados em aprimorar o gerenciamento de dados corporativos de modo a obter um melhor controle sobre todos os dados da sua empresa.

Muitas organizações estão implantando tecnologias de prevenção de perda de dados (DLP) para combater o risco de vazamento de informações tanto deliberadas quanto acidentais. Embora essa tecnologia seja essencial para a proteção contra ameaças internas, existirá sempre a possibilidade de que a proteção de alguns dados esteja além de seu controle. Algumas organizações esquecem que esses elementos tecnológicos estão envolvidos com a ação humana, o que sempre tornará a implantação de tais tecnologias suscetível a vulnerabilidades.

Ao considerar esses fatores, as organizações podem estabelecer uma base sólida para o sucesso da gestão de dados empresariais e da implementação do DLP.

Para limitar as ameaças internas e evitar a perda de dados, é essencial ser capaz de controlar onde cada dado está armazenado e quem tem acesso. Essa pode ser uma tarefa difícil para dados não estruturados armazenados em uma variedade de dispositivos (por exemplo, servidores, desktops, laptops, smartphones ou cartões de memória USB) com poucos controles de acesso ou nenhum. A fim de conquistar o controle sobre esses dados não estruturados, siga os seguintes passos:

  • Classifique os dados com base em sua confidencialidade e determine quais que devem ser protegidos.

Essa atividade requer o envolvimento de diferentes setores da empresa para entender as características dos tipos de dados e por quanto tempo eles devem ser protegidos. As regras de controle de acesso para esses dados também devem ser estabelecidas, de modo que você possa definir quem deve ter acesso a que tipos de informação.

  • Para cada tipo de informação, determinar qual a relevância de cada uma para a organização.

As questões-chave para perguntar são: Qual seria o impacto se as informações fossem divulgadas? Qual seria o impacto se as informações fossem perdidas ou ficassem indisponíveis?

  • Realizar uma avaliação de risco para determinar quais controles de segurança são necessários para proteger os dados mais sensíveis.

Esta avaliação deve avaliar a probabilidade de ameaças possíveis e, portanto, o risco para a organização. Frequentemente será necessário ter diferentes controles de segurança para diferentes tipos de informação ou para limitar onde as informações são processadas de tal modo que não sejam mantidas em dispositivos vulneráveis.

  • Implementar sistemas para armazenar e proteger os dados que atendem aos requisitos de segurança estabelecidos pela avaliação de risco.

Essa etapa pode ser realizada utilizando uma variedade de medidas que estejam de acordo com as necessidades da organização e da natureza dos sistemas de informação existentes, Sua implementação, contudo, pode variar de uma nova arquitetura de sistema, para a implantação de tecnologias de DLP específicas para atender às necessidades específicas de segurança.

Com Computer Weekly