3 tipos de funcionários que podem causar uma brecha de segurança

É fácil imaginar que a maior ameaça à sua empresa é externa. No entanto, cada vez mais empresas estão compreendendo que os funcionários, mesmo os mais confiáveis e capacitados, podem representar uma enorme ameaça.

De fato, um recente relatório da Haystax Technology descobriu que 74% das organizações questionadas se sentem “vulneráveis ​​a ameaças internas”, e que 56% dos profissionais de segurança confirmam que essas ameaças “se tornaram mais frequentes” no último ano.

Alguns ataques são causados ​​por funcionários que tomados por sentimentos buscam se vingar de alguma situação que consideram injusta ou indesejável (como o chefe de TI que foi preso por infectar servidores). Muitos também ocorrem devido à negligência, por ignorar um aviso ou por apenas não seguir um processo – simplesmente por erro humano.

Com relação a essa última alternativa, identificamos três tipos de funcionários que podem causar uma brecha e comprometer a segurança da informação corporativa.

1. Os que agem de forma inocente

Os funcionários inocentes podem causar tanto dano como um cibercriminoso. Essa foi a lição aprendida, por exemplo, pelas autoridades locais em Norfolk, Suffolk e Cambridgeshire, no Reino Unido, que registou mais de 160 brechas de dados entre 2014 e 2015, a maioria devido ao erro humano. Isso incluiu celulares perdidos, cartas enviadas para endereços incorretos e até mesmo a venda de um celular com informações sensíveis para um terceiro.

Outro exemplo foi o vazamento de informações que ocorreu em 2016 na empresa norte-americana Federal Deposit Insurance Corp. (FDIC). Nesse caso, um ex-funcionário baixou informação sensível para um dispositivo de armazenamento pessoal “inadvertidamente e sem uma má intenção”.

Com casos como esses, não é surpreendente que 74% dos entrevistados ​​por Haystax estivessem mais preocupados com esse tipo de brecha de segurança de origem interna e inadvertida.

2. Os descuidados ou negligentes

Acredito que você já deve conhecer uma alerta de segurança que aparece ocasionalmente na tela dos dispositivos (ex: Atualização do leitor PDF, Java, etc.). No entanto, você sempre toma medidas de forma imediata?

Uma pesquisa realizada pelo Google em 2013 descobriu que 25 milhões de alertas do Chrome foram ignoradas em 70,2% do tempo, em parte devido à falta de conhecimento técnico dos usuários, o que fez com que a empresa simplificasse a linguagem dessas mensagens.

Por outro lado, o St. Joseph Health System sofreu um vazamento de dados em 2012, em que as configurações de segurança foram “mal configuradas”, fazendo com que registros médicos privados ficassem visíveis online. Devido à natureza sensível desses dados, não foi estranho que a empresa pagasse milhões de dólares em processos judiciais.

3. Funcionários mal-intencionados

Infelizmente, assim como o erro humano, as más intenções também possuem o seu papel de brecha de origem interna. Isso esclarece o caso do escritório regulador de comunicações do Reino Unido, OFCOM, que descobriu que um ex-funcionário estava coletando sigilosamente os dados de terceiros que a organização armazenava. O mais importante é que isso ocorreu durante seis anos.

Morrisons, o gigante de supermercados britânico, também foi infectado por um funcionário insatisfeito que publicou na Internet os dados pessoais de cerca de 100.000 membros do staff. Apesar do incidente ter ocorrido em 2014, a empresa ainda enfrenta a possibilidade de que as pessoas infectadas adotem novas ações legais.

O que pode ser feito?

De acordo com uma pesquisa realizada em 2016, 93% dos entrevistados consideram o comportamento humano como o maior risco para a proteção de dados. A Nuix, que encomendou a pesquisa, acredita que as corporações devem começar a advertir funcionários que não respeitam as políticas e procedimentos de segurança implementados.

Considerando que o impacto de um vazamento de dados pode causar sérios prejuízos às empresas, incluindo perdas financeiras e danos à reputação, é lógico que as organizações querem encontrar formas de mitigar e limitar o uso indevido de informações e recursos corporativos.

  • Aumentar a conscientização dos funcionários
    • Talvez o passo mais lógico para os empregadores é garantir que todos os funcionários conheçam os riscos e o potencial impacto de suas ações, e como evitar a perda inadvertida de informações. Também é importante envolver todos os funcionários em um treinamento apropriado, não apenas a quem esteja diretamente relacionado com a TI.
  • Manter as informações de forma segura
  • Monitorar as informações e os comportamentos
    • Prestar atenção ao uso dos computadores e dispositivos móveis corporativos, assim como ao comportamento dos indivíduos, permite que as empresas identifiquem possíveis atividades de risco. Os programas de Bring Your Own Device (BOYD), mesmo que já estejam naturalizados na empresa, também devem ser cuidadosamente controlados.
  • Implantar uma Política de Segurança da Informação
    • É necessário que todas as áreas e níveis hierárquicos da organização tenham ciência das ameaças virtuais que podem colocar as informações corporativas em risco, e quais medidas devem ser tomadas para proteger os dados mais sensíveis. Mapear os procedimentos e instituir normas, regras e práticas, não basta. No processo de elaboração e implantação de uma política de segurança da informação, qualificar e treinar os colaboradores também é imprescindível.
  • Olhar para o futuro
    • Com o risco representado por funcionários, por mais inocentes que sejam, é potencialmente catastrófico para as empresas, e não é de estranhar que os empregadores pensem em adotar uma abordagem mais rigorosa com relação às ameaças internas nos próximos anos. É importante analisar tecnologias que diminuam os riscos às informações, como soluções de DLP,  Proteção Antimalware, Firewalls, etc.

Referência:
WE LIVE SECURITY

Este artigo foi lido 2788 vezes!

Escrito por André L.R.Ferreira

Diretor da NETDEEP. Atua há 20 anos no desenvolvimento de produtos e tecnologias de Segurança de Dados para instituições privadas e públicas.

Deixe o seu comentário

netdeep