Análise de tráfego, comportamentos e contexto de negócios devem ser base de estratégias internas de segurança da informação

Estudo da Forrester revela demandas específicas da segurança da informação nos relacionamentos internos e demonstra como análise de tráfego indica ameaças internas

“Se o líder de alguma companhia pensa que não tem ameaças internas, não está procurando direto”, afirma um dos 3.543 executivos de negócios e tecnologia que participaram do estudo Caça às ameaças internas, realizado pela Forrester Research, no Brasil, Austrália, Canadá, China, França, Alemanha, Índia, Nova Zelândia, Reino Unido e EUA.

Os analistas da Forrester advertem que as abordagens de análise de tráfego, resposta a incidentes e outros mecanismos de segurança da informação são bem mais sutis do que no enfrentamento às ameaças externas. Os insiders, que além dos funcionários podem incluir prestadores de serviços, parceiros ou fornecedor que tenha acesso aos dados e sistemas da empresa, realmente precisam de algum acesso privilegiado para cumprir suas funções. Outro ponto é que a análise de tráfego, o monitoramento de logs e outras medidas não técnicas, como observação de comportamento, podem ir de encontro à noção de privacidade dos usuários. E gerar conflitos internos só complica a vida dos times de segurança da informação.

Segundo o relatório, ataques a partir da rede interna (ou extensões de VPN, intranet ou extranet) representaram 39% das violações de dados em 2015. Desse total, em 26% dos casos foi constatado dolo (intenção criminosa). Em 56% dos casos, os incidentes se devem a negligência em relação a políticas de segurança da informação, como deixar dados críticos em áreas sem criptografia (cópia na planilha ou envio por email, por exemplo), infectar seu end point e outros erros involuntários.

Outro ponto enfatizado no estudo é que ferramentas de análise de tráfego, assim como outros instrumento de inteligência de ameaças são importantes para identificação de comportamentos suspeitos e potencialmente maliciosos, mas pouco eficazes sem uma abordagem focada. “As empresas que têm apenas uma solução técnica, em vez de um programa envolvendo RH, jurídico e a alta direção, têm uma solução DLP, não uma solução de ameaça interna”, afirma um dos entrevistados.

Um incidente ocorrido na DuPont é usado no estudo para ilustrar como a análise de tráfego associada a outros eventos pode ser eficaz na segurança da informação. Após comunicar seu afastamento, a análise de tráfego revelou volumes atípicos de transferência de arquivos, o que levou à descoberta de extravio de documentos que valeriam US$ 400 milhões.

Os analistas da Forrester recomendam cuidado redobrado em momentos de anúncios ou boatos de cortes. Em outros casos, comportamentos contraditórios, como reclamar do trabalho mas ficar sistematicamente até mais tarde, também devem disparar processos de análise de tráfego, verificação das entradas nos sistemas e outros procedimentos suspeitos. Um relatório da Intel Security informa que, em 2015, usuários internos foram responsáveis por 43% dos extravios de dados.

Compreender o contexto de negócios, entender como os usuários usam os sistemas e interagir com os dados é fundamental para identificar comportamentos suspeitos, diz o estudo. Os analistas também encorajam a segregação das funções de segurança da informação referentes a ameças internas ou externas. Em muitas organização, revela o relatório, a gestão das políticas internas de segurança da informação fica sob o RH, até por sua habilidade de lidar com questões de privacidade, resolver conflitos e orientar condutas.

Entre as recomendações gerais, a Forrester destaca: a definição de responsáveis de várias áreas (TI, controladoria, RH etc.); a classificação de dados críticos; estabelecimento de políticas e condutas; e, evidentemente, tecnologias de monitoramento.

Junto aos programas de educação e treinamento, para mitigar erros involuntários, os analistas da Forrester enfatizam a necessidade de ações para conquistar a adesão dos usuários às políticas de segurança da informação. Identificar e afastar um usuário interno malicioso é bom não apenas para a segurança da informação, mas para proteger o ambiente de trabalho e os clientes de uma má pessoa.

Sobre a Forcepoint – Forcepoint está transformando a cibersegurança ao focar no que mais importa: entender a intenção das pessoas ao interagir com os dados onde quer que eles residam. Nossos rígidos sistemas permitem às empresas capacitar os funcionários com livre acesso aos dados enquanto protegem a propriedade intelectual e simplificam a conformidade. Baseada em Austin, Texas, Forcepoint suporta mais de 20.000 organizações em todo o mundo. Para mais informações sobre Forcepoint, visite www.forcepoint.com.

 

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here