Crime cibernético – seus funcionários são uma ameaça à segurança operacional?

Crime cibernético – seus funcionários são uma ameaça à segurança operacional? Os ataques cibernéticos, que podem destruir os sistemas de TI e causar enormes perdas financeiras, representam uma séria ameaça para as organizações e estão aumentando.

Um relatório independente recente da Newsweek Vantage intitulado “Weathering The Perfect Storm“, que pesquisou organizações na América do Norte, Europa e Ásia / Pacífico, descobriu que 52% dos executivos disseram que os funcionários são a maior ameaça à sua segurança operacional. Segurança cibernética e gerenciamento de risco não é algo que pode simplesmente ser entregue ao departamento de TI.

Requer engajamento em todos os níveis. Neste artigo, exploramos como os funcionários, inadvertidamente ou não, podem contribuir para o risco do crime cibernético e fazemos algumas sugestões para os empregadores colocarem em prática para gerenciar e mitigar esse risco.

A Pesquisa 2021 sobre violações de segurança cibernética do governo do Reino Unido relata que uma das lições consistentes decorrentes de sua pesquisa é a importância da vigilância da equipe, visto que a maioria das violações e ataques cibernéticos identificados envolvem atividades maliciosas por meio das contas de usuário dos membros da equipe.

Recentes violações de dados de alto perfil envolvendo varejistas, hoteleiros e companhias aéreas mostram o impacto que os erros dos funcionários podem ter, quando combinados com sistemas de segurança insuficientes.

Por exemplo, em janeiro de 2020, os invasores comprometeram os dados de usuário de dois funcionários da Marriott e se conectaram a um dos aplicativos de terceiros da rede de hotéis.

Os invasores obtiveram acesso a 5,2 milhões de registros de hóspedes do Marriott. Em relação a um incidente anterior separado, a Marriott recebeu uma multa de £ 18,4 milhões do Information Commissioner’s Office (ICO) por não manter os dados pessoais protegidos. Mais recentemente, o hack do Colonial Pipeline nos Estados Unidos envolveu invasores cibernéticos mal-intencionados que puderam usar credenciais de contas de usuários de funcionários comprometidas para obter acesso ao ambiente de TI.

Riscos cibernéticos decorrentes do COVID-19

As mudanças nas práticas de trabalho que acompanharam a pandemia de COVID-19 provavelmente nos acompanharão por um longo prazo e levaram a um aumento nas violações cibernéticas.

Em março de 2020, o Centro Nacional de Segurança Cibernética do Reino Unido publicou orientações para que as organizações apoiem o trabalho doméstico seguro, pois reconheceu que incentivar ou exigir que a equipe trabalhe em casa apresentará novos desafios de segurança cibernética.

Os trabalhadores remotos podem precisar usar um software novo e desconhecido, os funcionários podem ficar mais distraídos quando trabalham em casa, os funcionários podem estar enviando informações da empresa para uma conta de e-mail pessoal e vários membros da família podem estar usando o mesmo dispositivo (para videochamadas no trabalho, educação em casa , jogos, streaming de vídeo).

Qualquer um desses exemplos pode deixar um dispositivo usado em casa mais vulnerável a um ataque cibernético. Por exemplo, o e-mail pessoal geralmente não é tão seguro quanto o e-mail da empresa. Além disso, o uso de dispositivos pessoais que podem não ser tão seguros para fazer logon na rede de um empregador também pode comprometer a segurança.

Existem também muitos golpes relacionados ao COVID-19. O Google afirma que bloqueia 18 milhões de emails fraudulentos relacionados ao COVID-19 todos os dias, com base em um relatório da Comptia, que é o “Estado da Segurança Cibernética 2020” .

Riscos cibernéticos internos

Os riscos para as organizações decorrentes de ações ou omissões dos funcionários vêm de uma ampla gama de fatores:

Erro humano do funcionário

  • Isso inclui o envio inadvertido de informações confidenciais ou dados pessoais para o destinatário errado. Além disso, há o problema de configuração incorreta do sistema, onde as informações confidenciais não estão devidamente protegidas, criptografadas ou protegidas por senha, o que pode resultar em acesso não autorizado. É importante também considerar a perda de dispositivos ou papéis que contenham informações confidenciais.
  • A chave para reduzir esses riscos é aumentar a conscientização sobre os riscos à segurança de dados com exemplos da vida real e dar aos funcionários as habilidades para mitigar os riscos. Embora seja impossível erradicar completamente o erro humano, ele pode ser bastante reduzido com a educação adequada da equipe e o treinamento contínuo. Uma recente Pesquisa 2021 sobre violações de segurança cibernética do governo do Reino Unido constatou que apenas 14% das empresas relataram que ofereceram treinamento em habilidades de segurança cibernética aos funcionários, embora o treinamento seja mais comum em organizações maiores.

Funcionários desonestos

Em contraste com a seção anterior, isso envolve transgressão intencional por um funcionário que tem acesso e / ou está familiarizado com os sistemas de TI da empresa. Por exemplo:

  • Nos Estados Unidos, em 2018, um engenheiro da Cisco foi acusado de ter causado US $ 1,4 milhão em danos ao obter acesso não autorizado à infraestrutura de nuvem da empresa e implantou um código malicioso que excluiu 456 máquinas virtuais usadas para o aplicativo Cisco WebEx Teams.
  • No Reino Unido, em 2013, um auditor de TI que trabalhava na Morrisons Supermarkets causou uma violação de dados ao enviar dados da folha de pagamento de quase 100.000 funcionários para a Internet, após ter sido sujeito a processos disciplinares não relacionados.

Garantindo a resiliência da segurança de TI

Quer um ataque cibernético resulte de um erro inadvertido de um funcionário ou um ato malicioso de um funcionário desonesto, as organizações devem pensar proativamente sobre a estrutura, o acesso e o gerenciamento dos sistemas de TI, por exemplo:

  • Todos os funcionários têm direitos de administração?
  • Os direitos de acesso dos funcionários são restritos às áreas necessárias para a realização de seu trabalho diário?
  • A organização considerou a segregação das informações da empresa / trabalho das informações pessoais relativas à vida privada dos funcionários que um funcionário pode armazenar em dispositivos, o que aumentaria a quantidade de dados pessoais armazenados em seus sistemas?
  • Os funcionários usam seus próprios dispositivos pessoais para realizar atividades relacionadas ao trabalho que podem não ter recursos de segurança robustos ou que podem apresentar vulnerabilidades ao sistema de TI da organização?

Impacto nos empregadores

Uma violação de dados ou ataque cibernético pode ter um grande impacto sobre os empregadores.

Risco Técnico

A infraestrutura de TI é um alvo de alto valor. O risco de uma violação para o controle operacional e integridade de dados é sério e tem um custo alto em termos de tempo, custo financeiro e reputação. A interrupção operacional que se segue pode levar a atrasos na entrega de serviços para a organização, o que pode resultar em perda de confiança de clientes e clientes.

Risco financeiro

Além dos custos e despesas envolvidos na resposta a um ataque cibernético (como o custo de restauração de sistemas de TI), também há perda de interrupção de negócios ou o custo de fazer um possível pagamento de resgate.

As organizações também podem estar sujeitas a multas e penalidades regulatórias quando o ataque cibernético envolver, por exemplo, uma violação de dados. O regulador de proteção de dados, por exemplo, impôs à British Airways uma multa de £ 20 milhões por não ter medidas de segurança suficientes, permitindo que hackers acessem informações pessoais de clientes.

Risco de litígio

Os empregadores podem ser responsabilizados pelos tribunais por violações de dados de seus funcionários. Conforme observado acima, Morrisons foi o assunto da primeira ação de grupo substantiva do Reino Unido em um contexto de privacidade cibernética e de dados.

Foi uma reclamação feita por funcionários cujos dados pessoais foram comprometidos por um funcionário desonesto. O Supremo Tribunal do Reino Unido decidiu, em última análise, que Morrisons não era indiretamente responsável pela violação de dados, visto que o funcionário, Sr. Skelton, não estava agindo no sentido de promover os negócios do empregador e seus atos foram um esforço para prejudicar deliberadamente o empregador como parte de uma vingança.

No entanto, o Supremo Tribunal confirmou que, em outros casos, pode ser possível que os empregados responsabilizem seu empregador indiretamente, se tal conduta estiver intimamente ligada a atos que o empregado foi autorizado a praticar.

Embora, neste caso, o empregador não tenha sido considerado indiretamente responsável, o Supremo Tribunal deixou a porta aberta para ações coletivas de privacidade de dados a serem movidas contra um empregador com base na responsabilidade indireta, onde a violação de dados resultou dos atos de um funcionário que foi agindo de forma intimamente ligada aos negócios do empregador.

Risco Regulatório

É de vital importância estar ciente das leis, regulamentações e reguladores aos quais sua organização está sujeita. De acordo com o GDPR, os reguladores em todos os países podem distribuir multas muito altas. Por exemplo, o regulador de proteção de dados em Luxemburgo multou a Amazon em € 746 milhões em julho de 2021 em relação ao processamento de dados de clientes pela Amazon para personalizar anúncios.

Risco de reputação

Uma violação cibernética também pode ser prejudicial para a marca de uma organização e pode levar à perda de confiança nos negócios. Isso pode ser especialmente o caso se a violação for considerada evitável. Uma pesquisa descobriu que, no caso de uma violação de dados, 85% dos clientes provavelmente informarão outras pessoas sobre sua experiência. [https://ponemonsullivanreport.com/2017/11/how-data-breaches-affect-reputation-and-share-value/]

Passos a serem adotados pelos empregadores para mitigar riscos

Além de garantir que o sistema de segurança de TI de uma organização seja resiliente (conforme discutido acima), também é importante que os empregadores estejam preparados e tenham um plano em vigor para responder com rapidez e eficácia no caso de um evento cibernético. Isso incluirá considerar os seguintes pontos:

  • Envolver uma equipe de especialistas (por exemplo, forense e jurídico de TI) para não apenas auxiliar na remediação, restauração e recuperação do sistema de TI e operação de negócios, mas também para evitar quaisquer riscos posteriores que incluem escrutínio regulatório e riscos de litígio.
  • Quais políticas estão em vigor? Muitas vezes, uma política de RH simplesmente afirma que “as informações devem ser mantidas em sigilo“, mas ao informar os funcionários sobre uma violação cibernética que afetou a empresa, é importante enfatizar a confidencialidade dos detalhes de tal incidente para evitar boatos e escrutínio público indesejado.
  • Considere o fluxo de informações dentro da organização. É importante ser totalmente transparente com a equipe ou é mais importante interromper qualquer fluxo de desinformação e, portanto, garantir que as comunicações sejam mantidas para o menor grupo possível? Ambas as opções provavelmente terão suas vantagens e dependerão dos fatos específicos do evento de segurança quanto à melhor abordagem a ser tomada. É importante ter em mente que os funcionários podem estar ansiosos e preocupados com o que aconteceu com seus dados, quem tem acesso a eles, se haverá algum impacto em suas atividades do dia a dia e se eles continuarão a ser. pago.
  • Os funcionários devem estar a bordo para gerenciar as expectativas do cliente e fornecer a garantia necessária aos clientes de que o incidente está sendo tratado com competência.
  • É fundamental que todos os funcionários estejam vigilantes contra quaisquer ataques futuros e saibam o que procurar e como proceder para relatar quaisquer suspeitas. O treinamento é fundamental.
Fonte: ESPC

Veja também:

 

Sobre mindsecblog 1881 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Comentário

4 Trackbacks / Pingbacks

  1. Microsoft reedita Bug do Milênio na virada para 2022
  2. Wireshark 3.6.1 - O que há de novo!
  3. Organizações enfrenta desafios na implementação de estratégias Zero Trust
  4. Informações da ômicron são usadas como isca para roubar dados digitais

Deixe sua opinião!