À medida que o mundo digital continua a crescer, o mesmo acontece com o volume, a variedade e a velocidade das ameaças e ataques cibernéticos. O mundo está repleto de dados e sempre há alguém tentando transformá-los em sua própria moeda virtual.
Atualmente, o malware e o ransomware estão afetando tudo, desde nossos telefones celulares pessoais até a infraestrutura de missão crítica e as cadeias de suprimentos. Seja phishing, sorrindo, ou pescar, os atacantes também estão ficando mais sofisticados, usando detalhes sobre nossa vida pessoal e profissional para nos tentar a compartilhar nossos dados.
Mas em um mundo em que todos são um alvo, as empresas também precisam entender sua exposição aos riscos decorrentes dentro suas organizações. Hoje, mais de 300 milhões de pessoas estão trabalhando remotamente — criando, acessando, compartilhando e armazenando dados onde quer que estejam — e violações de dados decorrentes de ameaças internas e simples acidentes podem custar às empresas uma média de$7,5 milhões por ano. Considere a violação de dados do Cash App em 2022, em que um ex-funcionário acessou os relatórios financeiros do cliente após ser demitido. A violação provavelmente afetou 8,2 milhões de clientes atuais e antigos.
Em última análise, não importa se a violação foi intencional ou acidental. Os programas de risco interno devem fazer parte da estratégia de segurança de todas as empresas. Para serem bem-sucedidas, as organizações devem liderar com seus funcionários como parceiros no esforço e complementar seu programa com ferramentas avançadas que detectem e mitiguem riscos internos onde quer que eles surjam.
Aqui estão quatro lições que aprendi como CISO na Microsoft, gerenciando nosso programa de risco interno à medida que ele cresceu de uma pequena iniciativa interna para uma unidade de negócios que se reporta ao CEO.
1. Priorize a confiança e a privacidade dos funcionários
Esse ponto vem em primeiro lugar por um motivo. Nos negócios e na vida, a confiança é a chave para qualquer relacionamento funcional. Os melhores programas de risco interno enfatizam o equilíbrio entre a privacidade dos funcionários e a segurança da empresa. É fundamental criar controles e políticas de privacidade que mantenham e até aumentem a confiança.
Configurar ferramentas para filtrar indiscriminadamente as atividades dos funcionários em busca de irregularidades não é apenas ineficaz e contraproducente, é simplesmente errado. É uma invasão de privacidade que cria ansiedade e corrói o relacionamento. As organizações precisam ser capazes de detectar riscos internos, mas precisam fazer isso da maneira correta, agindo de forma transparente e dentro de um escopo estreitamente definido para demonstrar respeito e transmitir confiança aos funcionários.
A configuração de controles de privacidade que protejam as identidades no trabalho, mesmo durante as investigações, permite que as pessoas saibam que você também as está protegendo. Usar o acesso baseado em funções para ferramentas internas de gerenciamento de riscos também ajuda a garantir que a pessoa certa revise os alertas de conformidade, evitando que suspeitas injustificadas se infiltrem na organização.
2. Colabore em várias funções
Embora os grupos de TI e segurança sejam os líderes, o risco interno é um problema de negócios que envolve toda a empresa. Na Microsoft, aprendemos isso com o tempo. O que começou como uma iniciativa em nossa organização de segurança evoluiu para um esforço unificado entre os grupos de negócios, incluindo liderança jurídica, de RH e sênior.
Esse amplo envolvimento ajuda a garantir uma adesão mais ampla e fornece perspectivas e recursos adicionais, como o departamento jurídico priorizando regulamentações emergentes e o RH facilitando programas e pesquisas de treinamento. Um comitê de risco interno ou ombudsman pode ajudar a iniciar a conversa. Uma de suas primeiras tarefas deve ser criar um plano de resposta que descreva como as informações são compartilhadas, quando e com que contribuição cada grupo, quem toma quais decisões e quem é responsável.
Também é importante ter metas compartilhadas com medidas claras de sucesso. Você pode ajustar o processo quantificando as principais métricas, como o número de casos levantados, os verdadeiros sinais positivos e falsos positivos e as ações tomadas como resultado das descobertas. Se você tiver um grande número de falsos positivos, corre o risco de sobrecarregar suas equipes jurídicas e de RH com investigações desnecessárias e caras.
3. Reconheça que os funcionários são a primeira e a última linha de defesa
Fazer com que os funcionários participem do treinamento em proteção de dados e conformidade pode ser um desafio, mas é importante que eles saibam como mitigar os riscos de segurança e por que isso é uma prioridade. Treinamentos que enfatizam a administração de dados mostram que a organização está estendendo sua confiança aos funcionários à medida que eles atendem aos negócios.
Treine as pessoas sobre como lidar adequadamente com os dados da organização e repita essa mensagem regularmente para que ela esteja sempre atualizada. Também ajuda a torná-lo pessoal. A maioria das pessoas compreende e se envolve imediatamente em como proteger seus próprios dados financeiros e de saúde. Inserir um aspecto pessoal ao treinamento também conecta pontos sobre a importância da proteção de dados para a empresa.
Treinar pessoas com base no princípio de “ver algo, dizer algo” de forma livre de riscos é uma capacidade essencial para um programa privilegiado. Ao melhorar a educação e o treinamento em segurança de dados, as empresas podem capacitar os funcionários como primeira e última linha de defesa, complementada por ferramentas de detecção.
4. Use ferramentas de aprendizado de máquina para fazer mais com menos
O Gartner define gerenciamento de risco interno como “as ferramentas e capacidades para medir, detectar e conter o comportamento indesejável de contas confiáveis dentro da organização”. E as ferramentas de gerenciamento de riscos internos se tornaram muito mais precisas e eficazes nos últimos anos.
Ferramentas mais antigas tendem a ignorar indicadores sutis que podem identificar um malfeitor tentando esconder seus rastros. Eles também costumam apresentar controles excessivamente rígidos que reduzem a produtividade e incentivam soluções alternativas. Hoje, uma nova geração de ferramentas internas de gerenciamento de riscos está surgindo com recursos de segurança adaptáveis que podem detectar atividades arriscadas e mitigar qualquer impacto potencial, sem deixar de atrapalhar e manter as informações do usuário privadas.
Quando uma atividade como imprimir um arquivo confidencial pode não mostrar intenção, uma sequência de atividades conectadas, como renomear o arquivo e excluí-lo após a impressão, pode indicar algo mais sério. Usando o aprendizado de máquina, essas ferramentas podem separar o sinal do ruído e identificar ações sutis, reduzindo os falsos positivos que podem atrapalhar a organização.
Um programa bem-sucedido de risco interno se concentra nas pessoas, nos processos e nas tecnologias
Gerenciar riscos internos e externos é vital para a segurança de qualquer organização. Cada um tem seus próprios desafios, mas o que torna o gerenciamento interno de riscos especialmente complicado é a necessidade de equilibrar pessoas, processos e tecnologias.
Ferramentas poderosas podem ajudar a impedir, detectar e responder aos riscos internos, mas não resolverão as causas básicas. É aí que a integração detalhada, os treinamentos de segurança, os exercícios de formação de equipes e os programas de equilíbrio entre trabalho e vida pessoal são úteis. A criação de um ambiente de trabalho saudável ajuda a reduzir o risco de um funcionário se envolver intencionalmente em comportamentos perigosos. Mas, no final das contas, encontrar o equilíbrio entre pessoas e tecnologia é o que importa acima de tudo. O gerenciamento de riscos precisa ser proativo e contínuo, e é preciso confiança, transparência e colaboração para manter esse mecanismo funcionando. Essa filosofia — as pessoas em primeiro lugar, apoiada por uma tecnologia poderosa — é a única maneira de evitar incidentes antes que eles aconteçam, detectá-los se ocorrerem e responder a eles de forma rápida e eficaz.
