ESTUDO DE CASO O Perigo de Dentro

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ
MBA EM SEGURANÇA DA INFORMAÇÃO
Fichamento de Estudo de Caso
Luiza Cardoso Rizzetto
Trabalho da disciplina: Computação Forense
Tutor: Professor Constantino Ferreira da Costa Neto
Nova Friburgo
2017
ESTUDO DE CASO: 
Computação Forense
O Perigo de Dentro: A maior ameaça à sua segurança cibernética pode ser um funcionário ou fornecedor.
 
REFERÊNCIA: MC FARLAN, AUSTIN, KOUSUBA E EGAWA. - Harvard Business Review – O Perigo de Dentro: A maior ameaça à sua segurança cibernética pode ser um funcionário ou fornecedor. 
Por David M. Upton e Sdie Creese
O caso inicia-se tratando da questão do ataque cibernético de 2013 na Target, onde criminosos roubara os números de cartões de pagamento de cerca de 40 milhões de clientes e dados pessoais de aproximadamente 70 milhões. Isso afetou a reputação da empresa, fez com seus lucros caísse, e acarretou na demissão de seu Presidente Executivo e de seu Diretor de Tecnologia da Informação. O que é menos conhecido é que apesar de os ladrões serem de fora, eles conseguiram entrar nos sistemas da rede de comércio varejista usando credenciais de alguém de dentro: um dos fornecedores de refrigerante da empresa. Isso foi apenas um exemplo de um fenômeno que esta crescendo. Ataques externos recebem bastante atenção, mas ataques envolvendo empresas conectadas ou funcionários diretos representam uma ameaça mais perigosa. Funcionários podem causar dano muito mais grave que hacking externos. 
Nos últimos dois anos, foi liderado um projeto de pesquisa internacional cuja meta é melhorar significativamente a habilidade das organizações detectarem e neutralizarem ameaças de funcionários. Patrocinado pelo Centro de Proteção de Infraestrutura Nacional (CPNI), que é parte do serviço de segurança do MI5 do Reino Unido, a equipe de 16 membros combina especialista de segurança computacional, acadêmicos de escola de negócios trabalhando em governança corporativa, educadores de gestão, especialistas em visualização de informação, psicólogos e criminalistas de Oxford, da University of Leicester e da Cardiff University. 
Nas abordagem interdisciplinar levou a descobertas que desafiam as visões e práticas convencionais. Por exemplo, muitas empresas agora tentam evitar que os funcionários usem computadores de trabalho para acessar sites não diretamente relacionados a seus trabalhos, como Facebook, sites de relacionamentos e sites políticos. Mas eles deveriam dar ao funcionário a liberdade de ir onde eles querem na web, porém, usando software de segurança prontamente disponível para monitorar suas atividades, assim produzindo informações importantes sobre comportamentos e personalidades que ajudarão a detectar o perigo.
Ataques cibernéticos envolvendo fontes internas — funcionários, fornecedores, ou outras empresas legitimamente conectadas a sistemas de computador de uma empresa — são maldosos e crescentes. Eles são responsáveis por mais de 20% de todos os ataques cibernéticos. Proteções amplamente usadas são ineficazes contra eles. Inúmeros fatores na mudança do panorama de TI explicam esta ameaça crescente. Elas não são particularmente surpreendentes - e este é justamente o ponto. As portas que deixam as organizações vulneráveis a ataques internos são
mundanas e generalizadas. Um aumento dramático no tamanho da complexidade de TI; funcionários que usam dispositivos pessoais para o trabalho e a explosão nas mídias sociais.
Inúmeros estudos de caso governamentais e privados estabeleceram que fontes internas que conhecidamente participaram de ataques cibernéticos tiveram uma ampla variedade de motivações: lucro financeiro, vingança, desejo de reconhecimento e poder, resposta a chantagem, lealdade a outros na organização, e crenças políticas. Um exemplo foi um ataque de 2014 por um litigante desdenhado em uma empresa de pequeno porte, mas crescente de treinamento virtual. Um gerente da mesma reclamou para seu superior sobre a pessoa em questão - um administrador de sistemas que estava enviando flores para ele no trabalho e mandando mensagens de texto inapropriadas e estava dirigindo pela sua casa continuamente. Uma vez claramente rejeitado, o invasor corrompeu o banco de dados de vídeos de treinamento da empresa e tornou os backups inacessíveis. A empresa o demitiu. Mas sabendo que não havia prova de sua culpa, ele a chantageou em várias centenas de euros ameaçando publicar sua falta de segurança, o que poderia ter danificado um futuro IPO. Este incidente custoso - como a maiorias dos outros crimes internos - não foram reportados.
O gerenciamento de ameaças à segurança cibernética interna é semelhante ao gerenciamento de qualidade e segurança. Todos um dia foram responsabilidade de um departamento especializado. Mas as organizações não podem mais prever todo risco, pois o ambiente de tecnologia é complexo e está sempre mudando. Assim os líderes e empresas de pequeno e grande porte precisam que todos na organização estejam envolvidos. Aqui estão cinco passos que devem ser
tomados imediatamente: 
Adote uma política interna sólida. Esta deve abordar o que as pessoas devem fazer ou não, devem fazer para deter fontes internas que apresentam riscos através de descuido, negligência ou erros. A política deve ser concisa e fácil para todos - não apenas especialistas em segurança e tecnologia - entenderem, acessarem e aderirem. As regras devem se aplicar a todos os níveis da
organização, incluindo a alta gerência.
Conscientizar. Esteja ciente das ameaças possíveis para que as pessoas possam detectá-las e ficar a postos contra qualquer um que tente conseguir sua assistência em um ataque. Personalize treinamento para levar em conta quais tipos de ataques os funcionários em uma operação particular podem encontrar. Phishing é uma maneira comum de conseguir acesso: E-mails falaciosos ludibriam funcionários a compartilhar detalhes pessoais ou acessar códigos ou clicar
em um link que baixe malware. (Muitas pessoas não percebem que é fácil falsificar o endereço do remetente em um e-mail.) É possível testar a vulnerabilidade de sua equipe para estes ataques - tanto por conta própria ou empregando serviço de segurança externo. Mesmo assim, pode ser difícil defender fontes internas contra uma determinada fonte externa
Preste atenção em ameaças quando estiver contratando. É mais crítico que nunca usar processos de triagem e técnicas de entrevista designadas a avaliar a honestidade de potenciais contratos. Exemplos incluem verificações de histórico criminal, procurar por deturpação em currículos, e fazer perguntas que sondem diretamente o direcionamento moral de um candidato. 
Durante o processo de entrevista, você também deve avaliar a conscientização de segurança cibernética. O candidato sabe o que é uma ameaça interna? Quando ele pode compartilhar senhas com um membro da equipe? Sob quais circunstâncias ele pode permitir que membros da equipe usem seu computador como ele? Se os candidatos forem fortes em todas as maneiras, você pode ir em frente e contratá-los, mas certifique-se que eles sejam imediatamente treinados nas políticas e práticas de sua organização.
Utilize processos rigorosos de sub-contratação. Como a violação da Target demonstra, você deve garantir que seus fornecedores e distribuidores não o coloquem em risco - por exemplo, minimizando a possibilidade de alguém em um provedor de TI externo criar uma backdoor para seus sistemas. Se o risco de falha ou violação de um fornecedor for muito menor que a sua, ele não pode adotar os controles que você requer. Procure parceiros e fornecedores que tenham o mesmo apetite por risco e cultura que sua organização, o que tornará uma abordagem comum para segurança cibernética muito mais provável.
Monitore os funcionários. A estratégia MAIS EFICAZ para neutralizar uma ameaça cibernética apresentada por invasores é usar tecnologias de proteção disponíveis e consertar os pontos fracos nelas, mas focar principalmente em fazer com que todas as fontes internasse comportem de maneira que mantenha a empresa segura. As pessoas precisam saber quais comportamentos são aceitáveis ou inaceitáveis. Lembre-os que a proteção da organização também protege seus trabalhos.