10 melhores maneiras de conter ataques internos

Qual é a melhor maneira de detectar e bloquear ataques internos? Comece por colocar um programa de prevenção.

Dawn Cappelli, gerente técnico do centro Carnegie Mellon University, trabalha com o Serviço Secreto e analisou centenas de casos de pirataria para deduzir como as empresas podem melhor bloquear um número maior de insiders maliciosos. Aqui estão as 10 principais recomendações para detectar e parar ataques internos:

1. Proteja suas joias em primeiro lugar. Para colocar um programa efetivo de ameaça insider, pergunte-se: qual é a peça mais importante de informação na sua empresa? Pense o equivalente a receita secreta da Coca-Cola. “Nós trabalhamos com um número de organizações, e todas nos dizem que tudo é importante”, disse Cappelli. “Por isso dizemos, o que é a única coisa que se alguém levasse para um concorrente, ou fora dos Estados Unidos, valeria milhões – ou bilhões – de dólares?”. Em seguida, de preferência para criptografa-lo e também por restringir o acesso, bem como registro e acompanhamento que toca esses dados.

2. Aprenda com os ataques anteriores. Não deixe que ataques internos – com sucesso ou não – vão para o lixo. “Se você tiver sofrido um ataque, você não está sozinho. Aprenda com ele”, disse Cappelli. Por exemplo, ele citou o caso de uma empresa financeira que pegou um funcionário que estava tentando roubar seus algoritmos de negociação secretos. Vendo um ponto fraco, a equipe de segurança colocou novos controles no local para assistir explicitamente tipos semelhantes de ataques. Graças à melhoria da segurança, que mais tarde flagrou outro funcionário que estava tentando copiar os algoritmos para a sua conta de email pessoal.

3. Reduza as ameaças de parceiros confiáveis . Quem tem acesso as informações confidenciais da sua empresa? Embora essa lista inclua funcionários, outros “insiders”, parceiros de negócios, que podem desfrutar de iguais níveis de acesso com menos responsabilidade, e optar por tirar informação sensível com eles quando mudar para um novo empregador.

4. Suspeite de comportamentos de preocupação. Preste atenção aos sinais de alerta do Comportamento Humano. De fato, na revisão de numerosos casos de roubo de informações privilegiadas, Cappelli afirmou que os comportamentos relativos foram o quarto sinal mais provável de que houve um problema de roubo. Assim, atenção aos sinais de alerta. Tenha um plano de resposta para quando esses sinais começarem a ser percebidos.

5. Treine funcionários. “Muitos funcionários que cometem fraudes são recrutados de fora”, disse Cappelli, e insiders costumam dizer que eles não estão cometendo um crime. Altere tal pensamento, crie políticas claras relacionadas a segurança e transmita o fato de que todo acesso a dados é auditado.

6. Cuidado com demissões, rescisões. A maioria dos ataques insider ocorre dentro de uma janela estreita. “A boa notícia sobre [insider] crime, roubo de propriedade intelectual, é que a maioria das pessoas que roubam pedem demissão dentro dos próximos 30 dias”, disse Cappelli. Em outras palavras, insiders maliciosos são mais propensos à greve de 30 dias antes ou depois que eles deixam a empresa. Assim, mantenha um olhar atento no desligamento de funcionários. “Saiba quais são as joias da sua coroa”, disse. “Se alguém que teve acesso a essas joias se demite você precisa proativamente investigar isso.”

7. Aplique a tecnologia atual. Como as empresas podem usar suas tecnologias para detectar possíveis roubos de insider? “Muitas pessoas gastam muito dinheiro em ferramentas, em tecnologias, sendo que a maioria dessas ferramentas está focada em manter as pessoas fora da sua rede”, disse Cappelli. “O que descobrimos é que você pode usar as mesmas ferramentas, mas de forma diferente”, para observar informações que podem sair de sua rede. Por exemplo, ferramentas de medição podem ser usadas para detectar sinais de exfiltração de dados, por exemplo, se um “insider que pediu demissão” enviou um e-mail nos últimos 30 dias para alguém de fora do domínio corporativo.

8. Cuidado com questões de privacidade do empregado. Ao criar um programa de prevenção de roubo interno, sempre trabalhe com o conselho geral da sua empresa, porque as leis de privacidade variam em cada estado do país. “Há uma série de questões relativas à privacidade do empregado, eu sei que elas podem ser superadas, mas tem que ser feito com muito cuidado”, disse Cappelli.

9. Força. Tal como acontece com muitos aspectos de segurança – incluindo violações de dados – as empresas que se preparam para ataques de antecedência tendem a melhor lidar com as consequências. Quando se trata de combater casos de suspeita de ameaça interna, inclui-se “O RH, gestão, gestão superior, segurança, jurídico, engenharia de software – você precisa envolver todas as áreas – e, claro, segurança de TI e da informação”, disse Cappelli.

10. Comece. Talvez a dica mais importante é simplesmente obter um programa no lugar, o mais rapidamente possível. “Eu não estou dizendo que o céu está caindo”, disse Cappelli. Mas a criação de um programa desse tipo leva tempo.

Uma das maiores lições de roubos internos é que a tecnologia sozinha muitas vezes não irá bloquear tais ataques. Combinação de políticas e procedimentos adequados com a consciência e ter um plano de reação já em vigor é a melhor coisa a fazer para mais rapidamente combater ataques suspeitos.