TERÇA-FEIRA, 21 DE MARÇO DE 2017 - Horário 16:34
Forcepoint Security Labs: três obrigações para eliminar as ameaças internas
Tecnologia / Por Dan Velez, diretor de operações de Insider Threat da Forcepoint
Devemos usar a mesma abordagem tanto para solucionar como para enfrentar a presença cada vez maior das ameaças internas. Considerando-se que quase três quartos das empresas são vulneráveis a essas ameaças, de acordo com pesquisas da Palerra, apenas 42% dessas empresas possuem os controles corretos para evitá-las.
Descobri que as empresas geralmente deixam de implementar esses controles porque se sentem desencorajadas pela dimensão do problema, ou seja, trata-se da síndrome "Por onde eu começo?". Por isso recomendo que a questão seja enfrentada do mesmo modo que encaramos uma resolução de Ano Novo, adotando os três passos seguintes que são fáceis de cumprir e que surtem efeito:
• Fundamente o seu programa com base na gestão de riscos. Sou chamado a participar de várias reuniões sobre a questão das ameaças internas e as salas estão inevitavelmente lotadas com engenheiros de TI. O objetivo, em geral, é utilizar uma estratégia totalmente voltada para a tecnologia, deixando o aspecto comercial e das "pessoas" fora da equação. Sempre digo a eles que precisamos da participação dos líderes de gestão de riscos para alinhar o que fazemos ao negócio em questão. Através da análise da gestão de riscos ideal, determinamos o que é específico à empresa, e como as ameaças internas podem nos impedir de atingir nossas metas estratégicas. Como parte disso, você faz um inventário para identificar suas "joias mais valiosas" baseadas nos dados – quais são elas e onde estão? – e estabelece um plano de gestão para a proteção de cada uma delas. O plano deve abranger não só as soluções técnicas, mas também o elemento humano (falaremos sobre esse tópico na nossa terceira e última "resolução").
• Escolha alguém para ser o responsável. Todo navio precisa de um capitão, certo? Sua iniciativa não chegará a lugar nenhum se você não indicar uma pessoa com as credenciais certas para ser o gerente. Repito, o gerente não obtém resultados utilizando unicamente soluções "tecnológicas". Ele não precisa ser altamente especializado em soluções de cibersegurança, deve ser capaz de combinar a abordagem de gestão de riscos com uma abordagem técnica para produzir uma resposta útil e duradoura para as ameaças internas – uma resposta que permaneça consistente quando aplicada a vários departamentos em toda a empresa.
• Proporcione treinamento, treinamento e mais treinamento. Como prometi, é aqui que entra a parte das "pessoas". Você incorporou uma abordagem de gestão de riscos. Escolheu um responsável. Agora você precisa levar o seu programa e a sua mensagem até aqueles que representam o fator "vai ou racha" em termos de sucesso futuro – seus funcionários. Nossa última resolução é essencial e por isso vamos dividi-la em quatro componentes críticos do treinamento:
o Definição da ameaça interna. As ameaças internas assumem formas variadas. São funcionários mal-intencionados que roubam dados, sabotam sistemas, etc., porque não foram promovidos ou não receberam aumento – ou simplesmente porque odeiam o chefe e/ou o emprego. Existem também pessoas dentro da empresa que não desejam nenhum mal à companhia, mas mesmo assim acabam causando danos "sem querer" devido a comportamentos de risco. E há também os prestadores de serviços – subcontratados e parceiros cujo nível de risco se torna nosso nível de risco por causa da parceria no negócio e da interdependência dos sistemas, aplicativos, ferramentas de comunicação, etc. Conscientize seus funcionários sobre todos os tipos de ameaças internas.
o Ilustração do que são e como são as atividades de ameaça interna. É exatamente aqui que você educa o pessoal sobre o que procurar e o que fazer. Ao lidar com cenários de ameaças internas acidentais, eleve a conscientização sobre os perigos de compartilhar senhas e a necessidade de alterá-las constantemente evitando usar senhas simples e previsíveis. Os funcionários também devem aprender sobre as técnicas mais recentes de ataques de phishing – qual a origem do link e como sei se posso confiar nessa fonte? E quanto aos insiders mal-intencionados, seu pessoal deve saber reconhecê-los... Você tem algum colega que vive reclamando do trabalho, da empresa, etc. e está sempre transferindo arquivos para um pendrive? Os arquivos não têm relação com o trabalho dele? Ele se conecta ao sistema em locais estranhos, em horários estranhos? Explore esses e outros sinais clássicos de problema.
o Explicar por que isso é importante. Não ignore a pergunta "o que importa?" porque seus funcionários farão essa pergunta, seja abertamente ou apenas entre eles. Explique como as ameaças internas podem causar interrupções na produtividade, quedas do sistema, perdas corporativas, danos à reputação e falha estratégica. Esses efeitos negativos podem ter consequências devastadoras para todos, considerando-se que o custo dos incidentes de ameaças internas gira em torno de $ 4,3 milhões, de acordo com pesquisas do Ponemon Institute.
o Anúncios e informações sobre o que a empresa está fazendo. Através de apresentações ao vivo, materiais impressos e recursos online, explique ao pessoal as medidas que você pretende tomar imediatamente e a longo prazo, incluindo controles técnicos e de auditoria. Forneça também informações úteis, por exemplo, sobre um website central onde se possa conhecer as mais recentes tendências de ameaças internas e até mesmo compartilhar melhores práticas.
Com um plano de gestão de riscos abrangente, um responsável, treinamento e conscientização constantes, você promove uma cultura que desencoraja ameaças internas. Uma cultura que está presente no quadro de avisos do escritório e nos materiais gráficos informativos da empresa. Seja na cozinha do escritório onde os funcionários se reúnem para conversar sobre o que estão observando, seja nos e-mails, pelos quais o gerente de ameaças internas envia as últimas notícias e recomendações sobre o assunto.
À medida que a cultura de dissuasão se solidifica, você reduz a potencialidade de resistência às tecnologias introduzidas em breve para monitorar as atividades de ameaças internas e preveni-las/mitigá-las. Sem essa cultura específica, os funcionários podem se sentir intimidados com as tecnologias.