Riscos internos surgem a partir de usuários que já têm acesso às informações confidenciais de uma organização, pessoas que têm acesso físico aos escritórios e credenciais para se conectar à rede. Mas talvez mais importante do que isso seja saber do fato de que eles estão familiarizados com os processos da organização, falam a língua da empresa e sabem onde residem os ativos importantes. Quer eles ajam de forma intencional ou acidental, as organizações precisam entender e se adaptar melhor aos riscos que usuários internos representam - porque o problema é uma tendência ascendente já há algum tempo.
As duas faces de um risco interno
Existem dois tipos de riscos internos. Alguns deles são causados por usuários maliciosos, enquanto outros são causados por acidentes. O segundo caso surge por causa de funcionários, terceirizados ou fornecedores que têm boas intenções, mas acabam fazendo algo de errado. Por exemplo, um analista de uma de minhas antigas empresas costumava copiar dados de clientes em um drive USB para levá-los para casa e trabalhar. Ele não estava tentando provocar uma violação de dados, mas mesmo sem malícia, isso poderia ter causado impactos devastadores, uma vez que eram dados muito confidenciais levados para fora da empresa em um dispositivo que não era seguro.
Um usuário malicioso, no entanto, age de forma premeditada para prejudicar ou explorar a organização. Uma outra empresa para a qual trabalhei uma vez contratou um profissional que estava ligado ao crime organizado. Apesar de ter sido contratado como analista de crédito, seu objetivo era na verdade mudar os registros de crédito. Ele começou o trabalho com a intenção explícita de cometer fraude desde o primeiro dia.
O trabalho híbrido cria oportunidades para riscos internos
Embora o trabalho híbrido tenha melhorado a produtividade de muitas empresas, ele tem um preço alto. De acordo com um relatório recente da Verizon, 79% das organizações concordam que as mudanças na rotina de trabalho afetaram negativamente sua cibersegurança. Elas também afetaram a saúde mental dos trabalhadores - muitos deles estão lutando para se desconectar durante as horas de folga e evitar o burnout. Como resultado, alguns funcionários se tornaram mais descuidados e mais descontentes.
Outro fator que contribui para isso é a Grande Resignação. As pessoas estão mudando de emprego com uma frequência muito maior. E quando alguém deixa uma empresa, é natural que recolha tudo aquilo que considera seu – o que muitas vezes é feito inocentemente. Para o pessoal de vendas, isso pode significar fazer uma cópia da lista de contatos, ou para alguém em TI, isso pode significar levar consigo o código que criou. Mas, a menos que esteja explicitamente acordado com antecedência, este tipo de material normalmente pertence à empresa - e qualquer duplicação representa uma violação de dados. As organizações viram 20% dos usuários fazer upload de mais dados do que o normal para aplicações e dispositivos pessoais durante seus últimos dias de trabalho, permitindo-lhes manter o acesso a eles mesmo depois de deixarem a organização.
Os três Rs do gerenciamento de risco interno
O primeiro passo para que uma empresa ajuste a forma como gerencia seu programa de segurança em resposta a esses riscos e exposições é compreender as verdadeiras ameaças:
- O que nos torna ricos? Qual é nosso valor no mercado? O que torna a empresa única? O que nos faz ganhar contra nossos concorrentes? O que gera receita?
- O que nos arruinaria? Uma falha na segurança cibernética arruinaria automaticamente algumas empresas, mas esse nem sempre é o caso. Não faz muito tempo que o call center da sede de uma grande cadeia de fast-food foi fechado por quase 24 horas, mas ninguém realmente ligou. Isso porque grande parte dos clientes não foi afetada. Por outro lado, se as transações ou a supply chain para reabastecimento de franquias fossem significativamente afetadas, um ataque dessa natureza poderia ser prejudicial ao comércio e à reputação da empresa.
- Com quais leis a empresa deve se preocupar? Quer seja o HIPAA na área da saúde ou a Certificação PCI no caso do setor financeiro, um programa eficaz de ameaças internas precisa incluir processos de conformidade para todas essas dependências.
Com isso em mente, uma equipe é capaz de criar um programa eficaz de gerenciamento de risco. Ele deverá conter visibilidade sobre onde os dados residem, para onde eles vão e até mesmo análise do comportamento dos usuários. Coloque essas regras em prática e depois eduque os usuários. É importante fomentar uma cultura de conscientização para que todos compreendam o valor da segurança e comprem a ideia de que fazem parte do sistema de monitoramento da empresa.
Estenda a segurança até a borda
A digitalização dos negócios e o trabalho remoto mudaram a forma como trabalhamos e como nossos sistemas funcionam. E a segurança precisa ir em direção à essa mudança. É por isso que muitos líderes já estão adotando uma plataforma de security service edge (SSE) como parte da arquitetura SASE.
Uma plataforma SSE eficiente inclui controles de segurança adaptáveis e a capacidade de fornecer acesso seguro direto à Internet para usuários remotos, sem a necessidade de redirecionar o tráfego para o data center. Estamos movendo esses controles para mais perto do usuário e da nuvem onde os dados residem, reduzindo o risco para a organização sem sobrecarregar a experiência do usuário.
Este artigo foi publicado originalmente no SC Media.