Uma ameaça interna é um risco de segurança de violação de dados causado por pessoas que têm acesso legítimo aos dados de uma organização. As ameaças internas podem ser não intencionais ou mal-intencionadas. As ameaças internas estão aumentando e são intensificadas pelos espaços de trabalho digitais, pelo trabalho flexível e remoto e pelo comportamento ágil das empresas sem políticas rígidas.
Uma ameaça interna é uma ameaça maliciosa ou não intencional a uma organização que se origina de operações internas ou de pessoas que têm acesso aos dados de uma organização, como funcionários, prestadores de serviços ou parceiros.
Os insiders podem causar danos à segurança, aos dados, aos sistemas ou à reputação da organização por meio de suas ações. As ameaças internas podem incluir ações maliciosas, como roubo de dados, sabotagem ou espionagem. Os dados também podem ser perdidos ou roubados acidentalmente: funcionários que têm suas credenciais comprometidas ao usar redes públicas enquanto trabalham remotamente ou que enviam dados a indivíduos sem autorização são apenas dois exemplos.
Não importa o tipo de dados que a sua organização gerencia - quer envolva a coleta de informações pessoais, como nomes, detalhes de contato, números de segurança, números de cartões ou bancos de dados de clientes - sempre há um comprador interessado. Se os dados forem comprometidos e um agente interno os adquirir, eles poderão ser negociados na dark web ou até mesmo diretamente para os concorrentes.
A terminologia pode variar um pouco dependendo do contexto e das perspectivas individuais, mas as definições amplamente aceitas no campo da segurança cibernética são:
Ameaça interna: Refere-se ao possível dano ou perigo representado por indivíduos dentro de uma organização, como funcionários, contratados ou parceiros, que podem comprometer, intencionalmente ou não, a segurança ou os dados da organização.
Risco interno: esse é um conceito mais amplo que inclui ameaças intencionais e não intencionais originadas de pessoas internas. Ele engloba os riscos associados ao comportamento humano, à negligência, à ignorância e a outros fatores da postura de segurança de uma organização. O gerenciamento de riscos internos concentra-se na identificação, avaliação e atenuação desses riscos, sejam eles maliciosos ou acidentais.
O gerenciamento de riscos internos envolve a identificação, a avaliação e a atenuação dos vários riscos associados às ações internas, sejam elas intencionais ou acidentais, tentando evitá-las em vez de esperar para limpar as consequências depois que elas ocorrem. Ele inclui uma abordagem proativa para gerenciar os possíveis danos que os insiders podem causar à segurança e às operações de uma organização.
Abaixo, discutiremos as práticas recomendadas e algumas maneiras eficazes de as organizações gerenciarem os riscos internos.
Na Safetica, sabemos que as pessoas cometem erros. Todos os seus dados estão seguros conosco, não importa se você tem um insider mal-intencionado ou apenas humanos comuns que nem sempre são perfeitos.
Os custos gerais de um incidente de ameaça interna aumentaram de US$ 11,45 milhões em 2020 para US$ 16,2 em 2023 (Ponemon). A maioria dessas ameaças não é intencional - 55% foram causadas por insiders negligentes, enquanto 25% foram maliciosas.
Se você acha que incidentes internos não podem acontecer com você, pense novamente: 71% das empresas estão sofrendo entre 20 e 40 incidentes por ano! As ameaças internas estão aumentando devido aos espaços de trabalho digitais e ao aumento do trabalho remoto. A perda de dados causada por insiders ocorreu em endpoints BYOD (43%) apenas um pouco mais do que em endpoints de propriedade da empresa (41%). Mas o maior culpado, com 59% dos casos, é o ambiente de nuvem (59%) e os dispositivos de IoT (56%).
A rapidez com que uma organização detecta e contém o incidente é muito importante: Em média, são necessários quase três meses (86 dias) para conter um incidente de ameaça interna. O custo médio para conter as consequências de uma ameaça interna é de US$ 179.209. Quanto mais tempo for necessário para detectar uma ameaça interna, maiores serão os custos: Os incidentes que levaram mais de 90 dias para serem descobertos custaram às empresas uma média de US$ 18,33 milhões; o custo médio dos incidentes que foram descobertos em menos de 30 dias foi de US$ 11,99 milhões.
Manter a segurança dos dados confidenciais requer uma abordagem combinada. Aqui estão nossas 10 principais dicas para evitar a perda de dados por meio de ameaças internas:
Comece sua jornada para evitar ameaças internas fazendo um inventário de todos os seus recursos de dados e organizando-os com base em sua importância. Veja por que isso é importante:
Dica: o Safetica Compliance é uma extensão poderosa da nossa solução DLP de nível empresarial, Safetica ONE. Ele identificará os dados protegidos pelas principais regulamentações, como GDPR, PCI DSS, HIPAA e muitas outras, e definirá políticas e tarefas de descoberta de dados para ajudá-lo a cumprir essas regulamentações.
A análise de comportamento detecta ameaças internas antes que elas se tornem violações. A análise comportamental envolve a criação de linhas de base do comportamento normal do usuário e a sinalização de quaisquer desvios que possam indicar intenção maliciosa ou atividades não autorizadas.
Comece estabelecendo uma linha de base de comportamento normal para cada usuário da sua organização. Isso envolve a coleta de dados sobre os horários típicos de login, os dispositivos usados, os locais e os aplicativos que eles acessam regularmente.
O sistema monitorará as ações de cada usuário e, quando ocorrerem desvios, como horários de login incomuns, acesso a sistemas desconhecidos ou transferências de dados atípicas, o sistema emitirá alertas para investigação adicional. Por exemplo, se um funcionário acessar repentinamente um grande número de arquivos confidenciais ou tentar extrair dados fora do horário normal de trabalho, isso pode indicar intenção maliciosa.
Adote o modelo de segurança Zero Trust, no qual a confiança não é presumida, nem mesmo para os usuários internos. Essa abordagem exige verificação contínua e controles de acesso rigorosos:
Duas práticas fundamentais de segurança de dados devem ser seu padrão ouro: criptografia de dados e autenticação de dois fatores (2FA).
A criptografia é o processo de conversão de dados em um código para protegê-los contra acesso não autorizado. Ao aplicar a criptografia a informações confidenciais, você as protege, mesmo que um insider tente obter acesso não autorizado.
Exemplo 1: comunicação por e-mail
Sem a criptografia, os e-mails que incluem dados confidenciais ficam vulneráveis à interceptação ou ao uso indevido por parte de pessoas internas. A criptografia de e-mail garante que, mesmo que um insider acesse esses e-mails, o conteúdo permanecerá ilegível sem a chave de descriptografia.
Exemplo 2: Proteção de banco de dados
Os bancos de dados da sua empresa abrigam uma grande quantidade de informações críticas. A criptografia dos dados do banco de dados garante que, se um insider violar o sistema, ele não terá acesso a dados confidenciais sem a chave de criptografia.
A 2FA acrescenta uma camada adicional de segurança além da autenticação tradicional por nome de usuário e senha. Ela exige que os usuários forneçam duas formas de identificação antes de conceder acesso, reduzindo significativamente o risco de acesso não autorizado.
Exemplo 1: Login em contas de trabalho
Quando os funcionários fazem login em suas contas de trabalho, eles não apenas digitam a senha (primeiro fator), mas também recebem um código de uso único em seu dispositivo móvel (segundo fator). Mesmo que um insider saiba a senha de um funcionário, ele não conseguirá acessar a conta sem o código exclusivo e sensível ao tempo.
Exemplo 2: acesso a sistemas confidenciais
Para acesso a sistemas críticos ou dados confidenciais, exija a 2FA. Isso significa que, mesmo que uma pessoa infiltrada de alguma forma adquira as credenciais de login de um colega, ela ainda precisará do método de autenticação secundário, como uma impressão digital ou um token de segurança, para obter acesso.
A criação de uma política de segurança sólida é fundamental para proteger sua organização contra ameaças internas. Certifique-se de que suas políticas de segurança sejam claras e diretas. A complexidade pode gerar confusão, indiferença ou não conformidade entre os funcionários. Você pode usar a ISO 27001 como guia para configurar sua organização com um sistema eficaz de gerenciamento de segurança da informação.
Exemplo prático: Uma política clara de senhas poderia especificar requisitos como "As senhas devem ter pelo menos 12 caracteres, incluir letras maiúsculas e minúsculas e ser alteradas a cada 90 dias". Essa diretriz direta não deixa espaço para interpretações errôneas.
Dicas para uma política de segurança eficaz que evita a perda de dados:
Ter uma política de segurança em vigor é apenas o começo. Para que sua política de segurança passe da teoria à prática, é imperativo educar seus funcionários de forma eficaz. Veja como você pode fazer isso:
Para obter mais dicas sobre como educar seus funcionários sobre segurança de dados, consulte nosso artigo detalhado: Como educar seus funcionários sobre segurança de dados.
A colaboração eficaz é essencial no local de trabalho moderno, mas também apresenta riscos potenciais de ameaças internas. Para reduzir esses riscos, você precisa fazer escolhas informadas sobre os tipos de ferramentas de colaboração e comunicação que seus funcionários usam. Essas ferramentas devem incorporar criptografia e controles de acesso para proteger dados confidenciais contra acesso não autorizado e vazamentos.
As ferramentas de colaboração seguras devem criptografar os dados em trânsito e em repouso. Isso significa que, mesmo que uma pessoa de dentro tenha acesso aos canais de comunicação ou aos arquivos armazenados, o conteúdo permanecerá ilegível sem as chaves de descriptografia.
Implemente controles de acesso rigorosos para limitar quem pode visualizar, editar ou compartilhar informações confidenciais nas plataformas de colaboração. Isso garante que somente indivíduos autorizados possam acessar dados críticos.
Endpoints, no contexto da segurança cibernética, referem-se a dispositivos individuais como computadores, laptops e dispositivos móveis que se conectam à rede da sua organização. Esses endpoints geralmente são os pontos de entrada para ameaças internas.
Por que os endpoints são importantes: Os endpoints são os locais onde os funcionários interagem com dados e sistemas, o que os torna os principais alvos de insiders que buscam acessar, roubar ou manipular informações confidenciais. Proteger os endpoints é fundamental, pois eles costumam ser a primeira linha de defesa contra ameaças internas.
As soluções de DLP com proteção robusta de endpoints monitoram continuamente os endpoints em busca de comportamentos incomuns, como tentativas de acesso não autorizado, modificações de arquivos ou transferências de dados. Quando as anomalias são detectadas, elas acionam alertas e respostas, que podem incluir o isolamento do endpoint, o bloqueio de processos mal-intencionados ou o alerta às equipes de segurança.
Você sabia? O módulo de conformidade da Safetica identifica e classifica dados confidenciais em terminais, aumentando a visibilidade dos processos de manipulação de dados e facilitando a configuração de políticas de prevenção contra perda de dados.
A segurança de sua organização começa com seu pessoal. Para se proteger contra ameaças internas, considere o seguinte:
Embora cada etapa mencionada possa aumentar sua segurança de dados, uma solução robusta de software de prevenção de perda de dados pode ser seu aliado mais poderoso. Veja por quê:
Dica: se você estiver interessado em experimentar o software DLP da Safetica e entender o que ele pode fazer pela sua empresa, agende uma demonstração gratuita. Um de nossos gerentes de conta lhe mostrará o funcionamento e responderá a todas as suas perguntas. Veja o que você pode esperar de uma chamada de demonstração.
Se a sua empresa estiver enfrentando uma violação de dados iniciada por um insider, siga estas etapas fundamentais:
A gigante dos carros elétricos Tesla sofreu uma grande violação de dados em 2023, quando dois ex-funcionários vazaram dados pessoais confidenciais de mais de 75.000 funcionários da Tesla, bem como segredos de produção, transações bancárias e reclamações registradas na Tesla para uma mídia de notícias alemã.
Felizmente, a mídia alemã se recusou a usar as informações devido às restrições do GDPR, mas a Tesla não pode negar que sua reputação foi afetada. Ela iniciou uma ação legal contra os dois funcionários, entrou com processos para obter acesso a seus dispositivos eletrônicos, onde se acredita que os dados roubados estejam armazenados, e obteve ordens judiciais impedindo que os ex-funcionários mal-intencionados acessem e usem os dados roubados.
A Microsoft passou por uma situação muito difícil em 2022, quando os funcionários expuseram acidentalmente algumas credenciais de login muito importantes no GitHub. Os dados poderiam ter dado a agentes mal-intencionados acesso aos servidores Azure da Microsoft (um serviço de computação em nuvem) e a outros sistemas internos, o que poderia causar um enorme vazamento de dados. Felizmente, a Microsoft foi alertada de que as credenciais estavam visíveis por uma empresa de segurança de dados respeitável e a situação foi resolvida antes que qualquer dano real fosse causado. A Microsoft está tomando medidas para evitar que situações semelhantes ocorram no futuro.
A Ubiquiti é um dos principais produtores mundiais de dispositivos de comunicação sem fio. A empresa tinha um funcionário interno mal-intencionado entre seus funcionários. Nickolas Sharp roubou gigabytes de dados da empresa e tentou pedir um resgate ao seu empregador.
Nickolas Sharp usou suas credenciais de administrador de nuvem para clonar e roubar dados confidenciais. Ele tentou ocultar sua atividade e alterou as políticas de retenção de registros para que sua identidade permanecesse desconhecida. Quando obteve os dados, ele exigiu quase US$ 2 milhões da Ubiquiti em troca da devolução dos arquivos. No entanto, a empresa se recusou a pagar, encontrou-o e alterou as credenciais de todos os funcionários.
Em janeiro de 2021, a Ubiquiti emitiu uma notificação de violação de dados, e Nickolas Sharp foi preso por roubo de dados e extorsão.
Em 2018, a The Coca-Cola Company anunciou uma violação de dados. Descobriu-se que um ex-funcionário tinha um disco rígido externo que continha informações roubadas da Coca-Cola.
"Estamos emitindo avisos de violação de dados para cerca de 8.000 pessoas cujas informações pessoais foram incluídas em arquivos de computador que um ex-funcionário levou consigo quando deixou a empresa", disse um porta-voz da Coca-Cola à Bleeping Computer.
Em 2019, a Trend Micro sofreu um vazamento de dados pessoais causado por um insider malicioso. A empresa descobriu que alguns de seus clientes estavam recebendo chamadas fraudulentas que alegavam ser do suporte da Trend Micro.
Uma investigação foi iniciada imediatamente e confirmou que se tratava de uma ameaça interna. Um funcionário teve acesso a um banco de dados de suporte ao cliente com nomes, endereços de e-mail, números de tíquetes de suporte da Trend Micro e números de telefone. O funcionário vendeu os dados confidenciais a um agente malicioso de terceiros.
O funcionário foi demitido imediatamente, e os clientes foram aconselhados a não reagir às chamadas fraudulentas.
As ameaças internas estão aumentando devido a várias formas "novas e normais" de trabalho. Proteja seus dados adotando medidas apropriadas que o ajudarão a manter suas informações confidenciais seguras. Seu maior ativo de segurança de dados é o software DLP correto. Encontre um que combine todos os recursos importantes e proteja seus dados essenciais, bem como seus funcionários.
Lembre-se de que, se as pessoas se sentirem seguras, os dados de sua empresa também estarão.
A Safetica oferece uma solução que o ajuda a manter seus dados seguros - desde a descoberta inicial (e contínua) de dados confidenciais ou outros dados críticos para os negócios em seu espaço de trabalho digital, passando pelo eficiente vazamento dinâmico de dados e pela proteção contra ameaças internas, até a fácil integração com outras ferramentas e com o ambiente corporativo de vários domínios.
Por fim, o Safetica é muito fácil de implementar e integrar. E essa não é apenas a nossa opinião, mas nossos clientes pensam o mesmo! Recebemos constantemente distintivos do G2 e de outras plataformas de avaliação por pares, onde os clientes fornecem feedback sobre o software que usam.
Vamos discutir a segurança de dados de sua organização