Barreiras para o monitoramento eficaz de ameaças internas

As manchetes em torno da General Electric Co. parecem algo saído de um filme de ação. Um engenheiro acusado de roubar propriedade intelectual foi preso e o FBI está investigando se o roubo comprometeu algum segredo comercial da empresa. Infelizmente, esses tipos de incidentes se tornaram muito familiares à medida que funcionários, contratados e qualquer pessoa com conhecimento íntimo das práticas de negócios, sistemas e aplicativos de uma empresa – também conhecidos como “insiders” – continuam a apresentar alguns dos maiores riscos de segurança hoje.

Na verdade, de acordo com o estudo sobre megatendências globais em segurança cibernética, 36% dos profissionais sêniors de TI e cibernéticos identificaram insiders maliciosos ou criminosos como uma das principais ameaças cibernéticas. Mesmo assim, muitas organizações ainda necessitam de políticas internas de ameaças e ferramentas de aplicação das políticas, e lutam para alinhar as responsabilidades de segurança e TI para enfrentar a ameaça com eficácia.

Sem o suporte adequado em todas as três áreas – pessoas (TI e colaboração da equipe de segurança, bem como educação do usuário final), processos e tecnologia – as organizações estão deixando suas informações críticas, segredos comerciais e dados de clientes vulneráveis ​​e acessíveis aos hackers.

Não é meu trabalho

Não é meu trabalho
Monitoramento de ameaças internas hoje envolve responsabilidade, ou mais especificamente, a falta dela.

A maior barreira para programas eficazes de monitoramento de ameaças internas hoje envolve responsabilidade, ou mais especificamente, a falta dela. Tradicionalmente, as equipes de TI se preocupam com vírus e acesso ao sistema. No entanto, o monitoramento de ameaças internas envolve atividades de pessoal, uma função mais frequentemente atribuída às equipes de recursos humanos.

Então, quem deve ser o responsável? A resposta é as duas equipes, e cabe ao diretor de segurança da informação da organização esclarecer as funções e responsabilidades, não apenas para ameaças internas, mas para todos os riscos à segurança. O CISO deve trabalhar ativamente na construção de um relacionamento entre os dois departamentos, de forma que quando uma crise chegar – e acontecerá – as duas equipes saibam como trabalhar juntas para resolver o problema de forma eficiente e respeitosa, enquanto também mantém alguns aspectos deliberadamente separados.

Mas já temos ferramentas de monitoramento de ameaças

A prevenção de vazamento de dados não é o único comportamento de ameaças internas que as organizações devem monitorar.

Outra razão pela qual as organizações podem hesitar em adotar ferramentas de monitoramento de ameaças internas provavelmente se resume aos gastos. A pilha de segurança não é apenas fragmentada, mas complexa, tornando-se um dos fatores que levaram as empresas a gastar US$ 89,1 bilhões no ano em soluções de segurança empresarial, que a Gartner prevê aumentos significativos desses gastos com o tempo.

Nesse ambiente, é fácil entender a hesitação dos gerentes de TI em adicionar mais uma ferramenta ou tecnologia à pilha. Se eles têm uma ferramenta de monitoramento de TI como a prevenção de vazamento de dados, que também promete alguns recursos relacionados a ameaças internas, por que comprar e manter outra ferramenta?

Porque a prevenção de vazamento de dados não é o único comportamento de ameaças internas que as organizações devem monitorar. É como usar uma faca de manteiga como chave de fenda; pode funcionar para alguns casos, mas não resolverá todo o problema. Um programa abrangente de monitoramento de ameaças internas combina políticas, ferramentas e medidas com processos operacionais para monitorar e detectar uma ampla gama de ações do usuário ao longo das interações dos funcionários. De indicadores centrados em TI, como uso de contas e acesso a dados, a indicadores comportamentais, incluindo comportamentos de trabalho contraproducentes e fatores organizacionais, os programas de monitoramento criam uma imagem completa do que os atores estão fazendo – e o que não estão.

A solução não é estritamente centrada em dados

A solução não é estritamente centrada em dados
A solução é centrada no usuário, não nos dados.

Talvez o maior equívoco sobre os programas de monitoramento de ameaças internas seja que eles tratam apenas de monitorar dados. Embora os dados sejam importantes, a solução é centrada no usuário, não nos dados. Uma abordagem centrada no usuário examina o comportamento e identifica tendências para que um analista possa eliminar a cacofonia de ações individuais para identificar a ameaça para que a ação possa ser realizada. Uma abordagem centrada em dados simplesmente garante que apenas pessoas autorizadas possam acessar, visualizar, editar ou fazer download de informações confidenciais. Um foco centrado no usuário também alerta as equipes de segurança e TI se usuários autorizados estiverem lidando com dados confidenciais fora das políticas de uso aceitável da organização ou se eles começarem a espionar áreas às quais não deveriam ter acesso.

Independentemente do motivo pelo qual as organizações ainda não adotaram um programa de monitoramento de ameaças internas, a realidade é que as ameaças internas continuarão a apresentar alguns dos riscos mais caros e perigosos. Recentemente, vimos violações em que um atual ou ex-funcionário descontente rouba dados da empresa, segredos comerciais ou informações de funcionários para vender a terceiros. A realidade é que haverá mais incidentes como este e as organizações devem estar prontas para eles.

Para se proteger melhor, as organizações devem atualizar o monitoramento de ameaças internas à medida que novos sistemas são implantados e os processos de negócios são atualizados. O monitoramento vigilante em toda a empresa para os principais indicadores de ameaças – seja na rede ou em desktops individuais ou na condução de outras atividades de negócios, como viagens, acesso a edifícios, acesso por telefone e outras comunicações – ajudará a identificar problemas menores antes que cresçam e se tornem falhas catastróficas.

Conheça todos os detalhes do InCyber

Fale com os nossos especialistas

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages