Conforme revelou a última pesquisa da Varonis feita em parceria com a Forrester Consulting, “The Data Security Money Pit: Expense in Depth Hinders Maturity”, grande parte das empresas (63%) não é capaz de auditar o uso dos dados sensíveis e gerar alertas de situações abusivas em relação a essas informações.
Segundo uma pesquisa da associação mundial CompTIA, com foco no Brasil, 58% dos incidentes de segurança no País são causados por erros humanos, enquanto apenas 42% têm origem em falhas de tecnologia. A principal razão é o descuido geral dos funcionários ao lidar com a segurança da informação e a falta de capacidade da TI e do usuário final de se seguir políticas e procedimentos.
De acordo com um estudo recente conduzido pela empresa britânica Expert Security UK, quase uma em cinco pessoas já foi afetada por crimes no ambiente de trabalho. Isso mostra que as ameaças internas devem ganhar cada vez mais atenção das empresas em todo o mundo.
Confira algumas maneiras de garantir que sua empresa não fique vulnerável a esse tipo de ameaças:
Estabeleça políticas de segurança
As empresas precisam garantir que o acesso aos dados seja monitorado em tempo real. É comum subestimar o impacto que as ameaças internas têm dentro do ambiente corporativo, porém, especialmente no caso das contas privilegiadas, os funcionários podem ter acesso não só a dados sensíveis, mas também ao controle de toda a infraestrutura de TI.
Por isso, a primeira ação que qualquer empresa deve tomar para prevenir ameaças internas é começar a monitorar como seus dados estão sendo usados. Organizações que não têm esse tipo de controle do acesso do usuário dificilmente vão conseguir identificar quando eles estão se comportando mal e bloquear suas ações.
No último ano, outro estudo da Varonis revelou que cada funcionário tem acesso a 82% do total de 6,1 milhões de pastas nos sistemas corporativos. Cerca de 28% das pastas têm acesso universal dentro das empresas – ou seja, todos podem acessá-las sem nenhum tipo de controle em relação à identidade ou às atividades dentro dos arquivos.
Introduza políticas de segurança robustas
Hoje cada vez mais empresas estão permitindo que seus funcionários usem seus próprios dispositivos para trabalhar. A tendência, conhecida como Bring Your Own Device (BYOD), no entanto, exige que as empresas adaptem sua estratégia de segurança a essa nova realidade.
É essencial introduzir políticas claras de BYOD que especifiquem o que é permitido e o que não é, bem como oferecer o treinamento apropriado para o usuário final.
Imagine, por exemplo, que o diretor de RH clica em um e-mail de phishing e, de repente, um hacker passa a ter acesso a todos os dados do RH. Isso será um grande problema para toda a empresa, que pode sofrer com o vazamento de dados pessoais de funcionários e enfrentar uma série de danos financeiros e de reputação.
Por isso, é importante garantir que todos entendam os perigos relacionados à segurança de dados e saibam qual é a maneira correta de tirar proveito do BYOD para aumentar a produtividade e, ao mesmo tempo, prevenir ameaças internas.
Treinamento adequado
Oferecer a educação necessária para que o usuário final entenda o que é esperado dele em termos de segurança ajudará a garantir a proteção de todo o negócio.
Por isso, é importante comunicar-se com a equipe, sempre com transparência, para manter o controle antes que a situação saia das mãos dos gestores.
Ao oferecer treinamentos com algumas sessões individuais, por exemplo, será possível conhecer melhor os funcionários e construir relacionamentos mais fortes e duradouros, em que os indivíduos são encorajados a sempre buscar o equilíbrio entre produtividade e segurança.
É fundamental que as empresas criem uma cultura que estimule os funcionários a usarem com inteligência os recursos corporativos e a manterem-se longe de atividades ilegais.
* Carlos Rodrigues é vice-presidente Latam da Varonis
