Por que os colaboradores se tornam ameaças
*Por Marcelo Bezerra
Ameaças internas sempre estiveram à espreita. Os colaboradores, incluindo executivos, e seu comportamento de risco são os principais fatores que impulsionam a perda de dados de negócios, resultando em danos financeiros e à marca que podem durar décadas.
Nos últimos anos vários fatores aumentaram a probabilidade da perda de dados, desde o aumento da dependência da nuvem até a normalização do trabalho remoto e a adoção generalizada de ferramentas de IA generativas. Tanto que as ameaças internas são agora a quarta maior preocupação dos CISOs no Brasil, atrás de malware, fraude de e-mail e comprometimento de contas na nuvem.
Nos anos seguintes ao auge da pandemia, as ameaças internas aumentaram 44%, em grande parte devido a erro humano. Os funcionários permanecem no centro da questão, respondendo por mais da metade (56%) de todos os casos relatados e custando às empresas uma média de US$ 485 mil por incidente. Já empregados mal-intencionados são menos prevalentes, mas mais caros. Aqueles que prejudicam intencionalmente as organizações causam 26% dos casos de ameaças internas, custando uma média de US$ 648 mil por incidente.
Embora profissionais descuidados e maliciosos sejam diferentes em muitos aspectos, eles compartilham um ponto em comum: pessoas não acordam um dia e do nada decidem se tornar uma ameaça. Há um mundo de fatores em jogo, desde problemas pessoais e financeiros até demissão, mudanças de emprego e treinamento de segurança deficiente. Compreender esses fatores é vital para identificar aqueles que correm maior risco de representar uma ameaça - e implementar proteções para detê-los quando o fizerem.
O pano de fundo das ameaças internas
Não existe uma fórmula simples para identificar uma ameaça interna. Os incidentes são o resultado de vários fatores internos e externos, muitas vezes durante um período prolongado. Dito isso, alguns fatores específicos aumentam significativamente as chances de uma pessoa representar uma ameaça ao seu negócio.
O primeiro é a demissão ou renúncia, o que não é uma surpresa. De acordo com o relatório Voice of the CISO da Proofpoint, mais de 83% das organizações brasileiras que sofreram perda de dados confidenciais no ano passado acreditam que aqueles que deixaram sua organização contribuíram para o incidente. Ao mesmo tempo, o Proofpoint Data Loss Landscape Report descobriu que, até 87% do roubo de dados de arquivos entre os locatários da nuvem pode ser causada pela saída de funcionários.
Usuários privilegiados também são mais propensos a gerar ameaças internas. Compreensivelmente, quase dois terços (64%) dos profissionais de segurança no Brasil identificam funcionários com acesso a dados confidenciais, como RH e finanças, como representando o maior risco de perda de dados.
Além destes, muitos outros fatores organizacionais podem contribuir para ameaças internas ao longo do tempo. Funcionários sobrecarregados e subestimados podem ser mais propensos a erros ou menos inclinados a cumprir todos os passos para proteger os dados de negócios. As organizações com uma cultura de culpa também podem ver os funcionários com medo de falar sobre seus erros, ou de outros, ou mesmo chamar a atenção para deficiências de segurança, resultando em atividades de alto risco ou negligência, deles ou de áreas por inteiro.
Isso nos leva a um problema significativo – um bloqueio de educação e conscientização sobre segurança. Se os colaboradores da empresa não forem treinados para entender o risco que o seu comportamento pode representar para a sua companhia, é improvável que perceba a gravidade de um clique errado ou download de anexo. Funcionários não treinados também são mais propensos a contornar as políticas de segurança a fim de terminar uma tarefa mais rapidamente.
Fatores externos também desempenham um papel importante na criação de ameaças internas. O mau equilíbrio entre vida profissional, pessoal e problemas financeiros podem fazer com que os funcionários ajam de forma imprudente. Isso pode significar roubar dados intencionalmente para obter ganhos financeiros ou cometer erros como resultado de se sentir distraído ou cansado. Isso também pode incluir espionagem, sabotagem e fraude patrocinadas por Estados, como vimos este ano com agentes norte-coreanos se passando por trabalhadores de TI baseados nos EUA para coleta de informações de inteligência. Isso pode parecer um pouco distante para nossa realidade, mas nenhuma organização está livre desse tipo de risco em nosso mundo conectado.
Não há uma defesa geral contra incidentes de ameaças internas, e evitar todos esses fatores ás vezes parece um desafio intransponível, situação agravada com métodos e motivações conflitantes e ambientes em constante mudança. Mas, por outro lado, há uma estimativa de que 1% dos usuários são responsáveis por 88% dos eventos de perda de dados, e é possível identificar essa pequena parte problemática por meio de medidas de monitoração e proteções.
Eliminando um equilíbrio impossível
Uma abordagem reativa de gerenciamento de ameaças internas (ITM) em toda a empresa pode fornecer algum resultado, mas não não traz a eficiência esperada, pois não previne recorrências ou identifica usuários arriscados antes que eles causem danos. Estratégias como essa se baseiam quase que exclusivamente em ferramentas e tecnologia, que são apenas uma peça do quebra-cabeça. Falta nelas o elemento humano, e esse gap não se resolve escrevendo políticas e implementando proteções em torno de grupos de usuários específicos.
A melhor abordagem, portanto, é via um programa proativo no qual o usuário, o ser humano, é o ponto central da estratégia. Essa abordagem se inicia com um principio aparentemente inquietante, mas essencial para o sucesso do programa: qualquer usuário é um risco potencial. Dessa forma, um bom começo é adotar um programa de treinamento de segurança abrangente e contínuo. Todas os colaboradores em uma organização - a começar pela alta direção, devem entender seu papel na defesa contra ameaças internas – e as consequências de não fazê-lo. A partir daí, um programa completo de proteção contra perda de dados que combine pessoas, processos e tecnologia, em que a responsabilidade é compartilhada.
Por meio de estruturas comportamentais emergentes baseadas em IA, as organizações implementarão ferramentas e controles adaptativos para monitorar o comportamento do usuário em tempo real. Depois que uma atividade arriscada ou incomum é detectada, as permissões, a proteção e a política de monitoramento de um usuário podem ser atualizadas imediatamente.
O gerenciamento de ameaças internas é uma tarefa inevitável para as organizações de hoje, especialmente as grandes empresas. Os atacantes estão melhores do que nunca em se passar por funcionários do quadro, por prestadores de serviço ou parceiros de negócio.
Com a estratégia e ferramentas adequadas, você pode começar a monitorar de perto tudo, desde a transferência não autorizada de arquivos e conexões de dispositivos até navegação suspeita na Web e uso de aplicativos. Como resultado, as equipes de segurança não precisarão se equilíbrar entre gerenciar possíveis fatores de risco e identificar todos os usuários suspeitos com antecedência. Em vez disso, você pode associar políticas dinâmicas a usuários individuais na primeira suspeita de uma ameaça. Quanto mais entendermos os fatores por trás das ameaças internas, mais cedo poderemos detê-las.
*Marcelo Bezerra é gerente de engenharia de segurança para a Proofpoint na América Latina.
Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
<::::::::::::::::::::>