Ataques internos: o desafio da proteção contra o fator humano dentro de empresas

Por Rafael Romer | 15 de Setembro de 2016 às 01h27

Além da preocupação com ciberataques vindos de fora do ambiente corporativo, cada vez mais empresas têm voltado sua atenção para a proteção de seus sistemas de ameaças vindas de seus próprios colaboradores.

Os chamados "ataques internos" possuem diferentes motivações, desde o desejo de vingança de um funcionário que possa ter se sentido prejudicado pela empresa até o roubo premeditado de informações sigilosas para venda posterior, mas geralmente envolvem prejuízos financeiros e de negócio graves para as companhias.

Só nos últimos 12 meses, por exemplo, a consultoria Gartner viu um aumento de cerca de 70% no número de consultas de clientes sobre como lidar com ataques internos — um fenômeno que tem sido estimulado através do uso da Deep Web para o recrutamento de colaboradores dispostos a sabotar as próprias companhias onde trabalham.

Combater esse tipo de ameaça, no entanto, vai além da simples implementação de tecnologia, e exige a formação de mais profissionais capacitados para a proteção de sistemas contra pessoas.

Nos Estados Unidos, a George Mason University (GMU) foi uma das instituições pioneiras na criação um curso de bacharelado focado em cibersegurança como um todo, não só na tecnologia, após identificar uma demanda do mercado por profissionais capacitados também no aspecto humano da segurança.

"As empresas reclamavam que engenheiros formados entendiam de tecnologia, mas não resolviam esses problemas", comentou o professor titular da GMU, Paulo Cesar Costa, durante um debate sobre o desafio humano da cibersegurança no congresso de segurança It-Sa Brasil. "O que faltava era a visão sistêmica de negócio, entender o fator humano e qual o impacto do fator cultural". Neste ano, o curso já deve formar 250 alunos. "A demanda é muito grande", avalia.

Já no Brasil, o problema da formação desta mão-de-obra persiste. O país não tem hoje um curso de graduação dedicado ao tema e a demanda por profissionais de segurança é muito maior do que a quantidade de engenheiros saindo de universidades.

Para contornar a situação, diversas companhias focam na implementação de políticas que tentam mitigar essas ameaças. A Ambev é uma destas companhias, implementando políticas restritas para coibir ataques internos e vazamento de informações a partir de funcionários. Em média, a companhia detecta cerca de 1,1 mil incidentes do tipo por mês em toda sua operação.

O processo tem início desde a entrada de um novo colaborador na empresa, com a assinatura de termos de responsabilidade, mas inclui também o monitoramento de postagens públicas de funcionários em redes sociais e de e-mails trocados por usuários corporativos — que são considerados ativos da companhia pela legislação brasileira, por isso, passíveis de controle pela empresa.

Para executivos em posições estratégicas, o monitoramento também é restrito: testes de perfil psicológico são aplicados em candidatos a posições de confiança dentro da companhia e gestores recebem escores anuais de acordo com o desempenho de práticas por parte de seus funcionários diretos.

“É um processo contínuo dentro da companhia, desde a entrada do funcionário e durante seu percurso", explicou Paulo Yukio, oficial de segurança da informação da Ambev. "A gente não consegue blindar 100 por cento, mas conseguimos ter um pouco mais de gestão na mão para saber exatamente quem pode ser a fonte [de uma ameaça]".

Canaltech no Facebook

Mais de 370K likes. Curta nossa página você!