Artigo Caso de Estudo Harvard O perigo de Dentro

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SA
PÓS GRADUAÇÂO MBA
ESPECIALIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Fichamento de Estudo de Caso
O perigo de Dentro
Por David M. Upton e Sadie Creese
Disciplina: Ciência Forense
Professor: Deivid de Lacerda Chibaia
Wallace Francis de Oliveira
São Paulo
	2018
Neste artigo, o autor relata sobre o perigo que as organizações correm sobre o vazamento de um de seu mais importante e valioso ativo: “A informação”, que muitas das vezes é causado pelos próprios funcionários, fornecedores, pessoas que estão interligadas de maneira direta e indiretamente com a empresa e obtendo algum tipo de acesso dentro das organizações.
	
No ano de 2013, houve um caso muito famoso sobre ataques cibernéticos que ocorreu com uma das maiores redes de lojas varejistas do mundo a Target, que teve um roubo de números de milhões de cartões de clientes e também de dados pessoais estimaram cerca de 70 milhões, podemos dizer que esses números são bem expressivos e danosos para a empresa que teve as suas consequências, pois afetaram a sua reputação e os seus lucros caíram drasticamente, foi um caos total.
	
Toda e qualquer empresa seja ela, pequeno, médio e grande porte tem que se utilizar de meios tecnológico e investir pesado em segurança da Informação para proteger seus ativos de possíveis danos que venha ocorrer dentro da organização e que seus dados não estejam tão vulneráveis e nem possam ser perdidos como aconteceu com a Target. 
Segundo o artigo, muitas organizações admitem que não possuem a proteção adequada para detectar e prevenir ataques de funcionários e isso se torna um problema muito grave para a empresa que pode estar colocando em jogo a perda de sua propriedade intelectual, perder seus investidores por falta de confiança e de seus clientes, fazendo com que a empresas se fechem por completo. 
	
Cada ano que se passa, os ataques cibernéticos estão cada vez mais destrutivos. De acordo com a Vormetric, uma empresa líder em segurança de informação, 54% dos gerentes de organizações grande e médio porte diz que a detecção e prevenção de ataques internos é mais difíceis nos dias de hoje que era em 2011 e acrescenta mais que, estes ataques estão aumentando tanto o número quando em porcentagem de todos os ataques cibernéticos relatados: Um estudo da KPMG descobriu que eles cresceram de 4% em 2007 para 20% em 2010.
	
Muita empresa hoje terceiriza vários setores como o de RH, Limpeza, TI, logística e outros e muitas das vezes é um fluxo de admissão e demissão de funcionários que a própria organização que contratou o serviço não tem o controle desses terceirizados. Isso é um ato falho que muitas empresas cometem. Além de o funcionário passar por uma entrevista com a terceirizada, a empresa tem que fazer a sua entrevista interna de maneira a detectar se o funcionário possa trazer algum risco para a organização, talvez isso amenizaria um pouco a vulnerabilidade. 
	
Podemos citar aqui várias razões para a causa desse crescimento: Uma delas é um aumento dramático no tamanho da complexidade de TI, Funcionários que usam dispositivos pessoais para o trabalho e a explosão das mídias sociais.
	
Fica a pergunta: Por que eles fazem isso? Segundo o artigo, existem inúmeras razões para que pessoas participem de ataques cibernéticos com ampla variedade de motivações: Lucro financeiro, vingança, desejo de reconhecimento e poder, resposta a chantagem e lealdades. 
	
Segundo a psicóloga Monica Whitty, da Universidade of Leicester, diz que “fontes internas que ajudam ou se envolvem voluntariamente ataques cibernéticos sofrem de uma ou mais condição chamada de Tríade obscura: Maquiavelismo, narcisismo e psicopatia”.
	
Pensar no problema e agir é o melhor remédio para que a organização não venha sofrer as consequências que aconteceu com a Target, a mesma precisa adotar uma política interna sólida, a mesma precisa estar disponível, ser clara, objetiva e concisa, de fácil entendimento de todos sem exceção. Violações à política devem ser penalizadas, qualquer colaborador que cometer uma violação grave, como por exemplo, vender informação para terceiros, devem ser demitido e responder processados. 
Criar programas de conscientização eficiente e estar sempre que possível fazendo treinamento em prol da proteção em segurança, para que os seus colaboradores internos e seus fornecedores estejam realmente bem informado sobre os ataques cibernéticos. 
Sempre que for contratar um colaborador avaliar a conscientização de segurança cibernética, fazendo perguntas pertinentes e prestar a tensão na reação e respostas do mesmo. Utilize processos rigorosos de subcontratação, neste caso sempre é bom procurar fornecedores e parceiros que tenha o mesmo intuito e a cultura que a organização tem sobre o quesito risco. 
E o mais importante como o risco está interno é sempre bom estar monitorando seus funcionários dentro da corporação, seja ele na rede, no computador, refeitório e deixar o mesmo ciente de que dentro da organização ele estará sempre sendo vigiado e monitorado por câmera, por filtragem na rede e pelo desktop. 
Pessoas são imprevisíveis, por isso devemos ter o cuidado e a certeza com que estamos lidando, se houver qualquer desconfiança e atitude suspeita chame-o, converse e se for o caso demita.
Ciência Forense