O Perigo de Dentro na Segurança Cibernética

Prévia do material em texto

Permissions@hbsp.harvard.edu ou 
617.783.7860 
 
HBR.ORG SETEMBRO DE 2014 
REIMPRESSÃO R1409G 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
O Perigo 
de Dentro 
A maior ameaça à sua segurança cibernética pode ser 
um funcionário ou fornecedor. 
por David M. Upton e Sadie Creese 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui violação 
de direitos autorais. 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui 
violação de direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
2 Harvard Business Review Setembro de 2014 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui 
violação de direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
IL
U
S
T
R
A
Ç
Ã
O
 D
A
LE
 E
D
W
IN
 M
U
R
R
A
Y
 
PARA REIMPRESSÕES DE ARTIGOS, LIGUE PARA 800-988-0886 OU 617-783-7500, OU ACESSE HBR.ORG 
 
 
 
David M. Upton é 
Professor da American 
Standard Companies 
de Gestão de Operações na 
Oxford University’s Saïd 
Business School. 
Sadie Creese é professora de 
segurança cibernética na Oxford e 
diretora do seu Centro de Capacidade 
de Segurança Cibernética Global. 
Upton e Creese são os investigadores 
principais no programa de pesquisa de 
Detecção de Ameaça de Detentor de 
Informações Privilegiadas na Empresa. 
 
 
 
 
 
O 
PERIGO 
DE 
DENTRO 
A maior ameaça à sua segurança cibernética 
pode ser um funcionário ou fornecedor. 
por David M. Upton e Sadie Creese 
 
 
Nós todos sabemos sobre o ataque cibernético de 2013 na 
Target, onde criminosos roubaram os números de cartões 
de pagamento de cerca de 40 milhões de clientes e dados 
pessoais de aproximadamente 70 milhões. Isto afetou a 
reputação da empresa, fez com seus lucros caíssem, e 
acarretou na demissão de seu Presidente Executivo 
 
 
DIREITOS AUTORAIS © 2014 HARVARD BUSINESS SCHOOL PUBLISHING CORPORATION. TODOS OS DIREITOS RESERVADOS. 
Setembro de 2014 Harvard Business Review 3 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui 
violação de direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
O PERIGO DE DENTRO 
 
 
 
 
 
e de seu Diretor de Tecnologia da Informação. O que é 
menos conhecido é que apesar de os ladrões serem de 
fora, eles conseguiram entrar nos sistemas da rede de 
comércio varejista usando credenciais de alguém de 
dentro: um dos fornecedores de refrigeração da empresa. 
O infortúnio da Target é apenas um exemplo recente de 
um fenômeno crescente. Ataques externos - hacking de 
propriedade intelectual disseminada da China, o vírus 
Stuxnet, a escapada de gangsters do leste europeu - 
recebem bastante atenção. Mas ataques envolvendo 
empresas conectadas ou funcionários diretos representam 
uma ameaça mais perigosa. Funcionários podem causar 
dano muito mais grave que hackers externos. 
 
 
“A melhor maneira de 
ter acesso a uma 
empresa despreparada 
é espalhar dispositivos 
USB infectados com a 
logomarca da empresa 
no estacionamento.” 
 
 
 
 
pois é mais fácil para eles acessarem sistemas e possuem 
uma janela muito maior de oportunidade. O dano que 
eles causam pode incluir suspensão de operações, perda 
de propriedade intelectual, dano à reputação, queda na 
confiança do investidor e do cliente, e vazamentos de 
informações confidenciais a terceiros, incluindo a mídia. 
De acordo com várias estimativas, pelo menos 80 milhões 
de ataques de funcionários ocorrem nos Estados Unidos a 
cada ano. Mas o número pode ser muito maior, pois eles 
geralmente não são relatados. Claramente, seu impacto 
agora totaliza dezenas de bilhões de dólares por ano. 
Muitas organizações admitem que ainda não têm a 
proteção adequada para detectar ou prevenir ataques 
envolvendo funcionários. Um motivo é que elas ainda 
negam a magnitude da ameaça. 
Nos últimos dois anos, lideramos um projeto de pesquisa 
internacional cuja meta é melhorar significativamente a 
habilidade das organizações detectarem e neutralizarem ameaças 
de funcionários. Patrocinado pelo Centro de Proteção de 
Infraestrutura Nacional (CPNI), que é parte do serviço de 
segurança do MI5 do Reino Unido, nossa equipe de 16 membros 
combina especialista de segurança computacional, acadêmicos de 
escola de negócios trabalhando em governança corporativa, 
educadores de gestão, especialistas em visualização de 
informação, psicólogos e criminalistas de Oxford, da University of 
Leicester e da Cardiff University. 
Nos abordagem interdisciplinar levou a descobertas que 
desafiam as visões e práticas convencionais (veja a barra lateral 
"Práticas Comuns Que Não Funcionam"). Por exemplo, muitas 
empresas agora tentam evitar que os funcionários usem 
computadores de trabalho para acessar sites não diretamente 
relacionados a seus trabalhos, como Facebook, sites de 
relacionamentos e sites políticos. Achamos que elas, em vez 
disso, deveriam dar ao funcionário a liberdade de ir onde eles 
querem na web, mas usando software de segurança prontamente 
disponível para monitorar suas atividades, assim produzindo 
informações importantes sobre comportamentos e 
personalidades que ajudarão a detectar o perigo. Neste artigo, 
compartilhamos nossas descobertas sobre formas eficazes de 
minimizar a possibilidade de ataques de funcionários. 
 
Um Risco Pouco Reconhecido 
Ameaças de detentores de informações privilegiadas vêm de 
pessoas que exploram acesso legítimo a ativos cibernéticos de 
uma organização para fins não autorizados e maliciosos ou que 
criam vulnerabilidades involuntariamente. Eles podem ser 
funcionários diretos (desde faxineiros até funcionários de alto 
nível), contratados, ou fornecedores terceirizados de dados e 
serviços de computação. (Edward Snowden, conhecido por ter 
roubado informações confidenciais da Agência de Segurança 
Nacional (NSA) dos EUA, trabalhou como contratado da NSA.) 
Com este acesso legítimo, eles podem roubar, desestabilizar, ou 
corromper sistemas de computadores e dados sem detecção por 
soluções de segurança baseadas em perímetro comum - controles 
que focam em pontos de entrada em vez do que ou quem já está 
dentro. 
De acordo com a Vormetric, uma empresa líder em segurança 
de informação, 54% dos gerentes de organizações grande e médio 
porte dizem que a detecção e prevenção de ataques internos é 
mais difícil hoje do que era em 2011. E mais, estes ataques estão 
aumentando tanto em número quando em porcentagem de todos 
os ataques cibernéticos relatados: Um estudo da KPMG descobriu 
que eles cresceram de 4% em 2007 para 20% em 2010. Nossa 
pesquisa 
4 Harvard Business Review Setembro de 2014 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui 
violação de direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
PARA REIMPRESSÕES DE ARTIGOS, LIGUE PARA 800-988-0886 OU 617-783-7500, OU ACESSE HBR.ORG 
 
 
Ideia em Resumo 
A AMEAÇA 
Ataques cibernéticos envolvendo 
fontes internas — funcionários, 
fornecedores, ou outras empresas 
legitimamente conectadas a 
sistemas de computador de uma 
empresa — são maldosos e 
crescentes. Eles são 
responsáveis por mais de 20% de 
todos os ataques cibernéticos. 
Proteções amplamente usadas 
são ineficazes contra eles.A CHAVE 
Para reduzir sua vulnerabilidade 
a ataques internos, as empresas 
devem aplicar a mesma 
abordagem que usaram para 
melhorar a qualidade e 
segurança: Fazer parte do 
trabalho de todos. 
 
 
A SOLUÇÃO 
Os funcionários devem ser 
monitorados rigorosamente e 
informados quais ameaças são 
prováveis para que eles possam relatar 
atividades suspeitas. Os fornecedores 
e distribuidores devem ser requeridos 
a minimizar os riscos e devem ser 
auditados regularmente. Os líderes 
devem trabalhar de perto com seus 
departamentos de TI para garantir que 
estes ativos cruciais sejam protegidos. 
 
sugere que a porcentagem continue crescendo. Além disso, 
ataques externos podem envolver assistência conhecida ou 
não de fontes internas. O incidente da Target é um caso em 
análise. 
 
Causas do Crescimento 
Inúmeros fatores na mudança do panorama de TI explicam 
esta ameaça crescente. Elas não são particularmente 
surpreendentes - e este é justamente o ponto. As portas que 
deixam as organizações vulneráveis a ataques internos são 
mundanas e generalizadas. 
Um aumento dramático no tamanho da 
complexidade de TI. Você sabe quais indivíduos estão 
gerenciando seus serviços baseados na nuvem, com quem 
você convive nestes servidores, e quão seguros os servidores 
são? Quão confiáveis são aqueles que fornecem para você 
outras atividades terceirizadas, como centrais de 
atendimento, logística, limpeza, RH e gestão de 
relacionamento com o cliente? Em 2005, quatro titulares de 
conta no Citibank em Nova York foram lesados em quase 
$350.000 por colaboradores da central de atendimento 
baseada em Pune, Índia. Os culpados eram funcionários de 
uma empresa de software e serviços para a qual o Citibank 
terceirizou trabalho. Eles coletaram dados pessoais, 
números de identificação pessoal e números das contas dos 
clientes. 
Sites da "Dark Web", onde homens de meia idade 
inescrupulosos vendem grandes quantidades de informações 
confidenciais, são abundantes atualmente. Tudo desde senhas 
dos clientes e informações de cartão de crédito até 
propriedade intelectual é vendido nestes sites clandestinos. 
Fontes internas geralmente querem fornecer acesso a estes 
ativos em troca de quantias vastamente menores que seu 
valor de mercado, contribuindo para a indústria de "crime 
cibernético como serviço". 
Funcionários que usam dispositivos pessoais 
para o trabalho. Cada vez mais, fontes internas - 
geralmente involuntariamente - expõem seus empregadores a 
ameaças fazendo o trabalho em gadgets eletrônicos. Nossa 
equipe e outras descobriram que os grupos de segurança das 
empresas tentam acompanhar 
os perigos representados pela explosão destes dispositivos. De 
acordo com um relatório recente da Alcatel-Lucent, cerca de 
11,6 bilhões de dispositivos móveis ao redor do mundo são 
infectados a qualquer momento, e infecções de malware móvel 
aumentaram 20% em 2013. 
Smartphones e tables não são os únicos culpados: Os 
dispositivos podem ser simples como pendrives ou cartões de 
memória de telefone. "A melhor maneira de pegar uma empresa 
despreparada é espalhar dispositivos UBS infectados com a 
logomarca da empresa no estacionamento", diz Michael 
Goldsmith, membro de nossa equipe e diretor associado do 
Centro de Segurança Cibernética da Oxford, referindo-se ao 
ataque de 2012 no DSM, uma empresa química holandesa. 
"Algum funcionário inevitavelmente vai testar um deles." 
Foi amplamente relatado que representantes presentes na 
cúpula do G20 perto de São Petersburgo em 2013 receberam 
um dispositivo de armazenamento USB e carregadores de 
telefone móvel carregado com malware projetado para ajudar a 
roubar informações. E o worm de computador Stucnet que 
sabotou a instalação de refinamento de urânio do Irã em 2008-
2010 foi reportadamente introduzido via dispositivos USB em 
sistemas não conectados à internet. 
Na verdade, estamos todos vulneráveis. 
A explosão nas mídias sociais. As mídias sociais 
permitem que todo tipo de informação vaze de uma empresa e 
se espalhe no mundo todo, geralmente sem o conhecimento da 
empresa. Elas também fornecem oportunidades de 
recrutamento de fontes internas e as usa para acessar ativos 
corporativos. O chamado golpe do romance, no qual o 
funcionário é persuadido ou ludibriado a compartilhar dados 
confidenciais por um vigarista sofisticado agindo como 
pretendente em um site de relacionamento, provou ser 
particularmente eficaz. Outras estratégias incluem o uso de 
conhecimento obtido através de redes sociais para pressionar 
funcionários: Um chantagista cibernético pode ameaçar deletar 
arquivos de computador ou instalar imagens pornográficas no 
computador de trabalho de uma vítima a não ser que 
informações confidenciais sejam entregues. 
Setembro de 2014 Harvard Business Review 5 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui 
violação de direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
Gerentes no Escuro 
Perguntamos a 80 altos gerentes sobre seu conhecimento de 
ameaças de segurança cibernética interna e acompanhamos 
com estudos de caso aprofundados de incidentes reais. Aqui 
está um resumo do que descobrimos: 
• Gerentes ao redor de todos os países e a maioria das indústrias (bancos 
e empresas de energia são a exceção) são amplamente ignorantes em 
relação a ameaças internas. 
• Eles tendem a ver segurança como o trabalho de outra pessoa - 
geralmente os departamentos de TI. 
• Poucos gerentes reconhecem a importância de observar comportamento 
incomum de funcionário - como visitar sites extremistas ou começar a 
trabalhar em horários estranhos - para obter aviso com antecedência de um 
ataque. 
• Quase dois terços de profissionais de segurança interna e externa acham 
difícil persuadir diretorias dos riscos vinculados ao descuido da questão de 
ameaça interna. 
• Poucos grupos de TI têm orientação em relação a quais ativos de 
informações são os mais críticos, qual nível de risco é aceitável, ou quanto 
deve ser investido para evitar ataques. 
O PERIGO DE DENTRO 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Por Que Eles Fazem Isso 
Inúmeros estudos de caso governamentais e privados estabeleceram 
que fontes internas que conhecidamente participaram de ataques 
cibernéticos tiveram uma ampla variedade de motivações: lucro 
financeiro, vingança, desejo de reconhecimento e poder, resposta a 
chantagem, lealdade a outros na organização, e crenças políticas. 
Um exemplo que ouvimos durante nossa pesquisa foi um ataque de 
2014 por um litigante desdenhado em uma empresa de pequeno porte, 
mas crescente de treinamento virtual. Um gerente da mesma reclamou 
para seu superior sobre a pessoa em questão - um administrador de 
sistemas que estava enviando flores para ele no trabalho e mandando 
mensagens de texto inapropriadas e estava dirigindo pela sua casa 
continuamente. Uma vez claramente rejeitado, o invasor corrompeu o 
banco de dados de vídeos de 
treinamento da empresa e tornou os backups inacessíveis. A 
empresa o demitiu. Mas sabendo que não havia prova de sua 
culpa, ele a chantageou em várias centenas de euros ameaçando 
publicar sua falta de segurança, o que poderia ter danificado um 
futuro IPO. Este incidente custoso - como a maiorias dos outros 
crimes internos - não foram reportados. 
A colaboração de fontes internas com o crime organizado e 
grupos ativistas está se tornando cada vez mais comum. 
Muitos países agora estão operando equipe de resposta às 
emergências de computador (CERTs) para proteger a si 
mesmos contra este e outros tipos de ataque. Um dos 150 casos 
que foram analisados pelo Centro de Ameaça Interna do CERT 
na Carnegir Mellon University para seu relatório de 2012 Foco 
Em: Atividade de Fontes Internas Maliciosas e Crime 
Organizado, 16% tinha ligaçãocom o crime organizado. 
Um caso foi o roubo em 2012 pela gangue russa de detalhes 
de 3,8 milhões de contas bancárias não criptografadas e quase 4 
milhões de declarações fiscais do Departamento de Renda da 
Carolina do Sul. Investigação forense mostrou que o ataque foi 
facilitado por um funcionário que clicou em um link em um 
email, permitindo que a gangue roubasse as credenciais do 
funcionário e acessasse os servidores de dados do estado. 
Monica Whitty, uma psicóloga da University of Leicester e 
membro de nossa equipe, e muitos outros dizem que fontes 
internas que ajudam ou se envolvem voluntariamente em 
ataques cibernéticos sofrem de uma ou mais condições na 
"tríade obscura": Maquiavelismo, narcisismo e psicopatia. 
Comprovando esta visão, um estudo de 2013 da CPNI descobriu 
que invasores internos geralmente têm alguma combinação 
destes traços de personalidade: imaturidade, baixa auto-estima, 
amoralidade ou falta de ética, superficialidade, uma tendência a 
fantasiar, inquietação e impulsividade, falta de conscientização, 
manipulação e instabilidade. 
Roger Duronio, um administrador de sistemas da UBS 
Wealth Management condenado por usar uma "bomba lógica" 
maliciosa para danificar a rede de computadores da empresa em 
2006, mostrou vários destes traços. Duronio estava preocupado 
com a segurança de seu trabalho 
6 Harvard Business Review Setembro de 2014 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui 
violação de direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
PARA RE-IMPRESSÕES DE ARTIGOS, LIGUE PARA 800-988-0886 OU 617-783-7500, OU ACESSE HBR.ORG HBR.ORG 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
e ficou lívido quando recebeu apenas $32.000 do bônus de 
$50.000 que esperava. Então ele encurtou o estoque da 
empresa e armou a bomba. Ela derrubou 2.000 servidores 
em escritórios da UBS nos Estados Unidos; alguns deles não 
puderam operar por várias semanas. A empresa sofreu 
$3,1 milhões de custos diretos e mais milhões de dólares em 
perdas incidentais não divulgadas. Duronio foi condenado a 
97 meses de prisão pelo crime. 
 
Como Pensar No Problema 
O gerenciamento de ameaças à segurança cibernética interna 
é semelhante ao gerenciamento de qualidade e segurança. 
Todos um dia foram responsabilidade de um departamento 
especializado. Mas as organizações não podem mais prever 
todo risco, 
deve ser demitido e processado. Uma primeira violação 
por algo menos sério, como compartilhamento de senhas 
para permitir que colegas de confiança acessem sistemas 
corporativos, pode resultar em um aviso que é incluído 
no registro do funcionário. 
 
 
 
 
 
Práticas Comuns Que Não 
Funcionam 
As proteções de segurança cibernética mais 
comuns são muito menos eficazes contra 
fontes internas que contra fontes externas. 
pois o ambiente de tecnologia é complexo
e está sempre mudando. Assim os líderes e empresas de 
pequeno e grande porte precisam que todos na organização 
estejam envolvidos. Aqui estão cinco passos que devem ser 
tomados imediatamente: 
Adote uma política interna sólida. Esta deve 
abordar o que as pessoas devem fazer ou não devem fazer 
para deter fontes internas que apresentam riscos através 
de descuido, negligência ou erros. A política deve ser 
concisa e fácil para todos - não apenas especialistas em 
segurança e tecnologia - entenderem, acessarem e 
aderirem. As regras devem se aplicar a todos os níveis da 
organização, incluindo a alta gerência. Um quadro 
fornecido pelo Estado de Illinois é um modelo. Aqui está 
um link do mesmo: 
www.illinois.gov/ready/SiteCollectionDocuments/ 
Cyber_SOSSamplePolicy.pdf 
Os funcionários devem receber ferramentas para ajudá-
los a aderirem à política. Por exemplo, sistemas podem ser 
projetados para sinalizar uma mensagem de alerta na tela 
quando alguém tentar logar em um subsistema que contém 
materiais confidenciais. O sistema pode perguntar se a 
pessoa está autorizada a estar lá e registrar e rastrear 
aqueles que não estão. 
Violações à política devem incorrer em penalidades. 
Obviamente, um funcionário que cometer uma violação grave 
como vender dados pessoais de clientes ou conscientemente 
inserir malware nos sistemas da empresa 
CONTROLES DE ACESSO 
Regras que proíbem as pessoas de usar 
dispositivos corporativos para tarefas pessoais 
não irá evitar que elas roubem ativos. 
 
GESTÃO DE VULNERABILIDADE 
Patches de segurança e verificadores de vírus 
não evitarão ou detectarão o acesso por 
funcionários ou terceiros autorizados mal 
intencionados usando credenciais roubadas. 
 
ALTA PROTEÇÃO DE DELIMITAÇÃO 
Colocar ativos críticos dentro de perímetro 
dificultado não evitará roubo por aqueles 
autorizados a acessar os sistemas protegidos. 
 
POLÍTICA DE SENHA 
Exigir senhas complexas ou sua alteração 
frequente significa que elas podem acabar em 
post-it - acesso fácil para alguém com acesso 
físico. 
 
PROGRAMAS DE CONSCIENTIZAÇÃO 
Apenas requerer que funcionários leiam a 
política de segurança de TI da empresa 
anualmente não conferirá magicamente 
conscientização cibernética a eles. Nem 
irá prevenir que membros da equipe tomem 
ações danosas. 
Setembro de 2014 Harvard Business Review 7 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui 
violação de direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
O PERIGO DE DENTRO 
 
 
 
 
 
 
O Que Você Pode Fazer? 
Algumas das atividades mais importantes 
que líderes não tecnológicos devem pedir 
para seus departamentos de TI são: 
• monitorar todo o tráfego para fora das redes da 
empresa via internet ou mídia portátil, e 
prontamente reportar qualquer coisa incomum ou 
que viole a política 
• estar atualizado com as melhores práticas para 
apoiar a estratégica e política de segurança 
cibernética 
• implementar rigorosamente procedimentos e 
protocolos de defesa de rede que levem em conta 
as prioridades operacionais dos negócios 
• atualizar efetivamente contas de usuários para 
garantir que os funcionários nunca tenham mais 
acesso a sistemas de computador confidenciais 
que o absolutamente necessário 
• fazer avaliações de ameaça frequentes e instruir a 
liderança da empresa sobre elas 
 
 
 
 
Você também deve ajudar os funcionários a entender 
como conduzir tarefas do dia a dia com segurança. A política 
deve ser reforçada regularmente com sessões de informações 
e campanhas de comunicações internas, que podem incluir 
cartazes no local de trabalho. Algumas empresas exibem 
vídeos demonstrando como violações da política podem 
permitir ataques cibernéticos e como práticas mais seguras 
podem preveni-los. 
Conscientizar. Esteja ciente das ameaças possíveis 
para que as pessoas possam detectá-las e ficar a postos contra 
qualquer um que tente conseguir sua assistência em um 
ataque. Personalize treinamento para levar em conta quais 
tipos de ataques os funcionários em uma operação particular 
podem encontrar. Phishing é uma maneira comum de 
conseguir acesso: E-mails falaciosos ludibriam funcionários a 
compartilhar detalhes pessoais ou acessar códigos ou clicar 
em um link que baixe malware. (Muitas pessoas não 
percebem que é fácil falsificar o endereço do remetente em 
um e-mail.) É possível testar a vulnerabilidade de sua equipe 
para estes ataques - tanto por conta própria ou empregando 
serviço de segurança externo. 
Mesmo assim, pode ser difícil defender fontes internas 
contra uma determinada fonte externa. Em abril de 2013, uma 
empresa multinacional francesa foi objeto de 
um ataque esperto. Uma assistente administrativa do vice-
presidente recebeu um e-mail que mencionava uma fatura em 
um serviço de compartilhamento de arquivo baseado nanuvem. Ela teve o bom senso de não abrir o arquivo, mas 
minutos depois ela recebeu um telefonema de alguém que 
convencidamente afirmou ser outro vice-presidente da 
empresa e a instruiu a baixar e processar a fatura. Ela 
obedeceu. A fatura continha um Trojan de acesso remoto que 
permitiu que a empresa criminosa aparentemente baseada na 
Ucrânia tomasse controle de seu PC, registrar o que ela 
teclava, e roubar propriedade intelectual da empresa. 
Encorajar os funcionários a reportar tecnologias (por 
exemplo, um disco rígido portátil em um escritório onde os 
funcionários normalmente acessam dados e software pela 
rede) e comportamento (um funcionário ou fornecedor não 
autorizado pedindo arquivos de dados confidenciais) 
incomuns ou proibidos, como eles reportariam bagagem 
abandonada em um saguão de partida no aeroporto. 
Preste atenção em ameaças quando estiver 
contratando. É mais 
crítico que nunca usar processos de triagem e técnicas de 
entrevista designadas a avaliar a honestidade de potenciais 
contratos. Exemplos incluem verificações de histórico 
criminal, procurar por deturpação em currículos, e fazer 
perguntas que sondem diretamente o direcionamento moral 
de um candidato. Nossa equipe está desenvolvendo testes que 
permitirão que funcionários determinem se os prováveis 
funcionários têm traços de personalidade perigosos como 
aqueles identificados pelo CPNI. 
Durante o processo de entrevista, você também deve 
avaliar a conscientização de segurança cibernética. O 
candidato sabe o que é uma ameaça interna? Quando ele 
pode compartilhar senhas com um membro da equipe? Sob 
quais circunstâncias ele pode permitir que membros da 
equipe usem seu computador como ele? Se os candidatos 
forem fortes em todas as maneiras, você pode ir em frente e 
contratá-los, mas certifique-se que eles sejam imediatamente 
treinados nas políticas e práticas de sua organização. Se 
alguém estiver sendo considerado para um trabalho em 
ambiente altamente confidencial, no entanto, você deve 
pensar com cuidado sobre trazê-lo/a a bordo. 
Utilize processos rigorosos de sub-contratação. 
Como a violação da Target demonstra, você deve garantir que 
seus fornecedores e distribuidores não o coloquem em risco - 
por exemplo, minimizando a possibilidade de alguém em um 
provedor de TI externo criar uma backdoor para seus 
sistemas. Se o risco de falha ou violação de um fornecedor for 
muito menor que a sua, ele não pode adotar os controles que 
você requer. Procure parceiros e fornecedores que tenham o 
mesmo apetite por risco e cultura que sua organização, o que 
8 Harvard Business Review Setembro de 2014 
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até fevereiro de 2017. A cópia ou publicação constitui 
violação de direitos autorais. 
Permissions@hbsp.harvard.edu ou 617.783.7860 
 
D
E
S
E
N
H
O
: J
O
H
N
 
C
A
LD
W
E
LL
 
PARA RE-IMPRESSÕES DE ARTIGOS, LIGUE PARA 800-988-0886 OU 617-783-7500, OU ACESSE HBR.ORG 
 
 
 
tornará uma abordagem comum para segurança 
cibernética muito mais provável. 
Pergunte a potenciais fornecedores durante 
discussões pré-contratuais como eles gerenciam risco 
relacionado a fontes internas. Se você os contratar, 
audite-os regularmente para ver se suas práticas são 
genuinamente mantidas. Deixe claro que você conduzirá 
as auditorias, e estipule o que elas envolverão. Uma 
empresa pode requerer dos fornecedores os mesmos 
controles que ela mesma usa: triagem de registros 
criminais de funcionários, verificação dos históricos de 
emprego verdadeiros dos candidatos, monitoramento de 
acesso a seus dados e aplicativos para atividade não 
autorizada, e prevenção de intrusos entrando em 
dependências físicas sensíveis. 
Monitore os funcionários. Deixe-os saber que 
você pode e irá observar sua atividade cibernética na 
medida permitida pela lei. Você não pode se dar o luxo 
de deixar a segurança cibernética totalmente com 
especialistas; você deve se conscientizar diariamente 
do que está saindo dos seus sistemas, bem como do 
que está entrando. Que significa requerer que equipes 
de segurança ou provedores de serviço produzam 
avaliações de risco regulares, que devem incluir as 
fontes de ameaças, funcionários ou redes vulneráveis, 
e as possíveis consequências se um risco se tornar 
uma realidade. Você também deve medir os 
comportamentos de redução de risco, como tempos 
de resposta a alertas. 
Geralmente roteadores e firewalls podem 
monitorar canais de saída, mas você deve garantir que 
a funcionalidade esteja ativada. Se você não tem o 
equipamento para monitorar o tráfego de saída, 
compre-o. Você também deve registrar e monitorar 
outros meios de exfiltração - pendrives USB e outras 
mídias de armazenamento portátil, impressoras, e 
outros - através de verificações aleatórias, pesquisas 
tipo de aeroporto de pessoas entrando e saindo de seu 
prédio. (General Electric e Wipro usam estes em 
Bangalore.) 
Para o monitoramento ser eficaz, você deve gerenciar 
diligentemente os privilégios de todos os funcionários - 
incluindo aqueles nos mais altos níveis de acesso aos 
sistemas da empresa, que são geralmente os instigadores 
de ataques internos. Reduza sua lista de usuários mais 
privilegiados regularmente - e então observe os que 
permanecem para verificar se eles merecem sua 
confiança. Procure sistemas de detecção de ameaça 
interna que possam prever eventos possivelmente 
evitáveis, bem como encontrar eventos que já ocorreram. 
Big data pode ser útil para ligar pistas e fornecer avisos. 
Software de detecção de malware pode ser útil. 
Particularmente em colaborações externas-internas, um 
passo chave inicial é introduzir o malware na rede. 
Quando você encontrar o malware, considere que ele 
pode ser parte de um ataque interno: uma análise de 
como o malware está sendo usado pode fornecer pistas 
para a identidade e objetivos mais amplos do invasor. 
O monitoramento neste grau aumentará a carga de 
trabalho de todos, mas compensará construindo a 
resiliência e reduzindo o risco de sua empresa. 
 
A estratégia MAIS EFICAZ para neutralizar uma ameaça 
cibernética apresentada por invasores é usar tecnologias 
de proteção disponíveis e consertar os pontos fracos 
nelas, mas focar principalmente em fazer com que todas 
as fontes internas se comportem de maneira que 
mantenha a empresa segura. As pessoas precisam saber 
quais comportamentos são aceitáveis ou inaceitáveis. 
Lembre-os que a proteção da organização também 
protege seus trabalhos. 
Re-impressão HBR R1409G 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
"Sinto muito por vê-lo partir, Doug. Você nos deixa com uma grande 
responsabilidade." 
Setembro de 2014 Harvard Business Review 9