Funcionários descontentes estão tornando sua empresa vulnerávelEm junho deste ano, o provedor de hospedagem Verelox, com base na Holanda, teve de paralisar completamente seus serviços, impedindo o acesso de clientes a seus dados e servidores, porque um ex-funcionário deletou todos os dados de clientes e apagou a maioria dos servidores. O caso é mais um exemplo de como ex-funcionários descontentes podem prejudicar o negócio se tiverem chance Carlos Rodrigues (*) Felizmente, a Verelox conseguiu se recuperar em alguns dias sem perder nenhum dado importante. Porém, outros incidentes semelhantes não tiveram um final tão positivo, e a tendência é que o potencial de destruição de ameaças internas desse tipo apenas cresça. Apesar do foco da mídia em ameaças externas, em especial ransomwares, como o WannaCry, as ameaças internas continuam sendo o desafio de segurança da informação de muitas empresas. O impacto de uma violação de dados por funcionários e ex-funcionários descontentes pode ser significativo, pois envolvem indivíduos com privilégios administrativos a sistemas e dados que os cibercriminosos externos não têm. Segundo um relatório da Verizon, divulgado em 2017, 25% das violações de dados em 2016 tiveram origem em ameaças internas. No entanto, a maioria das organizações gasta muito tempo e recursos tentando prevenir ataques externos, ignorando os potenciais danos do mau uso dos recursos corporativos pelos funcionários. O fato de as ameaças internas serem de mais difícil detecção amplia ainda mais seu potencial de causar dano. As principais motivações das ameaças internas Ao mesmo tempo, as empresas também estão armazenando mais dados na nuvem, o que também pode aumentar o risco de roubo de dados, não por que a nuvem é pouco segura, mas porque, como o preço de armazenagem é quase zero, as organizações não sentem necessidade de deletar arquivos, gerando uma grande quantidade de potenciais dados disponíveis para roubos. Além disso, o mercado negro de venda de nomes e senhas, bem como o valor crescente de códigos fonte e outras propriedades intelectuais, são uma boa razão para se preocupar com o tratamento dos dados por seus funcionários ou ex-funcionários. É claro que nem todos os funcionários agem com propósitos maliciosos ao usar mal um ativo corporativo, porém, no caso dos empregados descontentes, quando isso acontece, a principal motivação é a ganância. Em alguns casos, um funcionário quer obter vantagem competitiva para um concorrente ou um novo empregador. Em outros casos, o objetivo é cometer outros crimes financeiros, como roubo de identidade ou fraude. Em muitos casos, as violações de dados com origem interna coincidem com o período em que funcionários estão deixando a empresa. Eles tiram proveito do acesso que ainda têm aos dados, deletam informações, roubam softwares ou propriedade intelectual que possam usar em seu próximo trabalho ou cometer outros crimes financeiros. Independente de sua motivação, funcionários descontentes ou motivados financeiramente, especialmente aqueles que têm experiência em tecnologia da informação e acesso a informações sensíveis, podem causar danos significativos ao negócio. Melhores práticas para prevenir e detectar ameaças internas Além disso, é essencial que as empresas conscientizem e treinem seus funcionários sobre como prevenir vazamentos não intencionais de informações secretas. Nem todos os colaboradores causam dano à empresa porque têm propósitos maliciosos. Alguns são negligentes ou, simplesmente, distraídos. Para mitigar os riscos de ameaças internas, tanto intencionais quanto não intencionais, contar com ferramentas de monitoramento é essencial para garantir a conformidade com as políticas de segurança e para gerir contas de funcionários com acesso a dados sensíveis. Para isso, é fundamental contar com um sistema de monitoramento efetivo que permita rastrear e registrar as atividades dos funcionários dentro dos arquivos, bem como criar alertas que permitam responder rapidamente a qualquer atividade suspeita. Como vimos no caso da Verelox, violações de dados podem ocorrer no período em que um funcionário deixa a empresa ou depois. Portanto, é importante estabelecer um sistema para encerrar as credenciais desses funcionários imediatamente, e revisar continuamente os direitos de acesso dos funcionários, encerrando imediatamente credenciais ou contas que não estão em uso. (*) É vice-presidente da Varonis para a América Latina. | É possível fazer compras corporativas como em um e-commerce?Imagine selecionar o item desejado em uma listagem de produtos disponíveis, verificar suas especificações, colocá-lo em um carrinho virtual, clicar em ‘concluir’ e com isso finalizar a compra para sua empresa. Seria o mundo ideal para muitos executivos da cadeia de suprimentos. A fácil visualização dos produtos catalogados e agilidade na atividade são algumas das características do comércio eletrônico que fazem com que a atividade seja tão atraente para consumidores em segmentos diversos. Porém, quando falamos de compras corporativas, o cenário é outro. Categorização Aprovação Cobrança (Fonte: Agustín Durán é sócio-diretor da Nimbi, empresa especializada em tecnologia para gestão da cadeia de suprimentos). Qual é o objetivo da Internet das Coisas?Jhone Estefano dos Santos (*) O termo Internet das Coisas tem sido amplamente utilizado como referência à conexão global de “objetos inteligentes” por meio da estrutura de rede da internet O conceito também se refere às diversas tecnologias que tornam estas conexões e as aplicações que as utilizam possíveis. Mas afinal, qual o objetivo da Internet das Coisas? Como identificar um objeto inteligente? (*) É analista de suporte da MC1 Win The Market – Multinacional brasileira com foco em processos de inteligência de negócios utilizando soluções tecnológicas de mobilidade. Presente em mais de 21 países com soluções de gestão de equipes de campo para vendas, merchandising e utillities. |
162 views
16 mins