VOCÊ ESTÁ SENDO TRAÍDO?
Métodos de User and Entity Behavior Analytics dão clareza sobre riscos de ataques internos e vazamentos de dados, para orientar ações técnicas, educacionais ou coercitivas, sem conflitos desnecessários com a privacidade e respeitabilidade dos usuários
Em uma investigação sobre malware por phishing, se indagou por que uma funcionária solteira, que sequer tinha namorado, se interessou em abrir um arquivo com fotos de um suposto adultério. “Fiquei curiosa para ver quem era o traído do escritório”, justificou. Em outra ocorrência, o foco da desconfiança era um usuário que levava seu próprio disco de inicialização, porque “não confiava na segurança da rede local” para fazer Internet banking.
Mais recentemente, temos as tendências de BYOD (trabalhe com seu próprio dispositivo) e BYOApp (traga seu próprio aplicativo) com o ápice da autonomia do usuário. E faz sentido, uma vez que os profissionais são medidos por produtividade e não é comum o pagamento de bônus por mitigar riscos. Junto à negligência e ao voluntarismo, temos a vilania propriamente dita, por ressentimento, ganância e outros motivadores de bandidos “disfarçados” de funcionários.
Na prática, as perdas financeiras e institucionais decorrentes de vazamentos de dados não dependem necessariamente da má índole dos empregados. Mas os riscos são sempre determinados pela personalidade de quem interage com os sistemas de informação. A abordagem de User and Entity Behavior Analytics (análise comportamental) é hoje um instrumento imprescindível para lidar com a variável humana na segurança da informação. Em resumo, o primeiro passo é aplicar a máxima do general Sun Tzu (autor de A arte da guerra): conheça a si mesmo, o contexto de negócios e os alvos críticos; e conheça seu inimigo, no caso os comportamentos de risco. Contudo, quando se trata de gerenciar gente, os problemas são mais complexos e as soluções mais sutis.
Segundo dados da Forrester Research, ataques a partir da rede interna (ou extensões de VPN, intranet ou extranet) representaram 39% das violações de dados em 2015. Desse total, em 26% dos casos foi constatado dolo (intenção criminosa). Em 56% dos casos, os incidentes se devem a negligência em relação a políticas de segurança, como deixar dados críticos em áreas sem criptografia (cópia na planilha ou envio por e-mail, por exemplo).
Além desses dois vetores, outro ponto de comprometimento é o roubo de credenciais. Em uma organização de serviços financeiros, a TI teve que implementar autenticação biométrica nos certificados digitais, porque os dirigentes insistiam em anotar ou deixar a senha com a secretária. Por acaso, esses mesmos executivos frequentam os congressos de Governança, Risco e Conformidade, participam de palestras avançadas sobre “risco sistêmico”, mas nem por isso deixam mais tranquila a vida dos gestores de segurança de sua organização.
A abordagem de User and Entity Behavior Analytics inclui um conjunto de tecnologias de inteligência analítica aplicada a controle de risco e conformidade e permite decisões estratégicas com base na realidade do comportamento humano.
A inteligência analítica aplicada a segurança é o que tem permitido avanços, como serviços financeiros e outras aplicações críticas totalmente online. Todavia, o escopo e as possibilidades de interação de sistemas feitos para usuários externos permitem maiores restrições. Pessoas aceitam ser revistadas no aeroporto, nunca na portaria do prédio. Em contrapartida, é mais fácil mapear comportamentos típicos no local de trabalho. Portanto, não há necessariamente conflito entre os sistemas de User and Entity Behavior Analytics e a privacidade e autonomia dos usuários – ninguém olha o que se faz no banheiro, mas se alguém vai a um banheiro três andares acima é bom perguntar por quê.
Há cerca de 15 anos, a Forcepoint atende às organizações mais fortemente reguladas com a solução SureView® Insider Threat (SVIT), que evita perdas como vazamento de propriedade intelectual ou dados pessoais de clientes e cidadãos. Ao longo desse período, repetidos incidentes – como divulgação de números de cartão de crédito e até mesmo documentos oficiais sigilosos – ressaltaram a responsabilidade dos detentores de dados críticos. Reguladores das áreas de mercado de capitais, saúde e outros setores sensíveis a confidencialidade também baixaram a régua, uma tendência que deve ser seguida por legisladores e auditores em todo o mundo. Hoje, há ainda uma consciência global das perdas com corrupção, o que deixa as empresas mais vulneráveis a más condutas de seus empregados.
A responsabilidade com dados e informações não é, neste contexto, uma questão restrita a segurança e TI. O que a tecnologia pode contribuir, além de mitigar os riscos durante a operação dos serviços, é fornecer a áreas como Recursos Humanos ou Controladoria informações realistas para decisões eficazes.
Lamentavelmente, o binômio crise/oportunidade também se aplica àquele “diabinho” que corrompe as consciências mais fracas. Além do risco de ladrões internos atraídos por ganhos financeiros, basta um boato de demissões, ou algo do tipo, para multiplicar os incidentes, desde a tentativa de copiar informações consideradas “pessoais” à própria sabotagem.
A evolução do SVIT nas organizações que o adotaram não se deve só à atualização do software, hoje na versão 8.1. Quanto mais se utiliza User and Entity Behavior Analytics, mais se sabe sobre os comportamentos típicos, os perfis de exposição a riscos e até mesmo a justifica legítima de determinados desvios das políticas. Como resultado, pode-se trabalhar com a confiança que a maioria dos funcionários merece.