Por Bob Hansmann
Para entender quem são estes funcionários e porque representam um risco, temos que olhar a raiz do problema.
Há uma abundância de notícias com números assustadores sobre o volume e a magnitude das ameaças internas nas empresas. Este texto não é uma delas. Você já sabe que a ameaça interna é uma grande preocupação e que poucas organizações mantêm um nível de controle adequado sobre ela. Então por onde começamos? Começamos por olhar a raiz do problema e por entender quem são estes funcionários (insiders) e por que representam um risco.
Talvez você sinta-se tentado a associar esses insiders a cargos ou funções específicas, mas é melhor resistir a tais impulsos, pois as características de um insider podem aparecer em qualquer área da organização, independentemente do cargo. Para esclarecer, demonstramos a seguir sete perfis comuns de funcionários de alto risco:
Os Rebeldes gostam de ignorar as regras. A maneira “oficial” de se fazer as coisas é muito demorada, difícil ou complicada. Talvez até prefiram seus próprios métodos, como optar pelo seu serviço preferido de compartilhamento de arquivos, ao invés da opção exigida pela empresa. Eles também usam seu e-mail pessoal com frequência para burlarem limitações de desempenho ou tamanho de anexos.
As Vítimas Acidentais cometem erros, talvez por falta de treinamento (ou aprendizagem) nos processos e sistemas adequados. As Vítimas Acidentais apertam o botão incorreto, mandam um documento para o “João” errado ou cometem qualquer outro erro não intencional. Muito provavelmente, nossas Vítimas Acidentais estão cansadas, estressadas ou distraídas quando cometem estes erros. Elas estão particularmente vulneráveis porque, para garantir que seus alvos não percebam que estão sendo enganados, as ameaças externas frequentemente “criam” medo e pânico como parte de um esquema de phishing ou golpe por telefone.
Os Sabe-Tudo sempre querem “contribuir”, “demonstrar valor” e mostrar serviço o tempo todo. Infelizmente, talvez divulguem mais informação que o necessário ao responder um e-mail. Talvez atendam um pedido quando outro funcionário seria mais qualificado, ou iniciam as comunicações em tópicos sem o tato ou sutileza necessários. Eles postam nas mídias sociais sobre tópicos sensíveis, como resultados trimestrais não divulgados, antes de pensarem. Alguns Sabe-Tudo irão intencionalmente procurar roubar ou manipular informações confidenciais por diversão ou curiosidade – ou até para provar que eles podem.
Os Intocáveis acreditam que nenhuma “história de terror” poderia acontecer a eles. Eles ocupam postos que fazem jus a acesso privilegiado, mas não dão a devida importância às suas responsabilidades. Por exemplo, funcionários de TI podem constantemente tirar vantagem de suas credenciais de “superusuário” por questões de conveniência espalhando uma infecção de malware para um servidor crítico ao abrirem um e-mail de phishing altamente direcionado. Auditores, executivos financeiros, desenvolvedores e outros com privilégios podem reter muitas informações locais, então perdem seu laptop ou deixam sem o menor cuidado em local público pronto para ser roubado.
Os Preferenciais estão convencidos de que eles têm direito a certos tipos de dados, ou de fazer as coisas à sua maneira, ignorando procedimentos ou políticas. Eles chegaram à conclusão que são “donos” dos dados, incluindo listas de clientes, códigos fonte, pesquisas científicas e documentação/modelos de processos. Essa é uma atitude normalmente atribuída à equipe de alta administração, mas qualquer pessoa em qualquer nível da empresa pode desenvolver esta atitude.
Os Traidores são funcionários mal-intencionados. Às vezes, já estão concebendo um plano no momento da contratação. Frequentemente, tem boas intenções em seu primeiro dia de trabalho, mas perdem sua bússola moral após se endividarem ou sofrerem a desilusão de não serem promovidos ou reconhecidos com um aumento salarial. Como consequência, internalizam um sentimento destrutivo devido a diferenças com colegas, chefes ou a própria organização.
Os Funcionários Fantasmas não deveriam estar dentro da organização. Mas ali estão, tendo executado com sucesso a primeira etapa de um ataque externo: ganhando acesso à rede. (Durante as últimas décadas, focamos em “defesas” contra estes ataques, mas a realidade é que, cedo ou tarde, uma infiltração irá acontecer.) Nesta etapa, Funcionários Fantasmas têm acesso à rede e a segurança da organização requer medidas atualizadas capazes de “detectarem” esse ataque. Mas, ao contrário dos últimos seis perfis acima referidos, os Funcionários Fantasmas são hackers profissionais. Eles são motivados, bem informados – e agora têm em mãos todo o acesso e privilégio de um insider.
Ao longo dos anos, opções de segurança evoluíram do login ID/senha, firewalls, antivírus de desktop (AV) até dezenas de soluções que hoje trabalham em conjunto para proteger a rede, os usuários e os dados. Um programa de Ameaça Interna implementará muitos desses métodos, como controle de acesso e ferramentas de prevenção de perda de dados (DLP), junto com processos bem definidos (e implementados) e tecnologias mais recentes, como a Análise Comportamental do Usuário (UBA).
Resumindo: o treinamento é uma ferramenta amplamente conhecida, mas frequentemente negligenciada como uma possível solução por que muitas pessoas nem sabiam como trocar as horas do VHS e nunca se deram o trabalho de aprender, desenvolvendo uma mentalidade antiquada. (Parabéns se você não precisou procurar a expressão VHS no Google para entender a frase).
Mesmo assim, os funcionários de hoje foram criados com Nintendo, Internet e smartphones. Eles se orgulham em conhecer os últimos aplicativos e todas as funções de seus dispositivos móveis. Isto significa que organizações podem apelar ao “orgulho tecnológico” desta geração, educando-os com “hábitos profissionais” recomendados para, assim, elevá-los a cargos de confiança.
Em outras palavras, usuários são mais capazes de reconhecer riscos – e o valor de medidas e processos preventivos – se simplesmente forem envolvidos nessas medidas e processos.
Bob Hansmann, Diretor de Tecnologias de Segurança da Forcepoint