Baixe o app para aproveitar ainda mais
Prévia do material em texto
Permissions@hbsp.harvard.edu ou 617.783.7860 HBR.ORG SETEMBRO DE 2014 REIMPRESSÃO R1409G O Perigo de Dentro A maior ameaça à sua segurança cibernética pode ser um funcionário ou fornecedor. por David M. Upton e Sadie Creese Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui violação de direitos autorais. Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui violação de direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 2 Harvard Business Review Setembro de 2014 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui violação de direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 IL U S T R A Ç Ã O D A LE E D W IN M U R R A Y PARA REIMPRESSÕES DE ARTIGOS, LIGUE PARA 800-988-0886 OU 617-783-7500, OU ACESSE HBR.ORG David M. Upton é Professor da American Standard Companies de Gestão de Operações na Oxford University’s Saïd Business School. Sadie Creese é professora de segurança cibernética na Oxford e diretora do seu Centro de Capacidade de Segurança Cibernética Global. Upton e Creese são os investigadores principais no programa de pesquisa de Detecção de Ameaça de Detentor de Informações Privilegiadas na Empresa. O PERIGO DE DENTRO A maior ameaça à sua segurança cibernética pode ser um funcionário ou fornecedor. por David M. Upton e Sadie Creese Nós todos sabemos sobre o ataque cibernético de 2013 na Target, onde criminosos roubaram os números de cartões de pagamento de cerca de 40 milhões de clientes e dados pessoais de aproximadamente 70 milhões. Isto afetou a reputação da empresa, fez com seus lucros caíssem, e acarretou na demissão de seu Presidente Executivo DIREITOS AUTORAIS © 2014 HARVARD BUSINESS SCHOOL PUBLISHING CORPORATION. TODOS OS DIREITOS RESERVADOS. Setembro de 2014 Harvard Business Review 3 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui violação de direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 O PERIGO DE DENTRO e de seu Diretor de Tecnologia da Informação. O que é menos conhecido é que apesar de os ladrões serem de fora, eles conseguiram entrar nos sistemas da rede de comércio varejista usando credenciais de alguém de dentro: um dos fornecedores de refrigeração da empresa. O infortúnio da Target é apenas um exemplo recente de um fenômeno crescente. Ataques externos - hacking de propriedade intelectual disseminada da China, o vírus Stuxnet, a escapada de gangsters do leste europeu - recebem bastante atenção. Mas ataques envolvendo empresas conectadas ou funcionários diretos representam uma ameaça mais perigosa. Funcionários podem causar dano muito mais grave que hackers externos. “A melhor maneira de ter acesso a uma empresa despreparada é espalhar dispositivos USB infectados com a logomarca da empresa no estacionamento.” pois é mais fácil para eles acessarem sistemas e possuem uma janela muito maior de oportunidade. O dano que eles causam pode incluir suspensão de operações, perda de propriedade intelectual, dano à reputação, queda na confiança do investidor e do cliente, e vazamentos de informações confidenciais a terceiros, incluindo a mídia. De acordo com várias estimativas, pelo menos 80 milhões de ataques de funcionários ocorrem nos Estados Unidos a cada ano. Mas o número pode ser muito maior, pois eles geralmente não são relatados. Claramente, seu impacto agora totaliza dezenas de bilhões de dólares por ano. Muitas organizações admitem que ainda não têm a proteção adequada para detectar ou prevenir ataques envolvendo funcionários. Um motivo é que elas ainda negam a magnitude da ameaça. Nos últimos dois anos, lideramos um projeto de pesquisa internacional cuja meta é melhorar significativamente a habilidade das organizações detectarem e neutralizarem ameaças de funcionários. Patrocinado pelo Centro de Proteção de Infraestrutura Nacional (CPNI), que é parte do serviço de segurança do MI5 do Reino Unido, nossa equipe de 16 membros combina especialista de segurança computacional, acadêmicos de escola de negócios trabalhando em governança corporativa, educadores de gestão, especialistas em visualização de informação, psicólogos e criminalistas de Oxford, da University of Leicester e da Cardiff University. Nos abordagem interdisciplinar levou a descobertas que desafiam as visões e práticas convencionais (veja a barra lateral "Práticas Comuns Que Não Funcionam"). Por exemplo, muitas empresas agora tentam evitar que os funcionários usem computadores de trabalho para acessar sites não diretamente relacionados a seus trabalhos, como Facebook, sites de relacionamentos e sites políticos. Achamos que elas, em vez disso, deveriam dar ao funcionário a liberdade de ir onde eles querem na web, mas usando software de segurança prontamente disponível para monitorar suas atividades, assim produzindo informações importantes sobre comportamentos e personalidades que ajudarão a detectar o perigo. Neste artigo, compartilhamos nossas descobertas sobre formas eficazes de minimizar a possibilidade de ataques de funcionários. Um Risco Pouco Reconhecido Ameaças de detentores de informações privilegiadas vêm de pessoas que exploram acesso legítimo a ativos cibernéticos de uma organização para fins não autorizados e maliciosos ou que criam vulnerabilidades involuntariamente. Eles podem ser funcionários diretos (desde faxineiros até funcionários de alto nível), contratados, ou fornecedores terceirizados de dados e serviços de computação. (Edward Snowden, conhecido por ter roubado informações confidenciais da Agência de Segurança Nacional (NSA) dos EUA, trabalhou como contratado da NSA.) Com este acesso legítimo, eles podem roubar, desestabilizar, ou corromper sistemas de computadores e dados sem detecção por soluções de segurança baseadas em perímetro comum - controles que focam em pontos de entrada em vez do que ou quem já está dentro. De acordo com a Vormetric, uma empresa líder em segurança de informação, 54% dos gerentes de organizações grande e médio porte dizem que a detecção e prevenção de ataques internos é mais difícil hoje do que era em 2011. E mais, estes ataques estão aumentando tanto em número quando em porcentagem de todos os ataques cibernéticos relatados: Um estudo da KPMG descobriu que eles cresceram de 4% em 2007 para 20% em 2010. Nossa pesquisa 4 Harvard Business Review Setembro de 2014 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui violação de direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 PARA REIMPRESSÕES DE ARTIGOS, LIGUE PARA 800-988-0886 OU 617-783-7500, OU ACESSE HBR.ORG Ideia em Resumo A AMEAÇA Ataques cibernéticos envolvendo fontes internas — funcionários, fornecedores, ou outras empresas legitimamente conectadas a sistemas de computador de uma empresa — são maldosos e crescentes. Eles são responsáveis por mais de 20% de todos os ataques cibernéticos. Proteções amplamente usadas são ineficazes contra eles.A CHAVE Para reduzir sua vulnerabilidade a ataques internos, as empresas devem aplicar a mesma abordagem que usaram para melhorar a qualidade e segurança: Fazer parte do trabalho de todos. A SOLUÇÃO Os funcionários devem ser monitorados rigorosamente e informados quais ameaças são prováveis para que eles possam relatar atividades suspeitas. Os fornecedores e distribuidores devem ser requeridos a minimizar os riscos e devem ser auditados regularmente. Os líderes devem trabalhar de perto com seus departamentos de TI para garantir que estes ativos cruciais sejam protegidos. sugere que a porcentagem continue crescendo. Além disso, ataques externos podem envolver assistência conhecida ou não de fontes internas. O incidente da Target é um caso em análise. Causas do Crescimento Inúmeros fatores na mudança do panorama de TI explicam esta ameaça crescente. Elas não são particularmente surpreendentes - e este é justamente o ponto. As portas que deixam as organizações vulneráveis a ataques internos são mundanas e generalizadas. Um aumento dramático no tamanho da complexidade de TI. Você sabe quais indivíduos estão gerenciando seus serviços baseados na nuvem, com quem você convive nestes servidores, e quão seguros os servidores são? Quão confiáveis são aqueles que fornecem para você outras atividades terceirizadas, como centrais de atendimento, logística, limpeza, RH e gestão de relacionamento com o cliente? Em 2005, quatro titulares de conta no Citibank em Nova York foram lesados em quase $350.000 por colaboradores da central de atendimento baseada em Pune, Índia. Os culpados eram funcionários de uma empresa de software e serviços para a qual o Citibank terceirizou trabalho. Eles coletaram dados pessoais, números de identificação pessoal e números das contas dos clientes. Sites da "Dark Web", onde homens de meia idade inescrupulosos vendem grandes quantidades de informações confidenciais, são abundantes atualmente. Tudo desde senhas dos clientes e informações de cartão de crédito até propriedade intelectual é vendido nestes sites clandestinos. Fontes internas geralmente querem fornecer acesso a estes ativos em troca de quantias vastamente menores que seu valor de mercado, contribuindo para a indústria de "crime cibernético como serviço". Funcionários que usam dispositivos pessoais para o trabalho. Cada vez mais, fontes internas - geralmente involuntariamente - expõem seus empregadores a ameaças fazendo o trabalho em gadgets eletrônicos. Nossa equipe e outras descobriram que os grupos de segurança das empresas tentam acompanhar os perigos representados pela explosão destes dispositivos. De acordo com um relatório recente da Alcatel-Lucent, cerca de 11,6 bilhões de dispositivos móveis ao redor do mundo são infectados a qualquer momento, e infecções de malware móvel aumentaram 20% em 2013. Smartphones e tables não são os únicos culpados: Os dispositivos podem ser simples como pendrives ou cartões de memória de telefone. "A melhor maneira de pegar uma empresa despreparada é espalhar dispositivos UBS infectados com a logomarca da empresa no estacionamento", diz Michael Goldsmith, membro de nossa equipe e diretor associado do Centro de Segurança Cibernética da Oxford, referindo-se ao ataque de 2012 no DSM, uma empresa química holandesa. "Algum funcionário inevitavelmente vai testar um deles." Foi amplamente relatado que representantes presentes na cúpula do G20 perto de São Petersburgo em 2013 receberam um dispositivo de armazenamento USB e carregadores de telefone móvel carregado com malware projetado para ajudar a roubar informações. E o worm de computador Stucnet que sabotou a instalação de refinamento de urânio do Irã em 2008- 2010 foi reportadamente introduzido via dispositivos USB em sistemas não conectados à internet. Na verdade, estamos todos vulneráveis. A explosão nas mídias sociais. As mídias sociais permitem que todo tipo de informação vaze de uma empresa e se espalhe no mundo todo, geralmente sem o conhecimento da empresa. Elas também fornecem oportunidades de recrutamento de fontes internas e as usa para acessar ativos corporativos. O chamado golpe do romance, no qual o funcionário é persuadido ou ludibriado a compartilhar dados confidenciais por um vigarista sofisticado agindo como pretendente em um site de relacionamento, provou ser particularmente eficaz. Outras estratégias incluem o uso de conhecimento obtido através de redes sociais para pressionar funcionários: Um chantagista cibernético pode ameaçar deletar arquivos de computador ou instalar imagens pornográficas no computador de trabalho de uma vítima a não ser que informações confidenciais sejam entregues. Setembro de 2014 Harvard Business Review 5 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui violação de direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Gerentes no Escuro Perguntamos a 80 altos gerentes sobre seu conhecimento de ameaças de segurança cibernética interna e acompanhamos com estudos de caso aprofundados de incidentes reais. Aqui está um resumo do que descobrimos: • Gerentes ao redor de todos os países e a maioria das indústrias (bancos e empresas de energia são a exceção) são amplamente ignorantes em relação a ameaças internas. • Eles tendem a ver segurança como o trabalho de outra pessoa - geralmente os departamentos de TI. • Poucos gerentes reconhecem a importância de observar comportamento incomum de funcionário - como visitar sites extremistas ou começar a trabalhar em horários estranhos - para obter aviso com antecedência de um ataque. • Quase dois terços de profissionais de segurança interna e externa acham difícil persuadir diretorias dos riscos vinculados ao descuido da questão de ameaça interna. • Poucos grupos de TI têm orientação em relação a quais ativos de informações são os mais críticos, qual nível de risco é aceitável, ou quanto deve ser investido para evitar ataques. O PERIGO DE DENTRO Por Que Eles Fazem Isso Inúmeros estudos de caso governamentais e privados estabeleceram que fontes internas que conhecidamente participaram de ataques cibernéticos tiveram uma ampla variedade de motivações: lucro financeiro, vingança, desejo de reconhecimento e poder, resposta a chantagem, lealdade a outros na organização, e crenças políticas. Um exemplo que ouvimos durante nossa pesquisa foi um ataque de 2014 por um litigante desdenhado em uma empresa de pequeno porte, mas crescente de treinamento virtual. Um gerente da mesma reclamou para seu superior sobre a pessoa em questão - um administrador de sistemas que estava enviando flores para ele no trabalho e mandando mensagens de texto inapropriadas e estava dirigindo pela sua casa continuamente. Uma vez claramente rejeitado, o invasor corrompeu o banco de dados de vídeos de treinamento da empresa e tornou os backups inacessíveis. A empresa o demitiu. Mas sabendo que não havia prova de sua culpa, ele a chantageou em várias centenas de euros ameaçando publicar sua falta de segurança, o que poderia ter danificado um futuro IPO. Este incidente custoso - como a maiorias dos outros crimes internos - não foram reportados. A colaboração de fontes internas com o crime organizado e grupos ativistas está se tornando cada vez mais comum. Muitos países agora estão operando equipe de resposta às emergências de computador (CERTs) para proteger a si mesmos contra este e outros tipos de ataque. Um dos 150 casos que foram analisados pelo Centro de Ameaça Interna do CERT na Carnegir Mellon University para seu relatório de 2012 Foco Em: Atividade de Fontes Internas Maliciosas e Crime Organizado, 16% tinha ligaçãocom o crime organizado. Um caso foi o roubo em 2012 pela gangue russa de detalhes de 3,8 milhões de contas bancárias não criptografadas e quase 4 milhões de declarações fiscais do Departamento de Renda da Carolina do Sul. Investigação forense mostrou que o ataque foi facilitado por um funcionário que clicou em um link em um email, permitindo que a gangue roubasse as credenciais do funcionário e acessasse os servidores de dados do estado. Monica Whitty, uma psicóloga da University of Leicester e membro de nossa equipe, e muitos outros dizem que fontes internas que ajudam ou se envolvem voluntariamente em ataques cibernéticos sofrem de uma ou mais condições na "tríade obscura": Maquiavelismo, narcisismo e psicopatia. Comprovando esta visão, um estudo de 2013 da CPNI descobriu que invasores internos geralmente têm alguma combinação destes traços de personalidade: imaturidade, baixa auto-estima, amoralidade ou falta de ética, superficialidade, uma tendência a fantasiar, inquietação e impulsividade, falta de conscientização, manipulação e instabilidade. Roger Duronio, um administrador de sistemas da UBS Wealth Management condenado por usar uma "bomba lógica" maliciosa para danificar a rede de computadores da empresa em 2006, mostrou vários destes traços. Duronio estava preocupado com a segurança de seu trabalho 6 Harvard Business Review Setembro de 2014 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui violação de direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 PARA RE-IMPRESSÕES DE ARTIGOS, LIGUE PARA 800-988-0886 OU 617-783-7500, OU ACESSE HBR.ORG HBR.ORG e ficou lívido quando recebeu apenas $32.000 do bônus de $50.000 que esperava. Então ele encurtou o estoque da empresa e armou a bomba. Ela derrubou 2.000 servidores em escritórios da UBS nos Estados Unidos; alguns deles não puderam operar por várias semanas. A empresa sofreu $3,1 milhões de custos diretos e mais milhões de dólares em perdas incidentais não divulgadas. Duronio foi condenado a 97 meses de prisão pelo crime. Como Pensar No Problema O gerenciamento de ameaças à segurança cibernética interna é semelhante ao gerenciamento de qualidade e segurança. Todos um dia foram responsabilidade de um departamento especializado. Mas as organizações não podem mais prever todo risco, deve ser demitido e processado. Uma primeira violação por algo menos sério, como compartilhamento de senhas para permitir que colegas de confiança acessem sistemas corporativos, pode resultar em um aviso que é incluído no registro do funcionário. Práticas Comuns Que Não Funcionam As proteções de segurança cibernética mais comuns são muito menos eficazes contra fontes internas que contra fontes externas. pois o ambiente de tecnologia é complexo e está sempre mudando. Assim os líderes e empresas de pequeno e grande porte precisam que todos na organização estejam envolvidos. Aqui estão cinco passos que devem ser tomados imediatamente: Adote uma política interna sólida. Esta deve abordar o que as pessoas devem fazer ou não devem fazer para deter fontes internas que apresentam riscos através de descuido, negligência ou erros. A política deve ser concisa e fácil para todos - não apenas especialistas em segurança e tecnologia - entenderem, acessarem e aderirem. As regras devem se aplicar a todos os níveis da organização, incluindo a alta gerência. Um quadro fornecido pelo Estado de Illinois é um modelo. Aqui está um link do mesmo: www.illinois.gov/ready/SiteCollectionDocuments/ Cyber_SOSSamplePolicy.pdf Os funcionários devem receber ferramentas para ajudá- los a aderirem à política. Por exemplo, sistemas podem ser projetados para sinalizar uma mensagem de alerta na tela quando alguém tentar logar em um subsistema que contém materiais confidenciais. O sistema pode perguntar se a pessoa está autorizada a estar lá e registrar e rastrear aqueles que não estão. Violações à política devem incorrer em penalidades. Obviamente, um funcionário que cometer uma violação grave como vender dados pessoais de clientes ou conscientemente inserir malware nos sistemas da empresa CONTROLES DE ACESSO Regras que proíbem as pessoas de usar dispositivos corporativos para tarefas pessoais não irá evitar que elas roubem ativos. GESTÃO DE VULNERABILIDADE Patches de segurança e verificadores de vírus não evitarão ou detectarão o acesso por funcionários ou terceiros autorizados mal intencionados usando credenciais roubadas. ALTA PROTEÇÃO DE DELIMITAÇÃO Colocar ativos críticos dentro de perímetro dificultado não evitará roubo por aqueles autorizados a acessar os sistemas protegidos. POLÍTICA DE SENHA Exigir senhas complexas ou sua alteração frequente significa que elas podem acabar em post-it - acesso fácil para alguém com acesso físico. PROGRAMAS DE CONSCIENTIZAÇÃO Apenas requerer que funcionários leiam a política de segurança de TI da empresa anualmente não conferirá magicamente conscientização cibernética a eles. Nem irá prevenir que membros da equipe tomem ações danosas. Setembro de 2014 Harvard Business Review 7 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui violação de direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 O PERIGO DE DENTRO O Que Você Pode Fazer? Algumas das atividades mais importantes que líderes não tecnológicos devem pedir para seus departamentos de TI são: • monitorar todo o tráfego para fora das redes da empresa via internet ou mídia portátil, e prontamente reportar qualquer coisa incomum ou que viole a política • estar atualizado com as melhores práticas para apoiar a estratégica e política de segurança cibernética • implementar rigorosamente procedimentos e protocolos de defesa de rede que levem em conta as prioridades operacionais dos negócios • atualizar efetivamente contas de usuários para garantir que os funcionários nunca tenham mais acesso a sistemas de computador confidenciais que o absolutamente necessário • fazer avaliações de ameaça frequentes e instruir a liderança da empresa sobre elas Você também deve ajudar os funcionários a entender como conduzir tarefas do dia a dia com segurança. A política deve ser reforçada regularmente com sessões de informações e campanhas de comunicações internas, que podem incluir cartazes no local de trabalho. Algumas empresas exibem vídeos demonstrando como violações da política podem permitir ataques cibernéticos e como práticas mais seguras podem preveni-los. Conscientizar. Esteja ciente das ameaças possíveis para que as pessoas possam detectá-las e ficar a postos contra qualquer um que tente conseguir sua assistência em um ataque. Personalize treinamento para levar em conta quais tipos de ataques os funcionários em uma operação particular podem encontrar. Phishing é uma maneira comum de conseguir acesso: E-mails falaciosos ludibriam funcionários a compartilhar detalhes pessoais ou acessar códigos ou clicar em um link que baixe malware. (Muitas pessoas não percebem que é fácil falsificar o endereço do remetente em um e-mail.) É possível testar a vulnerabilidade de sua equipe para estes ataques - tanto por conta própria ou empregando serviço de segurança externo. Mesmo assim, pode ser difícil defender fontes internas contra uma determinada fonte externa. Em abril de 2013, uma empresa multinacional francesa foi objeto de um ataque esperto. Uma assistente administrativa do vice- presidente recebeu um e-mail que mencionava uma fatura em um serviço de compartilhamento de arquivo baseado nanuvem. Ela teve o bom senso de não abrir o arquivo, mas minutos depois ela recebeu um telefonema de alguém que convencidamente afirmou ser outro vice-presidente da empresa e a instruiu a baixar e processar a fatura. Ela obedeceu. A fatura continha um Trojan de acesso remoto que permitiu que a empresa criminosa aparentemente baseada na Ucrânia tomasse controle de seu PC, registrar o que ela teclava, e roubar propriedade intelectual da empresa. Encorajar os funcionários a reportar tecnologias (por exemplo, um disco rígido portátil em um escritório onde os funcionários normalmente acessam dados e software pela rede) e comportamento (um funcionário ou fornecedor não autorizado pedindo arquivos de dados confidenciais) incomuns ou proibidos, como eles reportariam bagagem abandonada em um saguão de partida no aeroporto. Preste atenção em ameaças quando estiver contratando. É mais crítico que nunca usar processos de triagem e técnicas de entrevista designadas a avaliar a honestidade de potenciais contratos. Exemplos incluem verificações de histórico criminal, procurar por deturpação em currículos, e fazer perguntas que sondem diretamente o direcionamento moral de um candidato. Nossa equipe está desenvolvendo testes que permitirão que funcionários determinem se os prováveis funcionários têm traços de personalidade perigosos como aqueles identificados pelo CPNI. Durante o processo de entrevista, você também deve avaliar a conscientização de segurança cibernética. O candidato sabe o que é uma ameaça interna? Quando ele pode compartilhar senhas com um membro da equipe? Sob quais circunstâncias ele pode permitir que membros da equipe usem seu computador como ele? Se os candidatos forem fortes em todas as maneiras, você pode ir em frente e contratá-los, mas certifique-se que eles sejam imediatamente treinados nas políticas e práticas de sua organização. Se alguém estiver sendo considerado para um trabalho em ambiente altamente confidencial, no entanto, você deve pensar com cuidado sobre trazê-lo/a a bordo. Utilize processos rigorosos de sub-contratação. Como a violação da Target demonstra, você deve garantir que seus fornecedores e distribuidores não o coloquem em risco - por exemplo, minimizando a possibilidade de alguém em um provedor de TI externo criar uma backdoor para seus sistemas. Se o risco de falha ou violação de um fornecedor for muito menor que a sua, ele não pode adotar os controles que você requer. Procure parceiros e fornecedores que tenham o mesmo apetite por risco e cultura que sua organização, o que 8 Harvard Business Review Setembro de 2014 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui violação de direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 D E S E N H O : J O H N C A LD W E LL PARA RE-IMPRESSÕES DE ARTIGOS, LIGUE PARA 800-988-0886 OU 617-783-7500, OU ACESSE HBR.ORG tornará uma abordagem comum para segurança cibernética muito mais provável. Pergunte a potenciais fornecedores durante discussões pré-contratuais como eles gerenciam risco relacionado a fontes internas. Se você os contratar, audite-os regularmente para ver se suas práticas são genuinamente mantidas. Deixe claro que você conduzirá as auditorias, e estipule o que elas envolverão. Uma empresa pode requerer dos fornecedores os mesmos controles que ela mesma usa: triagem de registros criminais de funcionários, verificação dos históricos de emprego verdadeiros dos candidatos, monitoramento de acesso a seus dados e aplicativos para atividade não autorizada, e prevenção de intrusos entrando em dependências físicas sensíveis. Monitore os funcionários. Deixe-os saber que você pode e irá observar sua atividade cibernética na medida permitida pela lei. Você não pode se dar o luxo de deixar a segurança cibernética totalmente com especialistas; você deve se conscientizar diariamente do que está saindo dos seus sistemas, bem como do que está entrando. Que significa requerer que equipes de segurança ou provedores de serviço produzam avaliações de risco regulares, que devem incluir as fontes de ameaças, funcionários ou redes vulneráveis, e as possíveis consequências se um risco se tornar uma realidade. Você também deve medir os comportamentos de redução de risco, como tempos de resposta a alertas. Geralmente roteadores e firewalls podem monitorar canais de saída, mas você deve garantir que a funcionalidade esteja ativada. Se você não tem o equipamento para monitorar o tráfego de saída, compre-o. Você também deve registrar e monitorar outros meios de exfiltração - pendrives USB e outras mídias de armazenamento portátil, impressoras, e outros - através de verificações aleatórias, pesquisas tipo de aeroporto de pessoas entrando e saindo de seu prédio. (General Electric e Wipro usam estes em Bangalore.) Para o monitoramento ser eficaz, você deve gerenciar diligentemente os privilégios de todos os funcionários - incluindo aqueles nos mais altos níveis de acesso aos sistemas da empresa, que são geralmente os instigadores de ataques internos. Reduza sua lista de usuários mais privilegiados regularmente - e então observe os que permanecem para verificar se eles merecem sua confiança. Procure sistemas de detecção de ameaça interna que possam prever eventos possivelmente evitáveis, bem como encontrar eventos que já ocorreram. Big data pode ser útil para ligar pistas e fornecer avisos. Software de detecção de malware pode ser útil. Particularmente em colaborações externas-internas, um passo chave inicial é introduzir o malware na rede. Quando você encontrar o malware, considere que ele pode ser parte de um ataque interno: uma análise de como o malware está sendo usado pode fornecer pistas para a identidade e objetivos mais amplos do invasor. O monitoramento neste grau aumentará a carga de trabalho de todos, mas compensará construindo a resiliência e reduzindo o risco de sua empresa. A estratégia MAIS EFICAZ para neutralizar uma ameaça cibernética apresentada por invasores é usar tecnologias de proteção disponíveis e consertar os pontos fracos nelas, mas focar principalmente em fazer com que todas as fontes internas se comportem de maneira que mantenha a empresa segura. As pessoas precisam saber quais comportamentos são aceitáveis ou inaceitáveis. Lembre-os que a proteção da organização também protege seus trabalhos. Re-impressão HBR R1409G "Sinto muito por vê-lo partir, Doug. Você nos deixa com uma grande responsabilidade." Setembro de 2014 Harvard Business Review 9
Compartilhar