Funcionários descontentes estão tornando sua empresa vulnerável

Em junho deste ano, o provedor de hospedagem Verelox, com base na Holanda, teve de paralisar completamente seus serviços, impedindo o acesso de clientes a seus dados e servidores, porque um ex-funcionário deletou todos os dados de clientes e apagou a maioria dos servidores. O caso é mais um exemplo de como ex-funcionários descontentes podem prejudicar o negócio se tiverem chance

Businessman-using-tablet-in-the-office-1024x682 temproario

Carlos Rodrigues (*)

Felizmente, a Verelox conseguiu se recuperar em alguns dias sem perder nenhum dado importante. Porém, outros incidentes semelhantes não tiveram um final tão positivo, e a tendência é que o potencial de destruição de ameaças internas desse tipo apenas cresça.

Apesar do foco da mídia em ameaças externas, em especial ransomwares, como o WannaCry, as ameaças internas continuam sendo o desafio de segurança da informação de muitas empresas. O impacto de uma violação de dados por funcionários e ex-funcionários descontentes pode ser significativo, pois envolvem indivíduos com privilégios administrativos a sistemas e dados que os cibercriminosos externos não têm.

Segundo um relatório da Verizon, divulgado em 2017, 25% das violações de dados em 2016 tiveram origem em ameaças internas. No entanto, a maioria das organizações gasta muito tempo e recursos tentando prevenir ataques externos, ignorando os potenciais danos do mau uso dos recursos corporativos pelos funcionários. O fato de as ameaças internas serem de mais difícil detecção amplia ainda mais seu potencial de causar dano.

As principais motivações das ameaças internas
Os novos modelos de trabalho, que contam com inúmeras equipes de funcionários espalhadas globalmente, bem como a dependência de serviços na nuvem e de dispositivos BYOD, estão gerando novos desafios para a segurança da informação nas empresas. Funcionários remotos, em particular, podem ser uma ameaça significativa ao negócio – esses colaboradores podem ser mais suscetíveis a vender ou explorar informações a que tenham acesso se comparados com os que trabalham no escritório rodeados por outros colegas.

Ao mesmo tempo, as empresas também estão armazenando mais dados na nuvem, o que também pode aumentar o risco de roubo de dados, não por que a nuvem é pouco segura, mas porque, como o preço de armazenagem é quase zero, as organizações não sentem necessidade de deletar arquivos, gerando uma grande quantidade de potenciais dados disponíveis para roubos.

Além disso, o mercado negro de venda de nomes e senhas, bem como o valor crescente de códigos fonte e outras propriedades intelectuais, são uma boa razão para se preocupar com o tratamento dos dados por seus funcionários ou ex-funcionários.

É claro que nem todos os funcionários agem com propósitos maliciosos ao usar mal um ativo corporativo, porém, no caso dos empregados descontentes, quando isso acontece, a principal motivação é a ganância. Em alguns casos, um funcionário quer obter vantagem competitiva para um concorrente ou um novo empregador. Em outros casos, o objetivo é cometer outros crimes financeiros, como roubo de identidade ou fraude.

Em muitos casos, as violações de dados com origem interna coincidem com o período em que funcionários estão deixando a empresa. Eles tiram proveito do acesso que ainda têm aos dados, deletam informações, roubam softwares ou propriedade intelectual que possam usar em seu próximo trabalho ou cometer outros crimes financeiros.

Independente de sua motivação, funcionários descontentes ou motivados financeiramente, especialmente aqueles que têm experiência em tecnologia da informação e acesso a informações sensíveis, podem causar danos significativos ao negócio.

Melhores práticas para prevenir e detectar ameaças internas
Exigir que os novos funcionários assinem um acordo de não divulgação ajuda a prevenir roubo de propriedade intelectual, dados de funcionários ou de clientes quando eles deixam a empresa. No entanto, é importante sempre lembrá-los da responsabilidade de manter a confidencialidade das informações da empresa.

Além disso, é essencial que as empresas conscientizem e treinem seus funcionários sobre como prevenir vazamentos não intencionais de informações secretas. Nem todos os colaboradores causam dano à empresa porque têm propósitos maliciosos. Alguns são negligentes ou, simplesmente, distraídos.

Para mitigar os riscos de ameaças internas, tanto intencionais quanto não intencionais, contar com ferramentas de monitoramento é essencial para garantir a conformidade com as políticas de segurança e para gerir contas de funcionários com acesso a dados sensíveis. Para isso, é fundamental contar com um sistema de monitoramento efetivo que permita rastrear e registrar as atividades dos funcionários dentro dos arquivos, bem como criar alertas que permitam responder rapidamente a qualquer atividade suspeita.

Como vimos no caso da Verelox, violações de dados podem ocorrer no período em que um funcionário deixa a empresa ou depois. Portanto, é importante estabelecer um sistema para encerrar as credenciais desses funcionários imediatamente, e revisar continuamente os direitos de acesso dos funcionários, encerrando imediatamente credenciais ou contas que não estão em uso.

(*) É vice-presidente da Varonis para a América Latina.

É possível fazer compras corporativas como em um e-commerce?

download 06 09 2017 temproario

Imagine selecionar o item desejado em uma listagem de produtos disponíveis, verificar suas especificações, colocá-lo em um carrinho virtual, clicar em 'concluir' e com isso finalizar a compra para sua empresa. Seria o mundo ideal para muitos executivos da cadeia de suprimentos. A fácil visualização dos produtos catalogados e agilidade na atividade são algumas das características do comércio eletrônico que fazem com que a atividade seja tão atraente para consumidores em segmentos diversos. Porém, quando falamos de compras corporativas, o cenário é outro.
Diferentemente de um e-commerce, o processo dentro de uma empresa passa por diversas validações, equipes e etapas, que por sua vez, incluem documentos e políticas específicas. Fica por conta do departamento de compras organizar tudo, seguir as diretrizes do compliance e buscar a melhor relação ganha-ganha. Alguns desafios se sobressaem, como o engajamento dos stakeholders e a criação de valor na atividade de forma a beneficiar a relação entre compradores e vendedores.
Entendendo essa complexidade, seria possível simplificar o processo usando algumas premissas das compras eletrônicas?

Categorização
Assim como em uma plataforma de e-commerce é imprescindível ter os produtos disponíveis listados de maneira organizada e atrativa. Na cadeia de suprimentos isso é possível ao realizar um trabalho prévio de agrupamento lógico (por mercado, região e principalmente pela classificação dos itens em árvores de categorias) e disponibilizar as características de suas mercadorias estabelecendo contratos que facilitem a escolha pelos itens. Assim, o processo de fazer um pedido de compras ficará tão ágil e simples como selecionar determinado produto e colocar no 'carrinho de compras'.

Aprovação
Essa fase é uma das mais delicadas nas compras corporativas, pois exige entendimento das políticas preestabelecidas pelo departamento de compliance, e regulamentos internos da companhia. Além disso, qualquer atraso na tomada de decisão pode ser prejudicial. Num catálogo corporativo em nuvem, a aprovação da compra demanda uma série de critérios para que não haja nenhum problema de conformidade com as informações fornecidas e escolhas feitas.

Cobrança
O processo não acaba ao clicar 'finalizar a compra'. A cobrança e a logística de entrega da mercadoria exigem atenção do gestor. Nas companhias existe todo um esforço para organizar o recebimento dos itens, cálculos de frete e outras definições para garantir que ocorram de maneira efetiva, enquanto nas compras on-line o consumidor não vê essa operação. Não adianta disponibilizar um catálogo atraente se a logística e o custo não são contabilizados ao colocar o item no carrinho. Para isso o departamento de suprimentos é responsável por fazer a negociação que contemple esses detalhes, se antecipando a compra e criando agilidade ao fomentar o consumo do catalogo eletrônico.
Os diferenciais e atrativos do comércio eletrônico podem ser adaptados para o universo corporativo. Para isso, é preciso investir na relação entre os stakeholders e o departamento de suprimentos, e em soluções de tecnologia de ponta, contando com um compliance estruturado que auxilie com eficiência esse processo. Com esses elementos bem integrados, os gestores de compras ganham força para comandar a atividade na empresa, construindo um cenário favorável para que a área evolua e o processo chegue a ser tão simples quanto o comprar em apenas um clique.

(Fonte: Agustín Durán é sócio-diretor da Nimbi, empresa especializada em tecnologia para gestão da cadeia de suprimentos).

Qual é o objetivo da Internet das Coisas?

Jhone Estefano dos Santos (*)

O termo Internet das Coisas tem sido amplamente utilizado como referência à conexão global de “objetos inteligentes” por meio da estrutura de rede da internet

O conceito também se refere às diversas tecnologias que tornam estas conexões e as aplicações que as utilizam possíveis.

Mas afinal, qual o objetivo da Internet das Coisas?
É o de permitir a comunicação direta entre diversos equipamentos de uso pessoal, bem como entre estes e seus usuários, através de sensores e conexões sem fio.
Esta comunicação permite, entre outras facilidades, o registro contínuo de dados sobre o estado destes objetos durante o seu uso. Um exemplo de aplicação da Internet das coisas são as vestimentas inteligentes que podem se ajustar de acordo com as mudanças de temperatura do ambiente.

Como identificar um objeto inteligente?
Para um objeto ser considerado como inteligente é necessário que atenda aos seguintes requisitos:
• Ser identificável, ou seja, deve ter um nome e um endereço na internet;
• Ter a capacidade de se comunicar (enviar e receber informações a outros dispositivos);
• Interação ao responder de alguma forma as informações recebidas;
• Ter alguma capacidade básica de processamento;
• Possuir algum sensor de fenômenos físicos, como velocidade, luz, calor, eletromagnetismo, radiação, etc.
O que diferencia um objeto inteligente da Internet das coisas de um dispositivo qualquer conectado à internet?
É a capacidade de geração de dados por meio de seus sensores ou da resposta a dados recebidos, ou seja, nem todo equipamento de comunicação é um objeto inteligente. Apenas aqueles que são capazes de interagir fisicamente com a rede.
A Internet das Coisas é reconhecida como uma grande tendência do mercado de tecnologia, diversas publicações técnicas e acadêmicas na área de computação e sistemas de informação têm publicado regularmente artigos e experiências relacionadas a este conceito. Do ponto de vista da gestão do conhecimento, as três tendências tecnológicas vistas neste artigo estão fortemente relacionadas.
Os objetos inteligentes da internet das coisas geram muitos dados detalhados de forma contínua no ambiente em que se encontram e a tecnologia big data permite que este volume de dados seja armazenado, combinado com outras fontes de dados e pesquisado com bom desempenho.
Por fim, vale destacar que a ciência de dados aplica uma série de ferramentas para transformar estes dados em conhecimentos de utilidade prática. Podemos observar alguns exemplos deste cenário na área de esportes, em que diversos dispositivos inteligentes interligados ao vestuário dos atletas e também aos seus equipamentos, como traves, redes, entre outros, geram grandes volumes de dados que são analisados para melhorar o desempenho em competições.

(*) É analista de suporte da MC1 Win The Market – Multinacional brasileira com foco em processos de inteligência de negócios utilizando soluções tecnológicas de mobilidade. Presente em mais de 21 países com soluções de gestão de equipes de campo para vendas, merchandising e utillities.