Defendendo sua empresa de ataques internos

Se você já leu muitos romances ou viu muitos filmes de ação, o enredo é bem familiar para você: uma pessoa de dentro – agindo por ter sido menosprezado ou insultado anos atrás – se vira contra uma empresa, infringindo danos significativos. Às vezes, o funcionário está do lado dos mocinhos, às vezes, dos bandidos.

Isso faz sentido. Um funcionário sabe exatamente como uma empresa faz as coisas, o que considera valioso e como responderá a um ataque. Quem mais seria melhor para realizar um ataque do que uma pessoa de dentro?

Porém, isso supõe que uma “ameaça interna” seja intencional. Felizmente, a maioria das pessoas não estão querendo destruir a empresa a que pertencem. A maioria das pessoas quer que o grupo de que fazem parte tenha sucesso e vá bem. A menos que você esteja em uma organização que lida com segurança nacional, isso é provavelmente algo com que não tenha que se preocupar.

O problema é que nem todas as “ameaças internas” são deliberadas. “Pessoas de dentro” podem acabar vazando informações para agressores, inadvertidamente. As mídias sociais forneceram aos usuários muitas novas e interessantes maneiras para se comunicar e, infelizmente, às vezes isso inclui informações pessoais que não devem ser comunicadas.

Se as pessoas já estão vazando informações pessoais online, o que acontece quando se tem uma engenharia social tentando extrair informações de outras pessoas? A engenharia social pode ser definida como a arte de conseguir que outras pessoas façam o que você quer.  É uma arte que tem sido praticada, de um jeito ou de outro, há milhares de anos, portanto não deveria ser uma surpresa que os atores de ameaças tenham se tornado muito bons nisso.

Quase todos os ataques direcionados começam com uma forma de engenharia social. Embora não seja uma tarefa simples, você pode, e deve, tentar se defender desses tipos de ataques.

As empresas podem se defender contra esses ataque de duas maneiras, uma não exclui a outra. Primeira, existem meios técnicos de defesa. Por exemplo, o bloqueio de email pode ajudar a impedir ataques projetados para personificar outros grupos (tais como bancos ou organizações de confiança). Soluções heurísticas e de reputação de email são úteis para isso.

A segunda maneira é fortalecer seus usuários. Ensine-os a serem mais cuidadosos, vigilantes e conscientes das ameaças atuais. Garanta que, ao invés de ignorar esses ataques, eles os relatem para sua própria segurança e a segurança da equipe para que a empresa toda possa ficar ciente do que está acontecendo.

Ainda mais importante do que a forma de proteger os dados é decidir quais dados proteger. É difícil, se não impossível, proteger tudo. O que você precisa decidir é: O que importa mais para sua empresa e precisa ser protegido? Eu recomendo usar três categorias:

  • Dados que não são sensíveis
  • Dados que causarão um impacto negativo em sua empresa, se vazarem
  • Dados que destruirão seus negócios, se vazarem

Essa organização parece simples, mas é provável que haja um intenso debate ao classificar quais dados entram em cada categoria, Porém, é necessário: você precisa descobrir o que é realmente importante e o que é fundamental para sua empresa. Proteja isso antes de qualquer outra coisa.