É fácil imaginar que a maior ameaça à sua empresa é externa. No entanto, cada vez mais empresas estão compreendendo que os funcionários, mesmo os mais confiáveis e capacitados, podem representar uma enorme ameaça.
De fato, um recente relatório da Haystax Technology descobriu que 74% das organizações questionadas se sentem “vulneráveis a ameaças internas", e que 56% dos profissionais de segurança confirmam que essas ameaças “se tornaram mais frequentes" no último ano.
Enquanto alguns ataques são causados por funcionários rancorosos que buscam se vingar de alguma situação que consideram injusta ou indesejável (como o chefe de TI que foi preso por infectar servidores), muitos também ocorrem devido à negligência, por ignorar um aviso ou por apenas não seguir um processo – simplesmente por erro humano.
Com relação a essa última alternativa, identificamos três tipos de funcionários que podem causar uma brecha e comprometer a segurança da informação corporativa.
1. Os que agem de forma inocente
Os funcionários inocentes podem causar tanto dano como um cibercriminoso. Essa foi a lição aprendida, por exemplo, pelas autoridades locais em Norfolk, Suffolk e Cambridgeshire, no Reino Unido, que registou mais de 160 brechas de dados entre 2014 e 2015, a maioria devido ao erro humano. Isso incluiu celulares perdidos, cartas enviadas para endereços incorretos e até mesmo a venda de um celular com informações sensíveis para um terceiro.
Outro exemplo foi o vazamento de informações que ocorreu em 2016 na empresa norte-americana Federal Deposit Insurance Corp. (FDIC). Nesse caso, um ex-funcionário baixou informação sensível para um dispositivo de armazenamento pessoal "inadvertidamente e sem uma má intenção".
Com casos como esses, não é surpreendente que 74% dos entrevistados por Haystax estivessem mais preocupados com esse tipo de brecha de segurança de origem interna e inadvertida.
2. Os descuidados ou negligentes
Acredito que você já deve conhecer uma alerta de segurança que aparece ocasionalmente na tela dos dispositivos. No entanto, você sempre toma medidas de forma imediata?
Uma pesquisa realizada pelo Google em 2013 descobriu que 25 milhões de alertas do Chrome foram ignoradas em 70,2% do tempo, em parte devido à falta de conhecimento técnico dos usuários, o que fez com que a empresa simplificasse a linguagem dessas mensagens.
Por outro lado, o St. Joseph Health System sofreu um vazamento de dados em 2012, em que as configurações de segurança foram "mal configuradas", fazendo com que registros médicos privados ficassem visíveis online. Devido à natureza sensível desses dados, não foi estranho que a empresa pagasse milhões de dólares em processos judiciais.
3. Funcionários mal-intencionados
Infelizmente, assim como o erro humano, as más intenções também possuem o seu papel de brecha de origem interna. Isso esclarece o caso do escritório regulador de comunicações do Reino Unido, OFCOM, que descobriu que um ex-funcionário estava coletando sigilosamente os dados de terceiros que a organização armazenava. O mais importante é que isso ocorreu durante seis anos.
Morrisons, o gigante de supermercados britânico, também foi infectado por um funcionário insatisfeito que publicou na Internet os dados pessoais de cerca de 100.000 membros do staff. Apesar do incidente ter ocorrido em 2014, a empresa ainda enfrenta a possibilidade de que as pessoas infectadas adotem novas ações legais.
O que pode ser feito?
De acordo com uma pesquisa realizada em 2016, 93% dos entrevistados consideram o comportamento humano como o maior risco para a proteção de dados. A Nuix, que encomendou a pesquisa, acredita que as corporações devem começar a advertir funcionários que não respeitam as políticas e procedimentos de segurança implementados.
Considerando que o impacto de um vazamento de dados pode causar sérios prejuízos às empresas, incluindo perdas financeiras e danos à reputação, é lógico que as organizações querem encontrar formas de mitigar e limitar o uso indevido de informações e recursos corporativos.
- Aumentar a conscientização dos funcionários
Talvez o passo mais lógico para os empregadores é garantir que todos os funcionários conheçam os riscos e o potencial impacto de suas ações, e como evitar a perda inadvertida de informações. Também é importante envolver todos os funcionários em um treinamento apropriado, não apenas a quem esteja diretamente relacionado com a TI.
- Manter as informações de forma segura
De acordo com Stephen Cobb, pesquisador da ESET, "há um milhão de razões para criptografar dados". Apesar de nem todos implementarem essa técnica, a criptografia pode ter um papel muito importante na prevenção do vazamento de informações.
Veja mais sobre o assunto no nosso Guia corporativo de criptografia da informação (o material pode ser baixado de forma gratuita).
- Monitorar as informações e os comportamentos
Prestar atenção ao uso dos computadores e dispositivos móveis corporativos, assim como ao comportamento dos indivíduos, permite que as empresas identifiquem possíveis atividades de risco. Os programas de Bring Your Own Device (BOYD), mesmo que já estejam naturalizados na empresa, também devem ser cuidadosamente controlados.
- Olhar para o futuro
Com o risco representado por funcionários, por mais inocentes que sejam, é potencialmente catastrófico para as empresas, e não é de estranhar que os empregadores pensem em adotar uma abordagem mais rigorosa com relação às ameaças internas nos próximos anos.
Caso queira saber mais sobre como melhorar a segurança do seu lugar de trabalho, leia também o nosso Guia do funcionário Seguro.