Dormindo com o inimigo: o risco das ameaças internas

O filme foi um sucesso. Para quem não viu, trata-se de um longa-metragem da década de 1990 estrelado por Julia Roberts. E a expressão ficou cunhada no mundo corporativo. Mas o que quer dizer estar “dormindo com o inimigo” no ambiente profissional? E o que isso tem a ver com cybersecurity? Eu explico. Significa que ou estamos sendo muito inocentes, negligentes ou profissionalmente ludibriados. Agora, vamos entender o paralelo com a gestão de segurança da informação, olhando para as ameaças internas vivenciadas nas empresas.

Neste contexto, vamos entender ameaças internas como o uso descuidado ou negligente por um colaborador ou terceiro de recursos da empresa; um criminoso atuando dentro da empresa ou um roubo efetivo de credenciais. Talvez agora com esta definição comece a ficar mais fácil entender porque falamos em “dormindo com o inimigo”. Detectar ameaças internas é uma tarefa bastante difícil porque tipicamente esta atividade maliciosa opera por meio de credenciais legítimas e com seus próprios privilégios.

Ameaças internas podem resultar em incidentes de segurança que em muitos casos são atividades bastantes conhecidas. Veja alguns exemplos:

• O funcionário recém-demitido que usa sua credencial para copiar e exfiltrar dados ou propriedade intelectual da empresa. 
• Um colaborador que clica em um e-mail malicioso e potencialmente expõe a empresa a um ransomware que leva ao sequestro de dados. 
• Um desenvolvedor que sobe um banco de dados na nuvem sem seguir os protocolos de segurança e expõe os dados da empresa à internet pública.

Estes e muitos outros casos constituem situações em que indivíduos privilegiados, com acesso aos recursos da empresa potencialmente materializaram os riscos internos.

E qual a relevância de uma ameaça interna dentro do contexto empresarial? Um bom indício é o que vemos na “2020 Cost of Insider Threats Global Report” do Ponemon Institute: em uma ampla pesquisa com organizações com mais de 1.000 colaboradores, verificou-se que o custo provocado por estas ameaças cresceu 31% de 2018 a 2020 e o número de incidentes de segurança em 47% neste mesmo período. Estamos falando de um custo médio de 11,5 milhões de dólares por ano para cada organização pesquisada. Mais do que muitas empresas investem em cybersecurity anualmente.

O que fazer?

O dever de diligência, precípuo ao cargo de conselheiro, CEO ou diretor estatutário de uma empresa deveria ser suficiente para, neste momento, deixar o administrador sensibilizado para a criação de um programa robusto de segurança da informação. Este programa pode evitar situações como as descritas e, ainda, em caso de incidentes pode garantir uma resposta rápida e efetiva a crise, minorando as perdas da empresa.

Se isso ainda não for suficiente, vamos olhar de novo os dados que a pesquisa do Ponemon Institute nos revela. Ao olharmos para a origem destes incidentes outro número que salta aos olhos é que 62% das questões de segurança da informação têm na sua origem a negligência – fator mais controlável. Um criminoso atuando dentro da empresa corresponde a 23% dos incidentes e 14% tem origem em credenciais roubadas, segundo o Ponemon.

E quais são os sinais de que sua organização está em risco? Podemos enumerar aqui alguns.

1. Os funcionários não são treinados para entender e aplicar leis, normativas ou políticas de segurança da informação que mitiguem os riscos da empresa.

2. A empresa em si, não possui uma política e um programa que garanta o controle de que os dispositivos usados pelos colaboradores ou terceiros estejam sempre protegidos, sejam eles pertencentes à empresa ou pessoais (BYOD).

3. É permitido ou não é controlado que colaboradores ou terceiros enviem dados altamente confidenciais para ambientes inseguros.

4. A organização é complacente quando um colaborador “fura” a política de segurança para pegar um atalho e simplificar uma tarefa (geralmente fora do prazo).

5. A aplicação de patch e seu devido controle é frágil na empresa, expondo-a desnecessariamente a vulnerabilidades conhecidas que podem ser exploradas por um atacante interno. Reforço este ponto por ser básico de qualquer programa de segurança e ainda muito pouco endereçado pelas companhias brasileiras.

6. A detecção de ameaças internas é um trabalho que reúne o bom uso de tecnologias comportamentais, visibilidade ampliada do uso dos dados da organização e mesmo dos dados e credenciais já exfiltrados, somado a processos bem estabelecidos e fielmente executados, além de um excelente programa de treinamento de colaboradores e de terceiros. 

Como se vê, não é tarefa fácil e, portanto, requer apoio e patrocínio do board, equipes dedicadas e competentes, além de parceiros de confiança. Ninguém dorme inseguro e acorda seguro. Segurança da informação é uma jornada que acompanha a vida da empresa e cada dia mais e mais companhias entendem cybersecurity como um elemento fundamental de competitividade.