O que é uma Ameaça Interna?

Ameaça interna definida

Antes de os internos se tornarem uma ameaça, eles são um risco, que é definido como o potencial de uma pessoa usar o acesso autorizado aos ativos da organização – de forma maliciosa ou não intencional – de uma forma que afete negativamente a organização. O acesso inclui acesso físico e virtual, e os ativos incluem informações, processos, sistemas e instalações.

O que é um interno?

Um interno é um indivíduo de confiança que recebeu acesso ou tem conhecimento de quaisquer recursos, dados ou sistemas da empresa que geralmente não estão disponíveis ao público, incluindo:

• Pessoas que possuem um crachá ou outro dispositivo que lhes permita acessar continuamente a propriedade física da empresa, como um data center ou sede corporativa.
• Pessoas que possuem um computador da empresa com acesso à rede.
• Pessoas que têm acesso à rede corporativa, recursos de nuvem, aplicativos ou dados de uma empresa.
• Pessoas que têm conhecimento sobre a estratégia de uma empresa e suas finanças.
• Pessoas que constroem os produtos ou serviços da empresa.

Tipos de ameaças internas

Os riscos internos são mais difíceis de detectar do que as ameaças externas porque os internos já têm acesso aos ativos de uma organização e estão familiarizados com as suas medidas de segurança. Conhecer os tipos de riscos internos ajuda as organizações a proteger melhor os ativos valiosos.

• Acidente

Às vezes, as pessoas cometem erros que podem levar a possíveis incidentes de segurança. Por exemplo, um parceiro de negócios envia um documento com dados de clientes a um colega, sem perceber que não está autorizado a exibir essas informações. Ou um funcionário responde a uma campanha de phishing e inadvertidamente instala malware.

• Malicioso

Em um incidente de segurança malicioso causado por alguém interno, um funcionário ou pessoa de confiança faz intencionalmente algo que sabe que afetará negativamente a empresa. Esses indivíduos podem ser motivados por queixas pessoais ou outras razões pessoais e podem procurar ganhos financeiros ou pessoais através das suas ações.

• Negligência

A negligência é semelhante a um acidente, pois a pessoa não teve a intenção de causar um incidente de segurança de dados. A diferença é que eles podem violar conscientemente uma política de segurança. Um exemplo comum é quando um funcionário permite que alguém entre em um prédio sem mostrar crachá. Um equivalente digital seria substituir uma política de segurança sem uma consideração cuidadosa em prol da velocidade e conveniência ou do acesso aos recursos da empresa através de uma conexão sem fio não segura.

• Conluio

Alguns incidentes de segurança internos são o resultado da colaboração de uma pessoa de confiança com uma organização cibercriminosa para cometer espionagem ou roubo. Esse é outro tipo de risco interno malicioso.

Como ocorrem os incidentes internos maliciosos?

Incidentes maliciosos causados por pessoas internas podem ocorrer de diversas maneiras, além de um típico ataque cibernético. Aqui estão algumas maneiras comuns pelas quais pessoas internas podem causar incidentes de segurança:

• Violência

• Internos podem usar violência ou ameaça de violência para intimidar outros funcionários ou expressar descontentamento em uma organização. A violência pode assumir a forma de abuso verbal, assédio sexual, intimidação, agressão ou outras ações ameaçadoras.
• Espionagem

Espionagem refere-se à prática de roubar segredos comerciais, informações confidenciais ou propriedade intelectual pertencente a uma organização com o objetivo de fornecer vantagem a um concorrente ou outra parte. Por exemplo, uma organização pode ser infiltrada por um infiltrado mal-intencionado que recolhe informações financeiras ou planos de produtos para obter uma vantagem competitiva no mercado.

• Sabotar

Um interno pode estar insatisfeito com uma organização e sentir-se motivado a prejudicar a propriedade física, os dados ou os sistemas digitais da organização. A sabotagem pode ocorrer de diversas maneiras, como vandalização de equipamentos ou comprometimento de informações confidenciais.

• Fraude

Internos podem cometer atividades fraudulentas para ganho pessoal. Por exemplo, um insider mal-intencionado pode usar o cartão de crédito de uma empresa para uso pessoal ou enviar declarações de despesas falsas ou inflacionadas.

• Roubo

Internos podem roubar ativos, dados confidenciais ou propriedade intelectual de uma organização para ganho pessoal. Por exemplo, um funcionário que está saindo motivado por ganhos pessoais pode exfiltrar informações confidenciais para seu futuro empregador, ou um prestador de serviços contratado por uma organização para executar tarefas específicas pode roubar dados confidenciais para seu próprio benefício.

Sete indicadores de risco interno

Tanto os seres humanos como a tecnologia desempenham um papel na detecção de riscos internos. A chave é estabelecer uma linha de base para o que é normal, para que seja mais fácil identificar atividades incomuns.

• Alterações de atividade do usuário

Colegas de trabalho, gestores e parceiros podem estar na melhor posição para saber se alguém se tornou um risco para a organização. Por exemplo, um interno arriscado que está motivado para causar um incidente de segurança de dados pode ter mudanças repentinas de atitude observáveis como um sinal incomum.

• Exfiltração dos dados anômala

Os funcionários frequentemente acessam e compartilham dados confidenciais no trabalho. No entanto, quando um usuário compartilha ou baixa repentinamente um volume incomum de dados confidenciais em comparação com suas atividades anteriores ou colegas em uma função semelhante, isso pode indicar um possível incidente de segurança de dados.

• Uma sequência de atividades de risco relacionadas

Uma única ação do usuário, como baixar dados confidenciais, pode não ser um risco potencial por si só, mas uma série de ações pode indicar riscos potenciais à segurança dos dados. Por exemplo, suponha que um usuário renomeou arquivos confidenciais para parecerem menos confidenciais, baixou-os do armazenamento em nuvem, salvou-os em um dispositivo portátil e os excluiu do armazenamento em nuvem. Nesse caso, isso poderia sugerir que o usuário estava potencialmente tentando exfiltrar dados confidenciais enquanto evitava a detecção.

• Exfiltração dos dados de funcionários que estão saindo

A exfiltração dos dados geralmente aumenta junto com as demissões e pode ser intencional ou não. Um incidente não intencional pode parecer um funcionário que está saindo copiando inadvertidamente dados confidenciais para manter um registro de suas realizações em sua função, enquanto um incidente malicioso pode parecer um download intencional de dados confidenciais para ganho pessoal ou para ajudá-los em sua próxima posição. Quando os eventos de demissão coincidem com outras atividades incomuns, isso pode indicar um incidente de segurança de dados.

• Acesso anormal ao sistema

Os potenciais riscos internos podem começar com o acesso dos usuários a recursos de que normalmente não necessitam para o seu trabalho. Por exemplo, os usuários que normalmente só acedem a sistemas relacionados com marketing começam subitamente a acessar a sistemas financeiros várias vezes ao dia.

• Intimidação e assédio

Um dos primeiros sinais de riscos internos pode ser um usuário expressar uma comunicação ameaçadora, de assédio ou discriminatória. Não só causa danos à cultura de uma empresa, mas também pode levar a outros incidentes potenciais.

• Elevação de privilégio

As organizações geralmente protegem e controlam recursos valiosos atribuindo acesso e funções privilegiadas a pessoal limitado. Se um funcionário tentar aumentar os seus privilégios sem uma justificação comercial clara, isso pode ser um sinal de potencial risco interno.

Exemplos de ameaças internas

Incidentes de ameaças internas, como roubo de dados, espionagem ou sabotagem, aconteceram em organizações de todos os tamanhos ao longo dos anos. Alguns exemplos são:

• Roubar segredos comerciais e vendê-los para outra empresa.
• Invadir a infraestrutura em nuvem de uma empresa e excluir milhares de contas de clientes.
• Usando segredos comerciais para iniciar uma nova empresa.

Importância do gerenciamento de risco interno holístico

Um programa de gerenciamento de risco interno holístico que priorize as relações entre funcionários e empregadores e integre controles de privacidade pode reduzir o número de possíveis incidentes de segurança interna e levar a uma detecção mais rápida. Um estudo recente conduzido pela Microsoft descobriu que as empresas com um programa de gerenciamento de risco interno holístico tinham 33% mais probabilidade de ter uma detecção rápida de risco interno e 16% mais probabilidade de ter uma correção rápida do que as empresas com uma abordagem mais fragmentada.

Como se proteger contra ameaças internas

As organizações podem abordar o risco interno de uma forma holística, concentrando-se em processos, pessoas, ferramentas e educação. Use as seguintes práticas recomendadas para desenvolver um programa de gerenciamento de riscos internos que construa a confiança dos funcionários e ajude a fortalecer sua segurança:

• Priorizar a confiança e a privacidade dos funcionários

Construir confiança entre os funcionários começa com a priorização de sua privacidade. Para promover uma sensação de conforto com o seu programa de gerenciamento de riscos internos, considere implementar um processo de aprovação multinível para iniciar investigações internas. Além disso, é importante auditar as atividades daqueles que conduzem as investigações para garantir que não ultrapassem os seus limites. A implementação de controles de acesso baseados em funções para limitar quem dentro da equipe de segurança pode acessar os dados de investigação também pode ajudar a manter a privacidade. O anonimato dos nomes de usuário durante as investigações pode proteger ainda mais a privacidade dos funcionários. Por fim, considere excluir sinalizações de usuários após um determinado período de tempo se a investigação não prosseguir.

• Usar impedimentos positivos

Embora muitos programas de risco interno dependam de dissuasões negativas, tais como políticas e ferramentas que restringem as atividades arriscadas dos funcionários, é crucial equilibrar estas medidas com uma abordagem preventiva. Dissuasores positivos, como eventos de moral dos funcionários, integração completa, treinamento e educação contínuos em segurança de dados, comentários ascendentes e programas de equilíbrio entre vida pessoal e profissional podem ajudar a mitigar a probabilidade de eventos internos. Ao envolver os colaboradores de uma forma produtiva e proativa, os dissuasores positivos abordam a fonte do risco e promovem uma cultura de segurança dentro da organização.

• Obter adesão de toda a empresa

As equipes de TI e de segurança podem ser as principais responsáveis pelo gerenciamento do risco interno, mas é essencial envolver toda a empresa nesse esforço. Departamentos como recursos humanos, conformidade e jurídico desempenham um papel fundamental na definição de políticas, na comunicação com as partes interessadas e na tomada de decisões durante uma investigação. Para desenvolver um programa de gerenciamento de risco interno mais abrangente e eficaz, as organizações devem procurar a adesão e o envolvimento de todas as áreas da empresa.

• Usar soluções de segurança integradas e abrangentes

Proteger eficazmente a sua organização contra riscos internos exige mais do que apenas implementar as melhores ferramentas de segurança; exige soluções integradas que proporcionem visibilidade e proteção em toda a empresa. Quando as soluções de segurança de dados, gerenciamento de identidade e acesso, XDR (detecção e resposta estendida) e SIEM (gerenciamento de eventos e informações de segurança) são integradas, as equipes de segurança podem detectar e prevenir com eficiência incidentes internos.

• Implementar treinamento efetivo

Os funcionários desempenham um papel crucial na prevenção de incidentes de segurança, tornando-os a primeira linha de defesa. Proteger os ativos da sua empresa exige a conquista da adesão dos funcionários, o que, por sua vez, aumenta a segurança geral da organização. Um dos métodos mais eficazes para criar esta adesão é através da educação dos funcionários. Ao educar os funcionários, você pode reduzir o número de eventos internos inadvertidos. É importante explicar como eventos internos podem impactar tanto a empresa quanto seus colaboradores. Além disso, é crucial comunicar políticas de proteção de dados e ensinar aos funcionários como evitar possíveis vazamentos de dados.

• Usar aprendizado de máquina e IA

Os riscos de segurança no local de trabalho moderno de hoje são dinâmicos, com vários fatores em constante mudança que podem dificultar a sua detecção e resposta. No entanto, usando a aprendizado de máquina e a IA, as organizações podem detetar e mitigar riscos internos à velocidade da máquina, permitindo uma segurança adaptativa e centrada nas pessoas. Essa tecnologia avançada ajuda as organizações a entender como os usuários interagem com os dados, calcular e atribuir níveis de risco e adaptar automaticamente os controles de segurança apropriados. Com essas ferramentas, as organizações podem agilizar o processo de identificação de riscos potenciais e priorizar os seus recursos limitados na abordagem de atividades internas de alto risco. Isso economiza um tempo valioso das equipes de segurança e, ao mesmo tempo, garante melhor segurança dos dados.

Soluções de gerenciamento de risco interno

A defesa contra ameaças internas pode ser um desafio, pois é natural confiar naqueles que trabalham para e com a organização. Identificar rapidamente os riscos internos mais críticos e priorizar recursos para investigá-los e mitigá-los é crucial para reduzir o impacto de possíveis incidentes e violações. Felizmente, muitas ferramentas de segurança cibernética que previnem ameaças externas também podem identificar ameaças internas.

Recursos de prevenção contra perda de dados (DLP) para ajudar você a ganhar visibilidade dos dados, detectar riscos internos críticos que podem levar a possíveis incidentes de segurança de dados e evitar a perda de dados de forma eficaz, ajuda você a gerenciar quem pode acessar o quê e poderá emitir um alerta se a atividade de login e acesso de alguém for arriscada.

Proteger suas nuvens, aplicativos, pontos de extremidade e emails contra atividades não autorizadas. Organizações governamentais, como a Agência de Segurança Cibernética e de Infraestrutura, também fornecem orientação para o desenvolvimento de um programa de gerenciamento de ameaças internas.

Ao adotar estas ferramentas e usar orientação especializada, as organizações podem gerir melhor os riscos internos e proteger os seus ativos críticos.