Funcionários acreditam que a empresa não tem propriedade exclusiva sobre os dados. Executivos de TI e Usuários divergem sobre vazamento de dados e suas causas, pesquisa da Egress aponta que 95% dos executivos de TI estão preocupados com vazamento interno, enquanto 60% dos funcionários acreditam que a organização não tem propriedade exclusiva sobre os dados.
Nos últimos cinco anos, os incidentes que chamam a atenção demonstraram as implicações potenciais de uma violação de dados – da reputação comercial prejudicada à perda de receita e até desvalorização da empresa.
De acordo com pesquisa do Instituto Ponemon de 2018 sobre o custo de uma violação de dados, uma violação típica custa para uma empresa cerca de US$ 3.86M, alta de 6,4% em relação a 2017.
À medida que o impacto financeiro das violações de dados aumenta, também aumentam as oportunidades para os funcionários perderem dados confidenciais – acidentalmente ou maliciosamente.
A IDC estima um aumento de 300% em dados não estruturados (e-mails e arquivos) até 2020, quando as organizações adotarem novas práticas de trabalho digitalizadas.
Como resultado, os funcionários compartilham mais informações digitalmente, incluindo e-mails e conteúdo multimídia, como arquivos de áudio e vídeo, criando mais oportunidades para que violações de dados ocorram.
Nos esforços para proteger esses dados, as organizações continuam a investir. Segundo o Gartner que os gastos com o mercado global de segurança da informação chegarão a US$ 101,6 bilhões até 2020.
Dado o montante significativo gasto em segurança e o aumento do custo e oportunidade para uma violação de dados, as organizações precisam ter certeza de que seus gastos estão tendo impacto na minimização das chances de violação de dados.
Apesar deste investimento, as estatísticas do Instituto Ponemon mostra que todos os tipos de ameaças internas estão aumentando, com o número médio de incidentes envolvendo negligência de empregados ou contratados subiu
em 28% por organização.
Uma pesquisa da Egress sobre violação de dados internos de 2019 procurou avaliar as causas-raiz destas violações de dados, bem como a frequência e o impacto de tais incidentes. Além disto, a intenção é descobrir a “intenção” por trás das violações internas, com uma visão específica de como os funcionários e executivos diferem em suas visões sobre o que constitui uma violação de dados, o que é um comportamento aceitável ao compartilhar dados da empresa, na tentativa de explicar por que violações de dados internas continua a subir.
Os dados mostram que há uma desconexão entre os líderes de TI e os funcionários de como cada grupo visualiza dados confidenciais.
Essa lacuna de percepção, combinada com o rápido crescimento em dados não estruturados e aumento das formas dos funcionários compartilharem esses dados, têm o potencial de afetar negativamente o programa de segurança de uma organização.
Os resultados da pesquisa podem oferecer insights que poderiam ajudar a guiar a alocação do orçamentos de segurança e estratégias para que o investimento possa ser direcionado para onde alcançar o maior impacto na prevenção de violações de dados dispendiosas.
“As violações de dados internas é uma preocupação para 95% dos líderes de TI”
Entender as ameaças à segurança e os riscos de violação de dados enfrentados pelas organizações é primordial. Mas descobrir o “porquê” por trás de violações internas de dados é fundamental para garantir a integridade de uma organização .
Os líderes de TI acreditam predominantemente que os funcionários estão colocando em risco dados confidenciais, tanto acidentalmente ou maliciosamente.
- 79% dos CIOs acreditam que os funcionários colocaram os dados da empresa em risco acidentalmente nos últimos 12 meses, enquanto 61% acham que os funcionários colocaram os dados da empresa em risco maliciosamente
- No geral, 95% reconhecem que as ameaças de segurança internas são um risco para a organização
Os líderes de TI acreditam que os funcionários são mais propensos a colocar em risco os dados acidentalmente do que maliciosamente. 61% declarou sua crença de que os dados tinham sido exposta deliberadamente em comparação com 79% dos que sentiram que os empregados colocaram
dados em risco acidentalmente.
Até o funcionário “curioso” pode colocar dados em risco por acessando e compartilhando sem permissão. Segundo a pesquisa, recentemente, 60 funcionários em um hospital nos EUA foram demitidos por acessar e compartilhar informações de um paciente celebridade.
Independentemente da intenção, os líderes de TI tem a responsabilidade de fornecer aos funcionários ferramentas para compartilhar e acessar dados com segurança.
Causas raiz das violações internas
Quando se trata das causas das violações de dados – maliciosas e
acidentais – os líderes de TI dão aos funcionários o benefício da dúvida e acredita que eles são causados principalmente não intencionalmente
por funcionários cometendo erros (60%).
Uma falta geral de a conscientização foi a segunda causa principal
(44%), enquanto 36% acreditam que a falta de treinamento sobre as ferramentas de segurança que a empresa usa é o driver principal.
No entanto, 30% acreditam que violações de dados resultam de funcionários para prejudicar a organização, enquanto 28% acreditam que os funcionários roubam dados para ganho financeiro.
Curiosamente, quando se trata de violação de dados maliciosos intencionais, os líderes de TI estão mais preocupados com aqueles que vazam informações da empresa para um concorrente (32%).
Empregados tomando
dados para um novo trabalho, vazando dados para os cibercriminosos e dados com sistemas pessoais foram os segundos mais comumente
citado (21%).
É por isso que os líderes de TI precisam de soluções de segurança que forneçam proteção abrangente para dados sensíveis, ao mesmo tempo trilhas de auditoria para um log de quem está acessando quais dados devem estar disponível para serem verificadas pelas equipes de segurança
De acordo com a pesquisa a maioria dos líderes de TI pesquisados atribuem o maior impacto de uma violação de dados interna a dano de reputação (38%), seguido por impacto financeiro (27%) e vazamento de propriedade intelectual (18%).
Perspectiva do Usuário
“Na perspectiva do funcionário: nenhuma política da empresa está sendo violada. “
Os resultados da pesquisa mostram uma desconexão significativa entre a perspectiva do líder de TI e do funcionário envolvido na violações de dados internos.
Enquanto 61% dos líderes de TI acreditam que os funcionários violaram dados maliciosamente em algum momento, 94% dos funcionários dos EUA e 87% dos funcionários do Reino Unido afirmam que as políticas de compartilhamento de dados da empresa não foram intencionalmente violadas.
Uma pequena porcentagem (2% nos EUA e 5% no Reino Unido) declara que violaram de forma intencional as políticas entre 2 e 5 vezes no último ano.
Similarmente, 95% dos EUA e 90% dos funcionários do Reino Unido acreditam que nunca causaram uma violação de dados acidental.
A pesquisa recente do Egress sobre privacidade de dados nos EUA constatou que 83% as empresas sofreram uma violação acidental de dados.
“Essa lacuna de percepção aponta para um grande desafio para as empresas. Violação de dados internos são vistas como ocorrências freqüentes e prejudiciais que são de grande preocupação para 95% dos líderes de TI, mas os vetores para essas violações – funcionários – desconhecem ou não querem admitir sua responsabilidade.”, afirma a pesquisa.
Enquanto a maioria dos funcionários hesitou em admitir que era a causa de
uma violação de dados, aqueles que eram os agentes do compartilhamento de dados confidenciais intencionalmente mostraram uma atitude de indiferença preocupante em relação à informação da empresa.
De acordo com o questionário:
- 55% dos funcionários que compartilharam dados intencionalmente afirmam que o fizeram porque eles não tinham as ferramentas de segurança necessárias para compartilhar informações com segurança, o que aponta para a determinação dos funcionários de “fazer o trabalho”, mesmo se isso significa compartilhar dados de maneira insegura.
- 23% dos funcionários que compartilharam dados declararam que o fizeram intencionalmente para ter as informações com eles quando eles deixarem a empresa para ir para um novo emprego.
- 13% dos funcionários que compartilharam ou removeram dados intencionalmente em um ato de desafio ou retalhação porque eles “estavam chateados com a organização“.
Acidentes acontecem
Acidentes acontecem, mas a exposição acidental a dados representa risco significativo. O crescimento explosivo de dados não estruturados em e-mail, aplicativos de mensagens e plataformas de colaboração faz com que seja incrivelmente simples compartilhar informações.
Como resultado, está mais fácil do que nunca para os funcionários compartilharem acidentalmente informações de uma maneira que não esteja de acordo com as política da empresa.
- 45% dos funcionários que compartilharam informações acidentalmente enviou para a pessoa errada, enquanto mais de um terço compartilhou informações que eles não sabiam que não deveriam ser compartilhadas (35%).
Funcionários que compartilharam informações acidentalmente também colocaram os dados em risco, exibindo práticas de segurança precárias:
- 27% clicaram em um link de phishing
- 12% responderam a um E-mail de spear phishing e compartilharam dados.
A pesquisa Insider Data Breach 2019 também analisou a mentalidade por trás das violações acidentais. De acordo com pesquisa:
- 48% dos funcionários que compartilharam dados acidentalmente acreditam
que eles causaram uma violação acidental de dados por “pressa”. - 30% culpam um ambiente de trabalho de alta pressão.
- Enquanto 29% afirmaram que o fizeram porque estavam cansados.
Conclusão
Os líderes de TI estão legitimamente preocupados com violações de dados internos e acreditam que é provável que elas ocorram no futuro próximo em sua organização. Apesar do reconhecimento e compreensão das causas, eles ainda não conseguem impedir o que está acontecendo.
O resultado é a perda do valor da marca, multas por não conformidade e potencial perda de receita, perda clientes e perda de vantagens competitivas.
A pesquisa Insider Data Breach 2019 destaca a clara desconexão entre Líderes de TI e funcionários em termos de compreensão de propriedade de dados e comportamento apropriado ao compartilhar informações – uma possível razão para esse aumento de violações de dados.
Quando os funcionários reconhecem que podem ter causado uma violação, eles atribuem a um ambiente de trabalho de alta pressão, correria para fazer um trabalho e treinamento deficiente.
“60% dos funcionários acreditam que a organização não tem propriedade exclusiva sobre os dados”
Igualmente preocupante, 60% dos funcionários acreditam que a organização não tem propriedade exclusiva sobre os dados, favorecendo
assim departamentos e indivíduos.
A pesquisa também destaca que as atitudes em relação a propriedade e responsabilidade sobre os dados variam significativamente entre gerações.
No local de trabalho multiplicidade de gerações de hoje, isso tem implicações na concepção de programas de formação / educação dos usuários, que deve ser adaptado aos perfis dos funcionários.
Esta desconexão mostra que as decisões baseadas em políticas não são o suficiente para proteger os dados e que a “confiança nos funcionários” não deve ser usado como base para a segurança.
No centro do problema está o crescimento de dados não estruturados – os dados que os funcionários usam e interagem continuamente para realizar seus trabalhos. Agrega-se a essa questão a explosão de ferramentas de compartilhamento de dados que os funcionários usam tanto dentro quanto fora de perímetros corporativos e o fato de que os funcionários não colocam o mesmo valor nos dados da empresa que suas contrapartes no nível executivo.
Como resultado, os líderes de TI precisam impor políticas de dados com ferramentas de segurança intuitivas e fácil de usar, oferecer amplo suporte tanto para os usuários finais quanto para os negócios e automatizar a aplicação de políticas de dados corporativos e regulamentares.
“Os resultados da pesquisa enfatizam uma crescente desconexão entre os líderes e a equipe de TI de segurança de dados, em última análise, coloca todos em risco. Enquanto os líderes de TI parecem esperar que os funcionários vazem dados – eles não estão fornecendo ferramentas e treinamento necessários para impedir a violação de dados aconteçam ”, disse Tony Pepper, CEO e co-fundador da Egress. “A tecnologia precisa fazer parte da solução. Implementando soluções de segurança fáceis de usar e trabalhar, dentro do fluxo diário de como os dados são compartilhados, combinado com IA avançada impede que dados sejam vazados, assim os líderes de TI pode passar da mitigação do risco de violações de dados para efetivamente pará-los“.
Fonte: Insider Data Breach 2019 by Egress
Veja também:
- CrowdStrike aterriza no Brasil com o melhor Next Generation AV do mercado!
- CrowdStrike expande presença internacional para atender à crescente demanda do cliente
- Mulheres ganham espaço em Cybersecurity
- Hackers podem ignorar o Windows Lockscreen em sessões de RDP
- G-SUITE armazenou senha de usuários corporativos em claro por 14 anos
- 50.000 servidores MS-SQL, PHPMyAdmin infectados na campanha Nansh0u
- A hora de racionalizar as camadas de proteção de segurança
- Japan restringe capital estrangeiros em indústrias de tecnologias nacionais
- Estudo aponta que 23,2 Milhões usam 123456 como senha e outros 7,7 Mi usam 123456789
- Laptop com 6 malwares é leiloado por US $ 1,2 milhão no EUA
- Dados de 49 Milhões de usuários do Instagram expostos online
- Fabricantes de antivírus teriam sido hackeadas e exposto seus códigos
- CEOs ganham mais após empresas sofrerem Ciberataques
- Vulnerabilidade de execução remota de código “Wormable” crítica no Windows RDP
- EUA declara Emergência Nacional e fecha as portas para a Huawei
Deixe sua opinião!