As ameaças internas continuam a aumentar e a ganhar destaque nos noticiários. Por isso não é surpreendente que muitos CISOs considerem uma alta prioridade identificar e prevenir proativamente esses tipos de ameaças. De fato, pesquisas para o relatório Voice of the CISO de 2024 da Proofpoint revelaram que um terço dos CISOs do mundo todo consideram que as ameaças internas serão seu maior desafio de cibersegurança nos próximos 12 meses.
Um programa formal de gerenciamento de ameaças internas pode ajudar a sua empresa a responder mais rapidamente a ameaças internas — e também a reduzir seu impacto. Porém, não basta apenas ter um programa. É preciso também poder identificar, prevenir e responder a ameaças internas efetivamente e de uma maneira oportuna. Assim você pode minimizar danos financeiros e à marca.
O mês da conscientização quanto a ameaças internas é a ocasião ideal para refletir sobre essa questão: quão eficaz é o seu programa de risco interno? Esta postagem pode ajudá-lo a encontrar a resposta. Examinaremos um modelo que você pode usar para avaliar a robustez do seu programa de risco interno.
O modelo de eficácia do programa de risco interno
Você pode utilizar o modelo de eficácia do programa de risco interno (IRPEM) para avaliar o seu programa de risco interno e determinar o quanto ele pode ajudar você a deter, detectar, mitigar e responder a ameaças internas. Você pode usar o modelo e seus atributos para avaliar onde se pode melhorar e reforçar a sua postura de segurança.
O objetivo último é criar um programa de risco interno maduro e preditivo que ajude a sua empresa a identificar riscos potenciais o quanto antes.
3 estágios do modelo de eficácia do programa de risco interno
A identificação prematura de fatores de estresse e comportamentos arriscados pode proporcionar à sua empresa opções de resposta positiva, como uma recomendação para um programa de assistência ao funcionário (EAP), que ajude a gerar confiança em torno do seu programa. (Você pode aumentar a sua capacidade de reduzir perdas financeiras e danos à reputação decorrentes de ameaças internas com um programa que seja tanto eficaz quanto confiável.)
Risco interno versus ameaça interna — qual é a diferença?
Antes de examinarmos detalhadamente o IRPEM, é importante esclarecer a diferença entre um “risco interno” e uma “ameaça interna”. Muitas pessoas utilizam esses termos como sinônimos, mas eles não significam a mesma coisa.
Uma ameaça interna é um subconjunto do risco interno. Todos os elementos internos constituem um determinado grau de risco inerente para a empresa, considerando-se seu acesso aos dados e sistemas da empresa, bem como suas predisposições comportamentais intrínsecas. Porém, nem todo elemento interno torna-se uma ameaça interna. Um elemento interno representa uma ameaça quando utiliza seu acesso a sistemas, dados e aplicativos para, de alguma forma, causar dano às finanças, à reputação, às relações comerciais, às pessoas, à missão ou aos clientes da empresa, maliciosamente ou inadvertidamente.
Você precisa de uma abordagem estratégica e tática para gerenciar tanto riscos internos quanto ameaças internas efetivamente. Por isso é importante compreender as diferenças.
Uma visão detalhada do modelo de eficácia do programa de risco interno
Agora vamos falar do IRPEM. Esse modelo define se uma abordagem do programa de risco interno é:
- Reativa (a mais fraca)
- Proativa (moderadamente forte)
- Preditiva (a mais forte)
Os atributos de cada nível de eficácia não são uma lista completa. Contudo, eles classificam os principais fatores de diferenciação em duas áreas principais — pessoal/treinamento e coleta/análise de dados.
A abordagem reativa — “Quando acontece, nós resolvemos”
O foco de um programa de ameaças internas reativo está em reagir a um evento de perda após sua ocorrência. Isso pode incluir eventos que envolvam o seguinte:
- Roubo de dados/propriedade intelectual
- Sabotagem
- Fraude
- Espionagem
- Violência
Esse tipo de programa costuma oferecer apenas treinamento sobre como identificar essas ações, e não os indícios preliminares que podem resultar em um evento de perda.
Pessoal e treinamento
Um programa reativo:
- Não inclui treinamento formal em ameaças internas para funcionários, gerentes e departamentos internos, deixando-os alheios ao risco de ameaça interna e, portanto, menos propensos a reconhecer a ocorrência de indicadores de risco
- Não tem uma estrutura segura para os funcionários denunciarem comportamentos de ameaça interna observáveis
Coleta e análise de dados
Um programa reativo:
- Não inclui uma estratégia formal de detecção de ameaças internas e um plano formal de resposta a incidentes, de modo que a reação após uma violação de segurança interna consiste em avaliar o contexto técnico em torno da violação para determinar a intenção do usuário
- Não promove colaboração entre departamentos relevantes quando ocorre uma atividade suspeita de ameaça interna
- Não identifica as pessoas mais propensas a deixar a empresa e, em vez disso, há uma avaliação retroativa das atividades do funcionário ao final de seu vínculo empregatício em busca de atividades de ameaças internas somente depois que a empresa tem notícia de que o funcionário está pedindo demissão voluntariamente ou sendo despedido
A abordagem proativa — “Melhor prevenir do que remediar”
O foco de um programa de ameaças internas proativo está na prevenção de eventos de perda por meio do uso de políticas, procedimentos e treinamento formalizados que ajudem a limitar a exposição. O uso de tecnologias para identificar ameaças internas antes que ocorram eventos de perda é uma característica dessa abordagem.
Pessoal e treinamento
Um programa proativo:
- Utiliza treinamento em conformidade, procedimentos e políticas de segurança existentes e padrões do setor para estabelecer expectativas de referência e gerenciamento de consequências
- Desenvolve treinamentos específicos em ameaças internas para os departamentos internos relevantes para melhorar seu grau de conscientização quanto a indicadores de risco de ameaça interna denunciáveis, como:
- Violações de políticas de uso aceitável
- Insatisfação/toxicidade
- Conduta antiética
- Uso indevido de cartões corporativos
- Viagem ao exterior não aprovada
- Define uma estrutura de denúncia segura para possibilitar que os funcionários denunciem comportamentos suspeitos de ameaça interna observáveis
Coleta e análise de dados
Um programa proativo:
- Define uma estratégia de detecção de ameaças internas, resposta a incidentes e plano de comunicação
- Possibilita um processo colaborativo de compartilhamento de informações entre departamentos relevantes quando ocorre uma atividade suspeita de ameaça interna
- Prioriza o monitoramento das pessoas identificadas como de alto risco, como por exemplo:
- Funcionários novos — ou que ainda estão no período probatório inicial de 90 dias
- Grupos de exceção — pessoas colocadas em grupos com justificativa empresarial e que podem, efetivamente, ficar sem monitoramento
- Usuários privilegiados — aqueles que, pela própria natureza de seus cargos, têm acesso a ativos críticos de alto valor, como informações confidenciais da empresa ou de clientes, ou acesso a outros dados, sistemas, materiais e instalações
- Riscos de evasão — funcionários que podem vir a deixar a empresa em circunstâncias desfavoráveis antes de sua saída (por exemplo, aqueles que se encontram em um plano de melhoria de desempenho, que estão sob investigação, que foram rebaixados, que foram mal avaliados em seu desempenho e que podem perder algum bônus ou gratificação, que sofreram ações disciplinares ou que tenham conversado com a gerência antes de sair de licença)
- Departamentos — funcionários afetados por mudanças organizacionais que podem gerar fatores de estresse profissional; tais mudanças podem incluir corte do quadro de funcionários, fusões e aquisições, reestruturação, um novo foco empresarial que pode afetar o trabalho ou restrições orçamentárias que podem afetar bonificações e promoções
A abordagem preditiva — “Na vanguarda”
Essa abordagem baseia-se nos estágios anteriores. Seu foco está na detecção de indícios preliminares de fatores de estresse — pessoais, profissionais, familiares ou financeiros —que podem levar ao risco de exploração interna. Ela incorpora o “fator humano” e dados técnicos para que os analistas possam construir uma imagem abrangente que os ajude a prever possíveis atividades de ameaças internas — e evitá-las.
Pessoal e treinamento
Um programa preditivo:
- Capacita líderes seniores de departamento, gerentes de linha de frente e seus funcionários a reconhecer os desvios mais sutis nos comportamentos dos funcionários, onde até as mais poderosas tecnologias e detecções podem não ser suficientes
- Busca fazer da sua força de trabalho a primeira linha de defesa contra possíveis ameaças internas
Coleta e análise de dados
Um programa preditivo:
- Impõe detecção de ameaças internas no caso de possíveis indicadores de risco na empresa; tais indicadores incluem técnicas, comportamentos preocupantes e fatores de estresse
- Prioriza o monitoramento avançado de grupos conhecidos de alto risco
- Incorpora novos grupos de alto risco com base em insights sobre o cenário do risco em evolução fornecidos por equipes de inteligência sobre ameaças, como:
- Perpetradores de ameaças externos que visam funcionários insatisfeitos para obter acesso a credenciais ou dados
- Funcionários em situação financeira precária que possam estar mais vulneráveis e mais propensos a se envolver com um perpetrador de ameaças mediante um pagamento
Com um programa preditivo, também é possível ver tendências e padrões na sua organização que ajudem você a se manter na vanguarda e a reduzir o seu risco. Por exemplo, quando o seu departamento de TI implementa um novo controle de prevenção, os seus funcionários podem utilizar outras vias para evitá-lo. Esse padrão pode ajudar a sua equipe a encontrar grupos de funcionários que precisem de suporte adicional.
Um programa preditivo também viabiliza um programa de ameaças internas adaptável e que tenha um loop de feedback bem definido. O pessoal de segurança pode se defender e responder a ameaças internas proativamente e compartilhar com outros departamentos quaisquer sinais preliminares que, de outra forma, poderia passar despercebidos.
Gostaria de saber mais?
Durante o mês da conscientização quanto a ameaças internas, a Proofpoint convida você a participar de nossa série de webinares. Você vai saber porque é tão importante ter um programa de ameaças internas que seja eficaz, seja com foco em proteção de dados ou em risco interno.
Novato em questões de gerenciamento de ameaças internas? Atualize-se com nosso pacote de iniciante em Insider Threat Management.