Reduzir os efeitos de insiders maliciosos não tecnológicos
Este é um mundo movido por computador. A tecnologia está a melhorar de dia para dia. Hoje em dia, cada organização utiliza computadores de algum tipo de outro para funcionar. Os computadores e a Internet são os melhores amigos do homem. Contudo, se utilizados de forma pouco ética, não será o momento de se transformarem em inimigos muito maus. Qualquer organização pode enfrentar uma ameaça à segurança dos dados. Esta ameaça pode emanar tanto de dentro como de fora. São necessárias diferentes formas de lidar com estes factores. As ameaças internas são mais perigosas do que as ameaças externas. À medida que for lendo, compreenderá porque é que o é.
O que constitui uma ameaça interna?
Como o nome sugere, a ameaça interna emana do interior da organização. Qualquer pessoa que trabalhe na organização pode tornar-se uma ameaça em qualquer altura. Depende das circunstâncias. Os infiltrados devem ser leais às organizações em que trabalham. É verdade na maioria dos casos. No entanto, há excepções. Tais pessoas desenvolvem intenções maliciosas. Isto transmite o significado de que estes infiltrados desenvolvem algum tipo de má intenção contra a organização e trabalham no sentido de conspirar para a queda da organização. Isto é uma coisa muito perigosa de se notar.
Há também a possibilidade de haver também intenções não maliciosas. Os erros causados por intenções não-maliciosas também prejudicam a organização. Tais erros podem acontecer devido a pressão e stress. Normalmente tais erros ocorrem às sextas-feiras ou segundas-feiras. O ser humano não é um animal perfeito. Ele pode cometer erros, mas se não houver intenção maliciosa por detrás dos erros, é sempre perdoável. Os maliciosos são aqueles que têm de ser cuidadosos. Eles têm o potencial de prejudicar a organização de muitas maneiras.
Quem são estes infiltrados maliciosos? Como é que os combate?
Historicamente, os funcionários maliciosos estão geralmente entre os melhores empregados num determinado momento. São eles que têm um conhecimento adequado dos sistemas e sabem como lidar com as questões problemáticas. De facto, actuam como solucionadores de problemas em muitas ocasiões. Eles têm acesso autorizado aos sistemas internos e têm a capacidade de causar danos. É muito difícil descobrir o que funciona dentro da mente de uma pessoa. Nenhum computador neste mundo consegue detectar este segredo. Normalmente, uma organização verifica as credenciais de uma pessoa antes de lhe confiar uma responsabilidade particular. Contudo, há alturas em que a pessoa com o mais forte quociente de integridade também se torna fraca.
Isto pode resultar no empenho de certas actividades que podem ir contra os interesses da organização. Esta é a razão pela qual as organizações optam pelo procedimento de verificações e equilíbrios em cada fase de qualquer processo. Tais verificações e equilíbrios podem filtrar pessoas com intenções maliciosas. Investigação sobre esta actividade e as suas conclusões: A actividade maliciosa interna é um assunto bem estudado. Os resultados estão à vista de todos. Muitas organizações têm levado a cabo uma extensa pesquisa sobre o assunto. O Instituto Carnegie Mellon é uma dessas organizações que tem feito uma pesquisa pioneira neste campo. Os dados históricos são a base destas descobertas.
No entanto, a investigação estabeleceu claramente as tendências e os resultados são os seguintes. Há um antigo adágio, que diz o seguinte. Um ladrão só é um ladrão se ao ser apanhado. Muitos casos passam despercebidos. Os casos detectados constituem a base destas descobertas. Estatisticamente, estas são as descobertas.
Um terço dos empregados só tentará roubar se pensar que pode escapar impune.
Um terço irá roubar mesmo de outra forma.
O terço restante nunca irá entreter a tentação de roubar.
Da análise acima, que em qualquer organização será possível encontrar dois terços do total de empregados que podem ser classificados como tendo uma integridade nebulosa. Mais um facto que se verificou é que, do número total de actos maliciosos detectados, os funcionários internos são responsáveis por cerca de dois terços dos casos.
Métodos combativos adoptados pelas organizações: Cada organização tem os seus próprios métodos de verificação de tal comportamento. As próprias investigações nesta fase inicial detectam geralmente mais de três quartos da actividade de intenção maliciosa. Em tais casos, a detecção de actividade maliciosa tem lugar antes de qualquer dano causado à organização. Muitas vezes, estas medidas são inadequadas. É em tais circunstâncias que a perda se torna tangível.
Como detectar uma intenção maliciosa num informador interno?
Isto é muito difícil de detectar. As pessoas com intenções maliciosas comportam-se da forma mais normal possível. No entanto, existem certos mecanismos exibidos por tais pessoas que requerem monitorização a intervalos frequentes. Normalmente comportam-se da mesma forma que as pessoas com intenções não maliciosas se comportam. Por conseguinte, o tratamento da questão deve ser feito caso a caso. Isto pode causar a perseguição de uma pessoa inocente sem qualquer tipo de rima ou razão. Tal pessoa pode mais tarde abrigar intenções maliciosas contra a organização.
Um sinal onde se pode detectar a intenção maliciosa é o estilo de gastos pródigo de certos empregados. Caso se descubra que um empregado está a gastar muito além dos seus meios habituais, isto é motivo de alarme. Significa que tem de se estar atento. Alguns empregados desenvolvem uma intenção maliciosa quando lhes apetece desistir das organizações. As actividades de tais empregados precisam de um controlo rigoroso. Tais pessoas reduzem os seus canais de comunicação com outros no que diz respeito ao trabalho. Tais características exigem uma monitorização cuidadosa. É um facto que as pessoas com intenção maliciosa não tiram férias. Por conseguinte, as organizações devem reprimir tais actividades e forçar os empregados a sair de férias pelo menos durante uma quinzena durante um ano. Pode manter um controlo sobre as pessoas que não gozam de licença há muito tempo.
Que medidas deve a direcção tomar contra os maliciosos infiltrados? Agora vamos assumir o seguinte cenário. Assumir que é o CEO de uma entidade empresarial diz X. A empresa tem centenas de empregados nos seus quadros. Estes incluem pessoas em altos funcionários superiores. O pessoal de trabalho inclui também funcionários e vendedores de nível inferior e outro pessoal subordinado. Nos quatro trimestres do ano registaram-se os seguintes casos de delito. Trimestre 1: Uma investigação mostra oito casos de uso indevido de senha. As investigações mostraram o acesso a dados internos de sistemas externos. Ao serem interrogados, os membros do pessoal em questão fingiram ignorância.
A adivinhação e roubo de palavra-passe foram as razões dadas para estas ocorrências. A manutenção do segredo da palavra-passe em qualquer circunstância foi a ideia central da sua formação. A empresa não tomou qualquer medida contra os funcionários em situação de erro. Pergunta: Teria feito o mesmo? Trimestre 2: A equipa de investigação detectou quatro casos de dados internos armazenados em dispositivos de armazenamento externos, tais como um servidor público em nuvem. Os membros esclareceram que o tinham feito para ter acesso a partir de casa. O trabalho tinha de ser concluído a tempo. O departamento de TI esclareceu categoricamente que isto era contra as regras. A empresa repreendeu os membros do pessoal com um aviso de que o nível de tolerância de tais casos seria "Zero" no futuro.
Tinham a opção de solicitar ao departamento de TI que lhes concedesse o acesso e a direcção da empresa teria tomado uma decisão. Pergunta: Qual é a sua reacção a isto? Trimestre 3: As investigações revelaram que certos membros do pessoal estavam envolvidos em assuntos pessoais. Estes incidentes surgiram no decurso de outra investigação não relacionada. A direcção decidiu que tais assuntos estavam fora do âmbito das equipas de investigação. No entanto, estes assuntos eram do conhecimento do Departamento de RH. Sem aprofundar o assunto, o Departamento de RH deixou claro que a empresa não tolerará tais casos. Pergunta: Quais são as suas reacções a este caso? Trimestre 4: Este é um caso que envolve um executivo de alto nível. Ele tinha abandonado a organização durante o terceiro trimestre após o seu caso com um executivo de vendas. Ela também abandonou a organização. Ambos formaram uma nova empresa. Esta empresa é uma concorrente directa da sua. Descobre que mais de 20% do seu negócio existente mudou para a nova empresa dentro deste curto espaço de tempo.
Outros 20% estão de saída. Este é um caso evidente de actividade interna maliciosa. Pergunta: Qual seria o seu plano de acção num tal cenário? Todos os quatro casos acima mencionados dão a possibilidade de ocorrência de roubo de dados. Em investigações posteriores, podem também surgir alguns outros pontos. Surgem certos tópicos comuns. Se for esse o caso, estas actividades requerem uma sondagem mais profunda. Caso contrário, eis como se deve lidar com o assunto. Trimestre 1: Manter o sigilo da palavra-passe é um aspecto muito importante no cenário actual. Não deve haver qualquer compromisso sobre este aspecto. Deve aconselhar os membros a serem mais cuidadosos no futuro. Pode evitar mais delitos, mantendo-se atento a tais empregados. Quarto 2: Os membros do pessoal podem ter tido boas intenções de concluir o trabalho em casa. Isto mostra a sua dedicação ao seu trabalho. No entanto, uma empresa elaborou regras e regulamentos. Tem de seguir estas regras a qualquer custo.
Deve aconselhar os membros do pessoal a absterem-se de repetir tais actos e encorajá-los a concluir o trabalho dentro do prazo previsto. Trimestre 3: Os assuntos pessoais durante o horário de trabalho devem ser desencorajados. São livres de ter os seus assuntos fora da área de trabalho. Desde que os assuntos não ocorram no escritório e o trabalho de escritório não seja afectado, deve respeitar a sua privacidade. No entanto, as regras da empresa são tais que o destacamento de tais pares deve ser feito em escritórios separados, uma vez casados. Quarto 4: Este é um caso evidente de actividade interna maliciosa e deve lidar com ele de uma forma firme. A empresa pode considerar a possibilidade de tomar medidas legais contra as pessoas em causa. Há certos casos em que se pode julgar a intenção maliciosa logo no início. Citemos alguns exemplos.
Aprenda a procurar os primeiros sinais. Uma empresa que contesta as penalidades de atraso de pagamento num contrato é susceptível de faltar regularmente aos pagamentos. Aprenda a procurar os sinais subtis: No caso de verificar que certos membros tentam evitar chamadas telefónicas e mensagens de correio electrónico, é um sinal claro de que não desejam fazer parte do seu projecto. Quanto mais cedo os remover, melhor será para a organização.
Resumo
Nem todas as intenções têm de ser de natureza maliciosa. Apenas as intenções que podem causar danos intencionais à organização devem ser designadas como maliciosas. Também se deve saber que a perda ou dano à organização pode ser devido a intenções circunstanciais ou maliciosas. O nosso objectivo deve ser o de refrear apenas as intenções maliciosas. Deve-se cortar a intenção maliciosa no próprio rebento. A intenção maliciosa é a principal causa de todas estas fraudes que ocorrem hoje em dia no local de trabalho.