Ameaças Internas (Insiders) - Você está protegido?

Em segurança da informações usamos o termo "insider" para nos referir a uma ameaça maliciosa para uma organização que vem de pessoas dentro da própria  organização, como funcionários, ex-funcionários, contratados ou parceiros de negócios. 

Geralmente quando pensamos em ameaças aos nossos sistemas, pensamos em ameaças externas como Malwares ou hackers tentando acessar nossa rede ou nossos sistemas. Mas o mais assustador é que os ataques partindo de Insiders são reais e muito comum.

Uma pesquisa que foi realizada para nós detalhou que:

  • 55% dos incidentes iniciados são devidos a abuso de privilégios.
  • 77% dos funcionários admitiram ter acesso a dados que não deveriam ter.

Talvez a estatística mais surpreendente, para isso, é que um em cada dois funcionários acredita que é normal ter dados da empresa.

Os insiders geralmente possuem contas que lhes dão acesso legítimo aos sistemas, e muitas vezes esses acessos foram originalmente concedidos a eles para o uso relacionado a suas funções.

Talvez muitos incidentes possam acontecer sem que o usuário tenha pensamentos maliciosos, porém em muitos casos registrados os ataques partiram de usuários descontentes ou ex-funcionários que ainda possuíam acesso. Com relação a contratados ou parceiros o incidentes estão mais relacionados a roubo de informações comerciais e sigilosas.

Uma pesquisa revelou algo ainda mais surpreendente, muitas empresas acabam por não identificarem que seus sistemas foram comprometidos:

 

Impacto das ameaças internas.

As três principais áreas em que um vazamento de dados ou mudança de configuração causada por uma ameaça interna são:

  • Impacto na capacidade de uma empresa para fazer negócios devido ao tempo de inatividade.
  • Impacto negativo na reputação de uma empresa.
  • Multas e punições impostas por órgãos reguladores externos.

O que pode ser feito?

São muitas as ações que podem ser tomadas para ajudar a minimizar esse tipo de ameça.

  • Educar os funcionários para entender que eles só têm acesso aos dados da empresa para seu trabalho, não é deles para uso pessoal.
  • Ditar e impor políticas que definem como sua empresa classificará dados e armazenará dados.
  • Remover todo o acesso ao sistema quando um funcionário sair da empresa.
  • Verificar regularmente quem tem acesso ao que e implementar um modelo de "mínimo privilégio".
  • Implementar gerenciamento de privilégios para segurança adicional em sistemas sensíveis.
  • Implementar auditoria em tempo real com alertas para determinados eventos críticos. 
  • Aplicar uma política de senha forte.
  • Implementar um plano de recuperação de dados e do Active Directory.

 

Um boa leitura é o White Paper em português   "Gerenciando a ameaça interna com a segurança do Active Directory

 

Esse artigo foi criado após a leitura da postagem do