A proteção dos dados confidenciais da empresa é baseada em componentes técnicos e fatores humanos. De acordo com as últimas tendências no desenvolvimento da segurança da informação, o foco está nos indivíduos. Isso pode ser demonstrado pelas seguintes tecnologias: UEBA (Análise de comportamento de usuário e entidade), UBA (Análise de comportamento de usuário), SUBA (Análise de comportamento de usuário de segurança) e outras ferramentas de análise de comportamento de usuário projetadas para detectar ameaças atuais.
As ameaças de TI podem ser divididas em duas categorias: tecnologia e “pessoas”. Proteção antivírus, filtragem de tráfego, cobertura de vulnerabilidade, proteção contra ataques direcionados, DDOS – essas são tarefas gerenciadas automaticamente por soluções especializadas, porque a lógica do computador pode identificar ameaças e tomar decisões autônomas sobre o bloqueio.
Ameaças “feitas pelo homem” em TI – esta é uma área específica. Para eles, não existe uma solução totalmente automatizada. E essas ameaças são geralmente tratadas de maneira integrada: configurando o acesso aos componentes da infraestrutura de TI, usando sistemas DLP (prevenção contra perda de dados), aumentando o conhecimento técnico dos funcionários e introduzindo regulamentações de trabalho e informações críticas de negócios.
As ameaças são muito diferentes. É por isso que diferentes funcionários e até mesmo departamentos cooperam com eles: os funcionários do departamento de TI são responsáveis por lidar com ameaças técnicas; os profissionais de segurança da informação são responsáveis por monitorar “fatores humanos”. Aliás, o departamento de TI nem sempre sabe quais soluções e métodos de proteção a empresa está utilizando. Isso cria um equilíbrio para os riscos que os próprios profissionais de TI podem causar. Esse método de segurança mais preciso é geralmente adotado por empresas de médio e grande porte.
A prevenção de “ameaças humanas” tem características abrangentes, ao mesmo tempo que se adota soluções especializadas e medidas de gestão.
Por um lado, é necessário melhorar o nível de formação técnica dos colaboradores para que as informações confidenciais não sejam encontradas em emails pessoais, notas de smartphones, e não caiam nas mãos de terceiros por negligência. Um representante da Cybersecurity Ventures, especializada em pesquisa de segurança cibernética e análise de mercado, disse que até 2027, o custo de treinamento de funcionários na área de segurança da informação pode chegar a 10 bilhões de dólares americanos.
Por outro lado, é importante monitorar a movimentação de dados confidenciais que podem ser transmitidos fora dos “limites” da empresa. Somente o uso abrangente de soluções técnicas e medidas de gerenciamento pode evitar o vazamento da maioria das informações. As consequências destrutivas dos vazamentos são óbvias, mas os riscos causados pelo homem muitas vezes levam à falência da empresa.
Na luta contra o vazamento de informações, todas as empresas formularam tarefas semelhantes: evitar que dados financeiros sejam roubados, prevenir danos à reputação, manter assuntos internos confidenciais, não perder carteiras de clientes e proteger dados pessoais de funcionários e clientes. Ameaças tecnológicas podem interromper temporariamente o trabalho da empresa, as comunicações e o contato com os clientes – mas tudo isso será resolvido rapidamente. Em contraste, um gerente sênior mal-intencionado pode acessar todos os dados secretos, planos, finanças e arquivos de análise, o que pode não apenas causar sérios danos ao negócio, mas também destruí-lo completamente.
O comportamento temerário de um funcionário de um de nossos clientes levou à divulgação de dados confidenciais. O gerente da empresa simplesmente deixou o notebook sobre a mesa da sala de conferências onde o cliente realizava uma reunião. O caderno contém muitas informações interessantes: documentos contendo cotações comerciais, sistemas de preços, documentos de contrato, planos, etc. na indústria do cliente. O sistema DLP registra as tentativas de download de documentos em mídia externa e evita grandes vazamentos. No entanto, os clientes acabam vendo dados que não deveriam acessar.
Vazamentos ocasionais como esse não são incomuns. De acordo com pesquisa realizada pela SearchInform, em 2016, 42% de todos os incidentes relacionados à segurança da informação ocorridos em empresas dos países da Comunidade de Estados Independentes (CEI) foram causados por eles.
Para garantir que as informações da empresa sejam protegidas, é necessário formular sua estratégia de segurança da informação ou seguir as seguintes recomendações para reduzir os riscos:
O estabelecimento de regras para o tratamento de informações
O cumprimento estrito das regras de armazenamento e tratamento de dados e documentos confidenciais envolve qualquer funcionário – desde altos executivos até profissionais comuns.
Treinar funcionários da área de segurança da informação. Isso pode ser feito dentro da estrutura de sua organização: atribua essa tarefa ao departamento de RH ou TI ou adicione essa função às responsabilidades do departamento de SI. Você também pode utilizar os serviços de uma empresa especializada em treinamento de agentes de segurança da informação (CTI, security awareness training).
Criar um departamento de segurança da informação, que atuará na prevenção de acidentes. A tarefa dos funcionários do SI não é apenas investigar as violações, mas também analisar as ameaças potenciais. Por exemplo, preste atenção especial aos funcionários pertencentes a grupos de risco: jogadores, viciados em drogas, funcionários que estão sendo demitidos ou insatisfeitos, etc.
Implementar soluções de proteção de informações e usar ferramentas de controle de informações:
sistemas DLP, sistemas SIEM, etc. É necessário monitorar o maior número possível de canais de transmissão de informações dentro da empresa.
Abandonando os métodos tradicionais de proteção, a implementação de ferramentas de proteção da informação em si não garante a segurança, especialmente se for usada apenas quando necessário. Normalmente, após o incidente, descobre-se que algum conteúdo não está configurado corretamente: canais não são monitorados, usuários têm acesso a informações que deveriam ser restritas, etc. Configure as ferramentas corretamente e monitore continuamente os canais de informação.
Use o princípio de “freios e contrapesos” e não delegue todas as responsabilidades e poderes a uma pessoa: é por esta razão que o departamento de SI é estabelecido, como o “contrapeso” do departamento de TI, o departamento de TI muitas vezes pode acessar as informações confidenciais mais importantes e ter conhecimento técnico suficiente para abusar delas.
