Quando pensamos em usuários arriscados, funcionários recém-contratados não são os primeiros que nos vêm à mente. Embora seja ótimo ter novos membros na equipe para nos ajudar a levar adiante as iniciativas da empresa e lidar com as cargas de trabalho, esse pessoal novo também traz uma quantidade considerável de risco inicial. Não é à toa que muitas empresas fazem dos primeiros 90 dias um período probatório para os funcionários novos — isso as ajuda a confirmar que eles não cometeram um erro.
No espírito do mês da conscientização quanto a ameaças internas — e considerando o que pode vir a ser uma ameaça interna — vamos examinar por que funcionários novos podem ser tão arriscados para os empregadores.
Atenção aos sinais
Uma das perguntas mais importantes a se fazer ao avaliar novos contratados tem a ver com risco interno. Mais especificamente, essa pessoa estaria aqui para roubar nossos dados ou causar dano à nossa organização? Ainda que você não queira supor o pior, uma certa dose de ceticismo é saudável. Tem havido vários incidentes com elementos internos maliciosos que passaram por todo o processo de contratação com exatamente essa intenção.
Ocasionalmente, pessoas dedicam-se a assumir cargos de nível médio ou de iniciante em empresas com a única finalidade de roubar dados confidenciais. Não é particularmente difícil de fazer. Qualquer um em busca desse tipo de trabalho pode encontrar facilmente dicas sobre como passar pelo processo de entrevista de emprego, mesmo que não tenha todas ou a maioria das qualificações necessárias. Embora tais dicas possam dar uma vantagem a aspirantes honestos ao cargo, elas também geram um risco real para empresas que precisam se proteger de malfeitores.
Elementos internos maliciosos que não têm as devidas qualificações para um cargo frequentemente tentam avançar rapidamente em direção a seus objetivos, com o intuito de entrar e sair antes que sua incompetência se torne evidente.
O risco do treinamento atrasado
Agora vamos falar das razões pelas quais visibilidade e monitoramento mais detalhados são tão importantes para revelar comportamentos arriscados de elementos internos durante os primeiros 90 dias de um recém-contratado.
Tradicionalmente, quando alguém entra em uma empresa, passa por um processo de admissão no qual recebe um determinado nível de treinamento em conformidade, treinamento sobre uso apropriado e treinamento de sistema técnico antes de assumir oficialmente as funções do cargo.
Contudo, nos ambientes com carência de mão de obra dos dias de hoje, os recém-contratados podem ser colocados para trabalhar imediatamente. Eles recebem treinamento ao longo de duas a quatro semanas quando já estão no cargo, com acesso a dados potencialmente confidenciais. Por isso não surpreende que sabotagem de sistemas e perda de dados acidental sejam os dois riscos internos mais comuns que as empresas observam durante esse período.
Os primeiros 90 dias devem ser um período durante o qual a sua equipe utilize visibilidade e monitoramento mais detalhados para assegurar que um recém-contratado não se comporte de maneiras arriscadas ou maliciosas. Isso ajuda você a mitigar o risco de ameaça interna.
Riscos decorrentes de velhos padrões de comportamento
Uma outra fonte de risco associada a recém-contratados tem relação com a realização de diversas espectativas sobre como manusear dados. Um funcionário novo talvez não tivesse, em uma organização anterior, os mesmos requisitos de privacidade e conformidade que precisa cumprir agora com seu novo empregador.
Funcionários novos recém-saídos da faculdade são um exemplo perfeito. Em instituições de ensino superior, a colaboração, o compartilhamento de informações e o aprendizado coletivo são enfatizados e valorizados. Essas práticas são excelentes em um espaço no qual o crescimento e o compartilhamento de conhecimento são imperativos fundamentais. No entanto, em um setor altamente regulamentado como o de serviços financeiros, vemos a mentalidade oposta. Portanto, os padrões comportamentais trazidos pelos recém-contratados para seus novos cargos podem ser contrários à natureza de uma empresa corporativa.
Vimos também grandes eventos de vazamento de dados envolvendo pessoas que vieram de um cargo semelhante do mesmo mercado vertical, mas de uma empresa com políticas e procedimentos bem menos rígidos ou controlados que com o novo empregador. Por exemplo, uma organização pode investir pesadamente em um produto de compartilhamento em nuvem de terceiros, enquanto outra pode preferir um sistema centralizado que utilize tecnologias da Microsoft para o compartilhamento de dados.
Em suma, é muito fácil que os trabalhadores mantenham padrões de comportamento comuns de manipulação, gerenciamento e controle de dados quando saem de uma empresa e vão para outra.
Aprenda a gerenciar o risco interno
Quando um recém-contratado é admitido, a esperança é de que seus primeiros 90 dias serão uma história de amor na qual todos terminam “felizes para sempre”. No entanto, como profissionais de segurança da informação, precisamos estar preparados caso as coisas não saiam conforme planejado.
Se você quer saber mais sobre como gerenciar esse caso de uso de alto risco, a Proofpoint pode ajudar. Durante o mês da conscientização quanto a ameaças internas, nós convidamos você a participar de nossa série de webinares sobre risco interno. Nessa série, você pode aprender por que é tão importante ter um programa de risco interno eficaz e conhecer maneiras de aprimorar o seu programa atual.
Você é novato em questões de gerenciamento de ameaças internas? Atualize-se com nosso pacote de iniciante em Insider Threat Management.