5 aspectos a considerar para uma auditoria de ameaças internas

5 aspectos a considerar para uma auditoria de ameaças internas

No mundo atual da tecnologia da informação, as ameaças internas são uma das principais razões para as violações de segurança. A definição de ameaça interna inclui não apenas ações maliciosas intencionais, mas também acidentes e casos de negligência. De acordo com o Relatório Global 2022 sobre o Custo das Ameaças Internas do Instituto Ponemon, “os incidentes com ameaças internas aumentaram 44% nos últimos dois anos, com custos por incidente subindo mais de um terço para 15,38 milhões de dólares”. Esta tendência de aumento do risco de ameaça interna foi observada por diferentes partes interessadas também em anos anteriores.

Para combater esta crescente ameaça à segurança da informação, as organizações devem desenvolver programas de mitigação de ameaças internas. Um programa de ameaça privilegiada é definido pelo Instituto Nacional de Normas e Tecnologia (NIST) como “uma coleção coordenada de capacidades autorizadas pela organização e utilizadas para deter, detectar e mitigar a divulgação não autorizada de informações”.

Além de desenvolver programas, as organizações também devem realizar auditorias regulares desses programas – tanto internamente quanto com a ajuda de terceiros. Abordagens de mitigação de ameaças internas também são examinadas durante a maioria das auditorias de conformidade. A auditoria eficiente de suas políticas de segurança para avaliação e gerenciamento de riscos é fundamental para o sucesso do negócio e permite que você encontre quaisquer vulnerabilidades em seu programa de segurança e estratégias de mitigação.

Guia de Mitigação de Ameaças Internas

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA.gov) publica uma guia de acesso livre e extenso para ameaças internas chamada Guia de Mitigação de Ameaças Internas. A edição mais recente desta guia foi publicada há menos de 2 anos e contém uma ampla gama de informações e sugestões que ajudam cada organização, não importa o tamanho ou a indústria, a construir um programa bem-sucedido de mitigação de ameaças internas.

A guia CISA inclui recomendações de medidas a serem empregadas em seu programa de mitigação. Vale notar que as soluções de prevenção de perda de dados (DLP) estão listadas como a medida número 2 mais comum logo após o treinamento de conscientização do usuário. Portanto, a prevenção da perda de dados pode ser percebida como a tecnologia de base para ajudar as organizações a evitar incidentes de segurança como consequência de atividades internas.

Aqui estão 5 questões importantes mencionadas na Guia de Mitigação de Ameaças Internas que você deve considerar para uma auditoria interna de ameaças internas para verificar quão bem seu programa de mitigação de ameaças internas funciona na prática, principalmente do ponto de vista da prevenção de perda de dados.

1. As boas práticas não são suficientes

Muitos programas de ameaças internas concentram-se na conscientização da segurança, educação, monitoramento das condições de trabalho e outras tarefas que recaem principalmente sobre os departamentos de recursos humanos. É um pressuposto muito bom que se os funcionários forem bem treinados e bem tratados, o risco de potenciais ameaças internas, sejam acidentais, intencionais ou causadas por negligência, é grandemente reduzido.

Entretanto, embora estas boas práticas devam de fato formar a base do programa de ameaças internas, elas não são suficientes para eliminar todas as ameaças potenciais. Mesmo o funcionário mais bem treinado comete erros. Mesmo que todo seu pessoal seja muito bem pago e bem tratado, eles podem ser tentados por uma grande soma a roubar segredos comerciais e vendê-los à concorrência, como no Caso AMSC/Sinovel de 2011.

Seu programa começa com as melhores práticas, mas é uma boa ideia acompanhar com mais. Citando o guia CISA, ele deve “empregar práticas e sistemas que limitem ou monitorem o acesso através de funções organizacionais”. Tais práticas e sistemas, por sua vez, limitam a quantidade de danos que um funcionário pode fazer, seja o ato intencional ou não intencional”. Como parte de sua auditoria interna, você deve certificar-se de que todos os elementos do programa sejam igualmente eficazes.

2. A prevenção requer um monitoramento cuidadoso

Nem todos os funcionários correm o risco de se tornarem mal-intencionados. Segundo a PricewaterhouseCoopers, apenas 10% dos funcionários exibem comportamento perturbador. Portanto, um dos objetivos mais importantes para mitigar as ameaças internas é encontrar funcionários de alto risco e garantir que suas ações sejam bem monitoradas.

O comportamento perturbador muitas vezes começa com atividades maliciosas de baixo risco que seguem padrões semelhantes aos de alto risco. Por exemplo, se um funcionário tem a tendência de enviar informações potencialmente sensíveis a colegas de trabalho ou parceiros de negócios via e-mail ou plataformas de mensagens, essas tentativas a princípio podem ser de baixo impacto potencial. Em seguida, elas podem se transformar em grandes problemas envolvendo o envio de dados críticos a pessoas de fora, tais como ex-funcionários. Devido a isso, os mecanismos empregados como parte do programa de mitigação devem incluir o monitoramento de todos os sistemas de informação acessados por pessoas internas potencialmente mal-intencionadas e passos para aumentar os controles de acesso para melhorar a proteção daqueles que se descobriu apresentarem comportamento suspeito.

Sua auditoria de ameaças internas deve, portanto, observar se existem mecanismos para monitorar efetivamente o comportamento potencialmente perturbador quando ele se inicia e se os avisos fornecidos pelos sistemas automatizados levam a limitações de acesso ou ao aumento do monitoramento.

3. Ação deve ser tomada antes da escalada

Como mencionado acima, a gestão da escalada é um aspecto muito importante da detecção de ameaças internas e da conscientização das ameaças internas. Os infiltrados potencialmente mal-intencionados podem começar com ações que parecem óbvias e são fáceis de bloquear. Por exemplo, eles podem tentar copiar a propriedade intelectual da empresa em uma pen drive ou enviá-la para seu próprio e-mail particular. Se isso falhar, porém, eles podem simplesmente tentar tirar uma foto da tela de seu terminal usando seu dispositivo móvel privado, e esse tipo de ação é muito difícil de evitar.

Se os alarmes forem levantados com base na atividade do usuário e os administradores do sistema de segurança de TI reagirem a eles em tempo real, tais escalações podem levar a uma resposta eficaz a incidentes com o uso de câmeras e o exame de dispositivos privados na tentativa de sair das instalações da empresa, o que, naturalmente, precisaria envolver a aplicação da lei. Entretanto, para que tais reações sejam possíveis, existe a necessidade de uma detecção precoce e um sistema de alarme eficaz que não seja atormentado por falsos positivos.

4. A identificação de dados sensíveis deve ser automatizada

As atividades internas maliciosas podem assumir diferentes formas. O guia CISA identifica cinco expressões: violência, espionagem, roubo, sabotagem e cyber – a última inclui todas as outras quatro expressões, mas no contexto de sistemas de computador, não de segurança física. Embora as consequências da violência e da sabotagem sejam principalmente ataques internos que levam a rupturas de infraestrutura crítica, tanto o roubo como a espionagem estão associados ao acesso não autorizado a informações sensíveis.

Quanto maior for a organização, mais diversas informações serão processadas e maior será a chance de algumas dessas informações serem dados sensíveis. Quanto mais funcionários dos sistemas tiverem acesso, maior será a chance de que tenham acesso a algum tipo de informação sensível. Mesmo os programas de identificação de dados mais completos podem, acidentalmente, omitir alguns dados sensíveis.

Para garantir que as ameaças internas tenham acesso limitado e não possam roubar informações sensíveis, as soluções de mitigação devem ser capazes de identificar tais informações automaticamente, em vez de depender de atividades manuais. Portanto, sua auditoria deve verificar se as medidas empregadas para mitigar a perda de dados podem realizar essa identificação automática de forma eficaz.

5. Ir além da prevenção da perda de dados

Embora as soluções de prevenção de perda de dados tenham sido listadas pelo guia CISA como a ferramenta tecnológica mais importante para ajudar a mitigar as ameaças internas aos sistemas de TI, há várias outras tecnologias que também são recomendadas. Elas incluem análise do comportamento do usuário, monitoramento e vigilância dos funcionários, gerenciamento de incidentes e eventos de segurança (SIEM), gerenciamento de resposta a incidentes (IRM), compartilhamento de inteligência de ameaças, gerenciamento de acesso privilegiado (PAM), e inteligência de tráfego de rede.

Sua auditoria de ameaças internas deve ver se tais medidas também estão em uso e, se não estiverem, são as áreas cobertas por estas soluções, tais como acesso à rede e conectividade, autenticação e usuários privilegiados protegidos com o uso de diferentes ferramentas, sistemas ou procedimentos. A integralidade é um dos aspectos mais importantes de um programa de mitigação simplesmente porque basta apenas um pequeno vazamento para causar estragos no negócio.

SOLICITE UMA DEMO
check mark

Seu pedido de Endpoint Protector foi enviado!
Um de nossos representantes entrará em contato com você em breve para agendar uma demonstração.

* Nós não compartilhamos suas informações pessoais com ninguém. Confira nossa Política de Privacidade Para mais informações.