Como mitigar ameaças internas: estratégias para pequenas empresas

Como mitigar ameaças internas: estratégias para pequenas empresas

A maioria das conversas sobre cibersegurança se concentra em ameaças externas — hackers e cibercriminosos que usam malware, ransomware e vírus para invadir a organização e roubar dados ou paralisar as operações. Mas e os riscos de dentro da empresa? Como proteger seu negócio de funcionários, fornecedores ou prestadores de serviços não autorizados que já têm acesso aos seus sistemas e dados?

Neste artigo, vamos analisar mais de perto as ameaças internas: o que são, como identificá-las e as medidas que você pode tomar para proteger melhor sua empresa contra essa séria ameaça.

O que é uma ameaça interna?

Uma ameaça interna é um risco de cibersegurança trazido por uma pessoa de dentro da organização. Essa pessoa pode ser um funcionário atual ou um ex-funcionário, um fornecedor, prestador de serviços, freelancer ou qualquer pessoa que tenha acesso à rede de computadores, sistemas ou dados da empresa.

As ameaças internas podem ser divididas em duas categorias principais, de acordo com a intenção da pessoa responsável:

1. Maliciosa: uma ameaça na qual uma pessoa tenta, de forma ativa e deliberada, prejudicar a empresa. Normalmente, esses ataques são motivados por desejo de ganho financeiro ou vingança. Por exemplo, um vendedor que acredita ter sido tratado injustamente pode roubar uma lista de clientes potenciais e fazer uso pessoal dessas informações em uma nova função ou vendê-las para um concorrente.
2. Negligência: uma ameaça na qual um indivíduo cria um risco à segurança de forma não intencional, por descuido ou falta de bom senso. Exemplos comuns de ameaças internas por negligência incluem: perder ou extraviar um dispositivo da empresa; ignorar notificações de atualização de segurança do computador; acessar ou discutir dados confidenciais em locais públicos; e não verificar a identidade dos visitantes das instalações. Embora essas ações não sejam intencionais, as consequências podem ser tão graves quanto as de um ator malicioso.

Por que as ameaças internas são difíceis de detectar?

As ameaças internas estão entre as ameaças de cibersegurança mais difíceis de detectar e prevenir. Isso se deve a dois motivos principais:

1. A maioria das ferramentas e soluções de segurança se concentra na identificação e prevenção de ameaças externas. Além disso, elas não são criadas para detectar comportamentos suspeitos de usuários aprovados.
2. Muitos atores internos conhecem as configurações de rede, as políticas e os procedimentos de segurança da organização, o que facilita passarem despercebidos. Eles também podem ter conhecimento de vulnerabilidades, falhas de segurança ou outras deficiências que podem ser exploradas.

Três ameaças internas comuns para PMEs

Qualquer número de pessoas pode causar ameaças internas. Nesta seção, analisaremos mais detalhadamente como as ameaças internas podem se manifestar dentro de uma empresa.

1. Funcionários negligentes ou desmotivados

O erro humano é um denominador comum em muitos ataques de cibersegurança, incluindo ataques internos.

Como definimos acima, uma ameaça interna por negligência ocorre devido a erro humano, descuido ou manipulação. Como essas ameaças não envolvem pessoas agindo de má-fé, praticamente qualquer pessoa — até mesmo os líderes da empresa — pode ser a origem de um ataque se compartilhar inadvertidamente dados confidenciais, usar senhas fracas, instalar apps não aprovados, extraviar materiais confidenciais ou ser vítima de um ataque de engenharia social.

Em geral, os incidentes internos por negligência fazem parte de um ciberataque maior, que pode envolver malware, ransomware ou phishing. Muitos desses ataques exploram as emoções humanas e simulam autoridade ou uma situação de urgência ao exigir redefinição de senhas ou o envio de arquivos importantes, para aumentar a probabilidade de o indivíduo responder. Embora essas técnicas possam parecer óbvias depois de um ataque, é importante lembrar que os cibercriminosos são muito bons no que fazem e extremamente persistentes. Eles trabalharão incansavelmente até encontrarem uma brecha para explorar.

2. Atividade maliciosa

Conforme mencionamos acima, um ataque interno malicioso é um evento planejado, geralmente liderado por um funcionário atual ou um ex-funcionário insatisfeito. Em muitos casos, esses incidentes fazem parte de uma atividade criminosa mais ampla e complexa, como fraude, espionagem ou roubo de dados. Embora um funcionário malicioso possa agir sozinho, ele também pode ser vítima em certa medida, uma vez que muitos funcionários são alvos de campanhas de chantagem ou extorsão realizadas por grupos ciberterroristas, agências governamentais estrangeiras ou outras entidades hostis.

As ameaças internas maliciosas geralmente envolvem:

• Compartilhamento, venda, modificação ou exclusão de dados confidenciais ou informações sigilosas
• Uso indevido ou compartilhamento do acesso ao sistema ou de credenciais de login
• Alterações no ambiente de TI para permitir que outros entrem ou permaneçam escondidos

Embora qualquer empresa possa ser vítima de um funcionário mal-intencionado, isso é um pouco menos comum no setor de pequenas empresas, já que a força de trabalho tende a ser menor e mais integrada do que em organizações maiores. Isso pode facilitar a identificação de sinais de alerta ou atividades incomuns, como solicitações injustificadas de acesso a determinados sistemas ou arquivos, que podem passar despercebidas em organizações maiores, já que muitos gerentes de TI não conhecem as funções e responsabilidades de todos os funcionários. Dito isso, prevenir ameaças maliciosas é uma questão importante, especialmente se sua empresa lida com dados de clientes, incluindo registros de saúde ou informações financeiras, ou possui segredos comerciais importantes ou propriedade intelectual que requerem um alto nível de proteção.

3. Fornecedores terceirizados

Outro risco comum para pequenas empresas reside em sua rede de terceirizados. Empresas que terceirizam tarefas e funções comuns, como contabilidade, administração, TI ou mesmo serviços de limpeza, podem inadvertidamente introduzir um novo nível de risco, uma vez que essas pessoas acessam dados, redes e serviços da empresa durante seu trabalho.

Além disso, contratados, freelancers, fornecedores ou parceiros geralmente não são submetidos aos mesmos programas de treinamento e desenvolvimento que os funcionários internos recebem para aprender a identificar e prevenir riscos. Isso pode aumentar ainda mais a possibilidade de um ataque interno por negligência. Por fim, indivíduos na rede ampliada da organização podem ser mais propensos a agir de forma maliciosa se não estiverem comprometidos com o sucesso da empresa e/ou acharem que seus esforços passarão despercebidos por serem considerados funcionários não tradicionais.

Como as pequenas empresas podem mitigar as ameaças internas?

Proteger a empresa contra ameaças internas é uma parte importante de qualquer estratégia de cibersegurança. Neste artigo, analisamos algumas medidas específicas que as empresas podem adotar para reduzir o risco de ameaças internas.

Desenvolva uma cultura de conscientização e priorização da cibersegurança

Como muitas ameaças internas em pequenas empresas são, na verdade, resultado de negligência, uma das maneiras mais eficazes de combater esse problema é criando uma cultura de conscientização sobre cibersegurança. Isso não só ajudará as pessoas a reduzir a probabilidade de cometerem erros comuns e comportamentos irresponsáveis, como também facilitará que identifiquem atividades maliciosas em outras pessoas. Existem quatro maneiras de fazer isso:

1. Ofereça um treinamento abrangente sobre cibersegurança para os funcionários

A criação de uma cultura de cibersegurança começa com a educação. As pessoas não podem se proteger nem proteger seus negócios de riscos que elas não conhecem. Para isso, as empresas devem desenvolver um programa de treinamento robusto que ajude as pessoas a cumprir políticas de segurança e identificar atividades de risco.

O programa de treinamento em cibersegurança deve incluir os seguintes elementos:

• Entendimento das ameaças comuns à cibersegurança, como malware, phishing e outros ataques de engenharia social.
• Prevenção de ataques de senha e roubo de credenciais por meio da definição de senhas que sejam fortes, complexas, difíceis de adivinhar ou quebrar, e da troca regular dessas senhas.
• Proteção dos dados contra perda, roubo ou uso indevido por meio de criptografia e realização de backups regulares.
• Proteção de dispositivos móveis, incluindo dispositivos pessoais, por meio da instalação e atualização das ferramentas de segurança fornecidas pela organização.
• Diretrizes sobre quais atividades são aceitáveis para funcionários que acessam redes sociais em dispositivos da empresa e pela rede corporativa. Isso ajuda a reduzir o risco de ataques de engenharia social, já que muitos cibercriminosos coletam informações pelas redes sociais para realizar ataques personalizados e bem direcionados.
• Desenvolvimento de módulos e lições de treinamento personalizáveis, adaptados a públicos específicos, como gerentes, equipe de TI, trabalhadores remotos, fornecedores e contratados.

2. Estabeleça e aplique políticas de cibersegurança

Grande parte do programa de treinamento de funcionários tem como base o que a organização considera um uso seguro e aceitável. Outra parte importante da criação de uma cultura de segurança é estabelecer e aplicar as políticas de cibersegurança da empresa. Algumas políticas podem incluir:

• Documentação de quais softwares, programas e fontes da internet estão na whitelist, ou seja, podem ser usados pelos funcionários da organização.
• Diretrizes claras sobre como, quando e onde funcionários e fornecedores podem usar dispositivos ou redes corporativas, bem como dispositivos pessoais em redes corporativas e para fins profissionais.
• Protocolos claros sobre como gerenciar e usar dados sensíveis, bem como as medidas a serem adotadas ao compartilhar esses dados, mesmo dentro da organização.
• Declaração explícita de quais atividades são estritamente proibidas. Por exemplo, a empresa quase sempre deve ter uma política contra a instalação de softwares ou apps não licenciados ou não aprovados.
• Criar uma política de trabalho remoto que inclua as medidas que o indivíduo deve adotar para proteger sua rede pessoal e todos os dispositivos pessoais que utilizam a mesma rede, incluindo aqueles usados por membros da família e qualquer dispositivo doméstico que utilize a tecnologia IoT (Internet of Things, Internet das Coisas).

3. Adote programas de incentivo para a conscientização sobre cibersegurança

Para algumas empresas, pode ser útil incentivar a adesão às políticas de cibersegurança, por exemplo, com a oferta de pequenas recompensas pela conclusão de treinamentos, aprovação em testes de conhecimento, cumprimento dos protocolos adequados em caso de ataque simulado ou denúncia de comportamento suspeito. Essa "gamificação" da segurança ajuda a criar uma cultura de segurança mais envolvente e também a garantir que a segurança permaneça uma prioridade para os funcionários.

4. Implemente um rigoroso processo de desligamento

Como muitas ameaças internas maliciosas são promovidas por ex-funcionários, é importante agir rapidamente para encerrar as contas e o acesso dos funcionários assim que eles deixam a empresa. Isso reduz significativamente qualquer risco representado por funcionários insatisfeitos ou que tenham se demitido.

Como parte do processo de desligamento, também pode ser prudente instruir os demais membros da organização a não tratarem de assuntos profissionais com essa pessoa. Por exemplo, um ex-funcionário pode pedir que antigos colegas de equipe reativem sua conta para que ele possa pegar arquivos ou e-mails que sirvam como exemplos de trabalho ou arquivos pessoais que ele acidentalmente deixou para trás. Os funcionários atuais não devem responder a esses pedidos e devem encaminhá-los a um gerente ou supervisor para resolução. Em hipótese alguma a conta de um ex-funcionário deve ser restabelecida ou reativada, mesmo que o pedido venha de um funcionário de alto escalão.

Faça um monitoramento proativo

Assim como em muitos ciberataques, é vital identificar as ameaças internas o mais cedo possível. Ferramentas de monitoramento de alta tecnologia, que utilizam inteligência artificial (IA) e machine learning (ML), podem ajudar as empresas a detectar sinais precoces de um ataque com base em desvios dos padrões de uso.

Embora as ferramentas de monitoramento possam ser um grande ativo para as empresas, elas exigem tempo e atenção consideráveis para serem configuradas e calibradas corretamente. Por essa razão, é importante trabalhar com um parceiro de cibersegurança confiável para identificar as ferramentas e tecnologias ideais de acordo com as necessidades da empresa e implementá-las corretamente.

1. Identifique e priorize eventos rapidamente

Outra ação que seu parceiro de cibersegurança pode facilitar é a priorização dos esforços de resposta a incidentes. Embora alguns indicadores — como logins frequentes fora do horário de expediente — possam ser sinal de que há um funcionário mal-intencionado na empresa, esses logins podem simplesmente estar sendo feitos por um funcionário que está se preparando para uma reunião importante ou que está trabalhando em horários incomuns devido a circunstâncias pessoais, como um filho doente.

Para isso, alguns fornecedores de cibersegurança podem ajudar os clientes a criar classificações de risco individuais para os funcionários. Essa classificação leva em consideração diversos fatores, como função, atividade online, nível de acesso e outros quesitos, para determinar o nível de risco que cada pessoa representa para a empresa. Isso é extremamente útil quando se trata de priorizar os esforços de investigação e resposta a ameaças internas.

2. Preste atenção aos indicadores de ameaças internas

Uma das maneiras mais eficazes de reduzir o risco de ataques internos é monitorar o comportamento dos funcionários em busca de indicadores de ameaças conhecidos. Alguns sinais de alerta incluem:

• Uso de um novo dispositivo pessoal não autorizado, como um telefone ou notebook, sem a devida orientação do departamento de TI.
• Envio de solicitações de acesso a unidades de disco, documentos ou aplicativos dos quais o funcionário não precisava anteriormente.
• Demonstração de interesse recente ou incomum em ferramentas, políticas ou procedimentos de segurança da empresa.
• Trabalho em horários irregulares ou incomuns, seja remotamente ou presencialmente.
• Contribuição para picos no tráfego de rede, que podem indicar um download ou transferência de dados.

Mantenha uma boa higiene de TI

Por fim, assim como em outros tipos de ataque, a prática de uma boa higiene de TI contribui significativamente para proteger a empresa contra ameaças internas e para dissuadir potenciais atores mal-intencionados.

1. Faça backup dos dados continuamente

Como os comprometimentos de dados podem interromper significativamente as operações comerciais, é importante fazer backups regulares de todos os dados confidenciais e sistemas críticos para garantir a continuidade em caso de ataque.

Organizações que possuem grandes volumes de dados podem contratar um parceiro de cibersegurança para desenvolver um programa personalizado de DLP (data loss prevention, prevenção contra perda de dados). A DLP faz parte da estratégia geral de segurança da empresa, que se concentra na detecção e prevenção de perda, vazamento ou uso indevido de dados por qualquer meio, inclusive por funcionários.

2. Limite o acesso a dados sensíveis

Os funcionários devem ter acesso apenas aos dados e sistemas necessários para desempenhar suas funções. De forma geral, as organizações devem fornecer o menor nível de acesso possível no momento da integração do novo funcionário, e adicionar privilégios somente quando necessário. É importante também avaliar regularmente os direitos de acesso de um funcionário e remover quaisquer direitos que não sejam mais necessários para o desempenho das funções dele. Isso não apenas limita a possibilidade de roubo ou uso indevido de dados, mas, em caso de violação ou ataque, reduz o número de contas que precisam ser investigadas.

3. Atualize o software frequentemente para impedir que invasores explorem vulnerabilidades

Outra forma extremamente eficaz de proteger constantemente a organização contra ciberataques de todos os tipos é manter todos os sistemas operacionais e softwares atualizados. Isso não apenas protege dispositivos, sistemas e redes de forma abrangente, mas também limita as vulnerabilidades que os invasores podem tentar explorar durante um ataque.

Embora as equipes de TI devam seguir protocolos e cronogramas específicos de atualização e correção de software, essa informação não precisa ser compartilhada com a força de trabalho em geral. Na verdade, é prudente manter os planos de atualização da organização, assim como suas medidas de segurança, restritos apenas àqueles que são responsáveis por lidar com essas tarefas ou questões.

Priorize a satisfação dos funcionários

Como muitas pequenas empresas podem não ter orçamento para investir em ferramentas e serviços específicos de detecção de ameaças internas, uma das melhores formas de proteger o negócio é promover um ambiente de trabalho positivo e acolhedor.

Quando os funcionários se sentem apoiados e respeitados, é muito menos provável que queiram prejudicar ativamente a empresa. Além disso, quando se sentem incluídos no futuro da empresa, é mais provável que sigam medidas para ajudar a impulsionar o crescimento dela e protegê-la de atividades maliciosas.

Embora as empresas não possam garantir uma experiência positiva para todas as pessoas, algumas medidas claras podem ser adotadas para ajudar a criar um ambiente de trabalho mais justo e equitativo. Isso pode incluir:

• Realizar um ou mais ciclos formais de avaliação de desempenho.
• Promova regularmente reuniões presenciais entre todos os funcionários e seus gerentes para identificar problemas e criar uma cultura de responsabilidade.
• Estabeleça canais claros pelos quais os funcionários possam comunicar preocupações e problemas sem medo de represálias.
• Incentive os funcionários a aproveitar férias e feriados.
• Ajude os funcionários a alcançar um equilíbrio saudável entre vida profissional e pessoal.

Que tal experimentar o CrowdStrike? Experimente o Falcon Go gratuitamente por 15 dias e proteja sua pequena empresa contra ransomware, malware e outros ciberataques sofisticados.

Experimente gratuitamente