• Data Lurking: Como Proteger sua Empresa contra Ameaças Internas

    As empresas, muitas vezes, tem um grande medo de ataques crackers, vendo estes como a sua maior ameaça à segurança. No entanto, elas devem ficar mais assustadas e preocupadas, de fato, em relação ao que acontece internamente. Na maioria das vezes, as violações de dados vêm de empregados ou erros de sistema, e não de fora. De acordo com a Ponemon's 2013 Data Breach Report, os problemas relacionados com erro humano ou de sistema ainda são a causa de 64 por cento das violações de dados que acontecem. Portanto, a questão que permanece é esta: como uma empresa poderá se proteger em relação à uma ameaça interna? Em seguida, serão apresentados quais são os piores criminosos internos e quais as soluções que devem ser tomadas para se certificar que um funcionário não se torne um inimigo.


    1. O "Key Holder"

    Embora os executivos precisem ter acesso às informações pessoais ou privadas, deverá ser concedido um grau de acesso e controle aos assistentes e pessoal de suporte? Independentemente de saber se este funcionário "key-holder" tenha conhecimento sobre quais informações eles têm acesso, isso pode realmente ser muito perigoso. Por exemplo, a HealthITSecurity e e PHIPrivacy informaram que um funcionário do Jonathan M. Wainwright Memorial VA Medical Center (VAWW) enviou dados de 1.519 pacientes "por engano" a um parceiro de educação externa. Informações pessoais dos pacientes, incluindo números de Segurança Social, foram incluídos no anexo de e-mail. Isso porque a área da saúde é apenas uma das muitas indústrias que continua a ter um enorme problema com os erros humanos, que acabam causando violações.

    Solução para este caso: As empresas devem combinar a tecnologia automatizada com a educação dos funcionários, com a intenção de reforçar as políticas de governança. Utilizando a tecnologia que não interfere com a atividade diária, as empresas vão dar-se meios de monitorar o conteúdo de questões de conformidade potenciais, e além disso tomar medidas para evitar a distribuição não autorizada e partilha - dessa forma, mantendo a informação segura, adequada e dentro das diretrizes regulatórias. É claro, os funcionários devem compreender por qual razão estas diretrizes existem e que isso significa que toda a organização corre o risco de ser violada.


    2. Chefe Excessivamente Confiante

    Muitas vezes, os empregadores encontram a maneira mais fácil de acessar a uma informação, que é abri-la a todos os funcionários, atribuindo a estes uma confiança sem limites. Embora seja grande a propensão de ter confiança nos funcionários, é ingênuo pensar que violações não irão acontecer. Além do mais, erros podem ser cometidos e ainda por cima, por funcionários descuidados. E o que acontece com aqueles que tem intenção maliciosa? As violações com intenção maliciosa causam mais dispêndio, de acordo com o Ponemon Institute, e estão em ascensão.


    Se mesmo assim ainda não houver uma preocupação notória por parte dos empregadores, é bom considerar isso, pois metade dos funcionários admitem ter levado dados corporativos com eles quando deixaram seus empregos ou foram demitidos; e um percentual de 40 por cento, passou a usar esses dados em suas novas posições ocupadas em outras organizações. O acesso ilimitado a informação pode criar dores de cabeça consideráveis ao chefe da organização, e muitas vezes, essa confiança não pode ser recuperada, devido aos danos que já foram causados pelas pessoas que a receberam.

    Solução: os executivos de nível "C" precisam colocar em prática medidas para se proteger contra a natureza humana. Erros vão acontecer sim, e um número menor de funcionários de confiança estarão sempre à espreita. Com a instalação de software de segurança e conformidade, que vem com alertas, flags vermelhas ou medidas de segurança de criptografia document-level, os C-levels podem selecionar quem tem acesso a determinadas informações ou bloqueá-las, para que essas informações não possam ser compartilhadas. Sendo assim, ao levar um tempo para considerar o que deve e o que não deve ser compartilhado, além de ensinar os funcionários a maneira correta de usar essas ferramentas, os empregadores terão melhor controle sobre suas informações confidenciais.


    3. O Compartilhador de Mídia Social

    A mídia social tem se infiltrado no local de trabalho das pessoas cada vez mais. A empresa de tecnologia social Yammer to SharePoint e "everything in-between", torna o compartilhamento de informações tão fácil quanto apertar uma tecla. E nem tudo é para consumo interno público, nem mesmo dentro dos "muros" da organização. Fusões, aquisições, projetos secretos e em relação a serviços financeiros, as comunicações entre os comerciantes são apenas para os olhares de quem está autorizado para isso.

    Solução: É imperativo que as empresas possam mostrar aos funcionários o que é e o que não é aceitável no universo social da empresa. As C-levels devem ter um tempo para considerar o que deve e o que não deve ser compartilhado através de canais internos sociais, de fóruns e de plataformas, bem como a maneira correta de usar a tecnologia. O treinamento é uma parte fundamental da solução. A tecnologia também tem um papel, especialmente em setores altamente regulamentados, por meio do monitoramento de conteúdo social interno para evitar violações.


    4. The "Favor" Person

    Um amigo de um funcionário precisa de alguma informação pessoal sobre a sua empresa, e o empregado libera para ele essas informações sobre as quais ele tem interesse. Ou talvez um empregado esteja compartilhando histórias com seus amigos em uma mesa de bar, em meio a bate papo regado a cervejas, e compartilha acidentalmente informações sobre a empresa classificada. Talvez um de seus amigos, que trabalha para um concorrente, diz ao chefe sobre a informação vazada e sobre o concorrente, recebendo como recompensa uma grande oportunidade de ser promovido.

    Solução: Um dia de orientações para o pessoal que trabalha em uma empresa pode salvá-la de milhões de potenciais violações de dados. Com a criação de políticas claras, documentadas e ao mesmo tempo com a criação de regras sobre o conteúdo aprovado, você está dando aos funcionários uma orientação bastante clara sobre sua estratégia de conteúdo. Além disso, os controles precisam ser postos em prática, para restringir qual tipo informação pode ser enviada para fora da organização via e-mail, ou se é possível e recomendável salvar as informações confidenciais para o desktop, onde haverá possibilidade grande de realizar envio por email ou salvar essas informações em um pen drive. Esses controles tem o intuito de eliminar a possibilidade de ambigüidade na compreensão de um funcionário em relação às regras, bem como impedir que alguém que preste "favores" e ocasione vazamento de informações pessoais de sua empresa de forma deliberada.


    5. O Vagabundo sem Lei

    Smartphones, tablets e laptops, desde que ganharam força no mercado, mudaram o local de trabalho das pessoas de uma maneira altamente notória. As informações podem circular livremente de servidores internos para aplicações como o Dropbox. Isto dá às pessoas mais de uma oportunidade para expor a informação confidencial, em uma infinidade de diferentes mídias. Sendo assim, como as empresas podem ter certeza de que sua informação privada permanece como tal?

    Solução: Usando uma plataforma de gerenciamento, tal como SharePoint, existem formas de centralizar a segurança e até mesmo formas de gerenciar alterações de permissão no SharePoint e em um iPad. Enquanto não há uma solução única que protege contra a perda de dados, a empresa deve assegurar a sua informação móvel com o melhor de sua capacidade.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/article.php?id=2245&p=2

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L