Dormindo com o Inimigo (no Escritório)

por | jun 7, 2018 | Dicas de Segurança | 0 Comentários

Cerca de 50% dos vazamentos de informações envolvem pessoas internas. Veja 5 dicas para combater este risco.

Sabe aquela lista de clientes? As planilhas de formação de preços? Ou aqueles planos estratégicos? Tenho duas notícias, ambas más: a chance que aconteça um vazamento na sua empresa em 2018 é de cerca de 40% [pesquisa Ponemon/IBM 2017]. E em metade dos casos envolverá alguém do time.

Nota: antes de eu continuar para as dicas, quero dizer que você precisa ter confiança nos seus colegas e no seu time: eles são a alma da empresa e aquilo que a faz funcionar e a grande maioria é honesta. Também é importante ser realista: mesmo pessoas honestas podem eventualmente cometer um desvio. É importante, portanto, prevenir, monitorar e controlar e – claro – separar o joio do trigo.

Feito o “disclaimer”, a boa notícia é que você pode combater os riscos internos com um conjunto de boas-práticas. Em primeiro lugar, no entanto, é importante entender as principais causas e motivações das ameaças internas em uma empresa:

  • Sentimento de “propriedade” sobre as informações. Muitos colaboradores, por de fato terem ajudado na criação ou mesmo compilação de informações sigilosas sentem-se donos das mesmas, confundindo uma eventual autoria com os direitos sobre as informações.
  • Vantagem competitiva ou mesmo concorrência futura. Em empresas comerciais ou que dependem de propriedade intelectual, conhecimento sobre contatos (e contratos), bem como tecnologias possuem um enorme valor. Seja por mero oportunismo, seja de caso pensado, colaboradores podem extraviar informações sigilosas com intuito de usar (ou se proteger) do futuro.
  • Reparação de “injustiças”. Seja qual for o motivo (real ou não), é bastante comum pessoas sentirem-se injustiçadas no ambiente de trabalho e buscarem formas de reparo ou simples vingança. Ao invés de procurarem o Judiciário, não são raros os casos onde (ex-)colaboradores usarem os vazamentos de informação na tentativa de fazer justiça com as próprias mãos.

Com o intuito de combater as ameaças internas, seguem 5 dicas de efetividade comprovada:

  1. Conscientizar. É fundamental que cada membro da organização entenda que as informações corporativas não são de propriedade pessoal, (e que autoria é diferente de propriedade) que há responsabilização legal nos casos de incidentes. Além disso, é importante comunicar de forma clara, objetivo e recorrente dos riscos de vazamento. Claro, é também importante que cada um dos colaboradores saiba diferenciar informações sensíveis daquelas sem necessidade de proteção;
  2. Formalizar. A proteção última contra vazamento de informações é a Justiça comum. Por isso os deveres e responsabilidades dos colaboradores devem ser formalizadas preferencialmente através de uma Política de Segurança (implementada e seguida), de um termo individual de sigilo com cada colaborador. Caso exista um regulamento interno, é recomendável que o assunto segurança da informação seja também abordado ali;
  3. Necessidade de conhecer. Benjamin Franklin dizia: “Três pessoas são capazes de guardar um segredo somente se duas estiverem mortas”. É um pouco radical, mas também é muito intuitivo que quanto maior o número de pessoas envolvidas com uma determinada informação sigilosa, menos tempo ela permanecerá assim. Posto, é importante implementar o chamado “princípio da necessidade do conhecimento” onde uma pessoa dentro da organização somente deve ter conhecimento de algo se imprescindível;
  4. Estratégia de Criptografia. Segundo relatório Ponemon/IBM 2017 sobre vazamento de dados, a resposta técnica de maior eficiência na proteção de dados sensíveis é ter uma estratégia de criptografia – ou seja, uma coordenação transversal na organização do uso das proteções de cifração (encriptação) de dados, indo da criptografia de banco de dados até a proteção de credenciais de usuários;
  5. Monitoramento. O monitoramento pode e deve ser realizado em diversos eixos: estar atento ao comportamento dos colaboradores, monitorar o endpoints de usuário (computadores, equipamentos móveis, uso de mídias removíveis), rede, acesso às bases de dados. Para o monitoramento técnico, existem diversas soluções. Para empresas de porte médio em adiante, o estabelecimento de um SOC (Security Operations Center) ou a contratação de serviços gerenciados de segurança de monitoramento são recomendados.

Além das dicas acima, existem diversas outras contramedidas que podem ser implementadas. O ideal, no entanto, é começar com uma avaliação 360o da postura de segurança da sua organização, identificando os principais gaps em termos de maturidade em segurança da informação.

Quer saber mais? Mande uma mensagem!

Dr. Roberto Gallo

Dr. Roberto Gallo

CEO

Atua desde 1999 na área de segurança cibernética.
É fundador e diretor executivo da KRYPTUS Segurança da Informação e coordenador do Comitê de Segurança e Riscos Cibernéticos da ABES.

0 comentários

Enviar um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

CONTACT US

CONTACT US


Rua Maria Tereza Dias da Silva, 270
Cidade Universitária, Campinas-SP - Brasil
CEP 13083-820

fale.conosco@kryptus.com
Tel/Fax +55 (19) 3112 5000

© 2018 - Kryptus | Shaping Trusted Bonds - All rights reserved. - Developed by DDID