colaboradores como elo fraco da segurança corporativa

Ataque ao PIX acende alerta sobre colaboradores como elo fraco da segurança corporativa

Investigações revelaram que golpe não ocorreu por vulnerabilidade tecnológica, mas pelo recrutamento de um colaborador

O golpe bilionário envolvendo o sistema de interconexão do PIX, operado pela C&M Software, revelou uma verdade incômoda para o mundo corporativo: o maior risco à segurança digital pode estar dentro de casa. Diferente do que se imaginava, a fraude não ocorreu por falhas tecnológicas, mas pela cooptação de um colaborador da própria empresa. O caso acendeu o alerta vermelho sobre a fragilidade no controle de acessos internos e escancarou a urgência de adotar o princípio do “menor privilégio” como regra nas organizações, principalmente no setor financeiro, onde cada credencial mal gerida pode custar milhões.

O CEO da Deserv, empresa especializada em segurança da informação e privacidade dos dados, Thiago Guedes, ressalta que a base do princípio do menor privilégio é a garantia de que apenas pessoal autorizado tenha acesso a dados específicos. “Com base nessa premissa é necessário utilizar autenticação multifatorial e biométrica para acessos críticos; revisar periodicamente as permissões de acesso, especialmente em casos de mudanças de função ou desligamento de funcionários; e utilizar sistemas que rastreiam e registrem o acesso a informações críticas”, diz.

Estudo da empresa de pesquisas Mordor Intelligence, reforça a tendência de aumento na adoção deste tipo de tecnologia em todo o mundo. De acordo com a pesquisa, o mercado de monitoramento de atividades do usuário (User Activity Monitoring -UAM) atingiu US$ 3,1 bilhões globalmente em 2025.  A organização trabalha com a previsão de que o setor avance para US$ 6,7 bilhões até 2030, refletindo um ritmo de crescimento anual de 16,5%.

Guedes destaca que marcas globais de referência neste conceito, como a Teramind, detentora de uma plataforma de UAM e prevenção contra perda de dados (Data Loss Prevention – DLP), permitem às empresas acompanhar, registrar e analisar as atividades de funcionários, contratados ou terceiros em estações de trabalho, com foco em segurança da informação, produtividade e conformidade regulatória.

“Desta forma é possível detectar e bloquear comportamentos anormais, utilizando inclusive o uso de dados dinâmicos, como geolocalização, para verificar a identidade do usuário de forma mais segura”, explica.

Ainda segundo o executivo, o episódio comprovou aquilo que os especialistas sempre disseram em relação ao dilema entre investimento e segurança da informação: “Investir apenas em soluções tecnológicas de ponta não é o suficiente se não houver uma governança robusta sobre os processos e pessoas envolvidas”, destaca.

A recomendação dos especialistas vai além do investimento em firewalls, criptografia ou autenticação multifator. O foco agora se volta para o fortalecimento de programas de compliance digital, políticas internas rigorosas e treinamento constante de colaboradores, especialmente aqueles com acesso privilegiado a sistemas críticos.

Para além da tecnologia, o compliance e a gestão de pessoas assumem um papel determinante. É preciso desenvolver uma cultura organizacional que valorize a ética, a responsabilidade e o compromisso com a segurança da informação.

“Diretrizes bem definidas sobre o uso e proteção de dados sensíveis, aliadas à educação contínua sobre ameaças cibernéticas e boas práticas, são tão importantes quanto firewalls. Segurança da informação começa na contratação e se mantém no dia a dia com treinamento e supervisão”, reforça Guedes.

Entre as boas práticas recomendadas estão:

  • Estabelecer diretrizes detalhadas sobre o uso e proteção de dados sensíveis, incluindo o manuseio de informações confidenciais, dispositivos e acesso à rede.
  • Definir procedimentos para minimização de riscos, como atualizações automáticas de software e relatórios de incidentes.
  • Educar os funcionários sobre as políticas de segurança, reconhecimento de ameaças, boas práticas e a importância da confidencialidade.
  • Realizar sessões regulares de atualização e orientação para reforçar a conscientização sobre segurança.

 

Veja também:

About mindsecblog 3126 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!