Maioria dos profissionais de segurança admite violações internas acidentais em sua organização

Maioria dos profissionais de segurança admite violações internas acidentais em sua organização. 44% dos executivos acreditam que os funcionários expuseram erroneamente informações de identificação pessoal (PII) ou informações confidenciais dos negócios usando a conta de email da empresa.

Violações internas acidentais estão crescendo

A pesquisa Egress com 500 tomadores de decisão de segurança de TI nos EUA revelou que violações internas acidentais são um risco crescente de segurança para as organizações. Mais de 70% dos entrevistados registraram esse tipo de violação nos últimos cinco anos, com metade desses incidentes ocorrendo nos 12 meses anteriores.
Os tomadores de decisão de segurança de TI também classificaram as violações acidentais dos funcionários como uma das três principais preocupações (46%), atrás apenas de hackers externos (55%) e malware (53%).
No entanto, surpreendentemente, apesar dessa ameaça crescente e de regulamentações de conformidade mais rigorosas entrarem em vigor, menos da metade (39,6%) das organizações está educando a equipe sobre como melhorar a segurança ao compartilhar dados.

“Pessoas são o novo perímetro de segurança na maioria da  organizações”

Somos apenas humanos e as pessoas sempre cometem erros. Porém, à medida que a força de trabalho se tornou mais dependente da comunicação digital e está cada vez mais remota e flexível, também se tornou mais difícil para as tecnologias tradicionais de segurança de perímetro de rede protegerem os dados ”, disse Tony Pepper, CEO da Egress , ao HelpNet Security
De fato, as pessoas agora são o novo perímetro de segurança na maioria das organizações e, como resultado, as empresas precisam evoluir da maneira como se protegem. Esta pesquisa destaca o crescente imperativo de detectar comportamentos humanos anormais – incluindo vazamentos acidentais de dados – para interromper violações antes que elas ocorram.

O email apresenta o maior risco para as organizações

Os resultados da pesquisa mostraram que o email corporativo e o pessoal são os principais aplicativos para vazamentos acidentais de dados. Outros aplicativos de risco incluem: serviços de compartilhamento de arquivos (39%), ferramentas de colaboração (34%) e mensagens instantâneas por SMS (33%).
Esses aplicativos permaneceram um problema contínuo para as organizações ao longo de 2019. Comparativamente, o email externo aumentou o risco de 50% para 54% no ano passado, enquanto outros aplicativos mantiveram o mesmo nível de risco, com base em uma pesquisa anterior.
Apesar da conscientização sobre esses riscos na organização, um em cada quatro entrevistados (26%) afirmou que os funcionários compartilham dados confidenciais fora da organização sem criptografia, aumentando a probabilidade de uma possível violação. Além disso, o compartilhamento de dados internos se tornou um ponto cego preocupante, com 65% dos entrevistados revelando que sua organização não usa criptografia para isso.

A conformidade com a GDPR é uma das principais preocupações das organizações

De acordo com os tomadores de decisão de TI, 93% das organizações tomaram medidas para cumprir regulamentos como o GDPR e a Lei de Proteção ao Consumidor da Califórnia ( CCPA ) . Essas etapas incluem o uso aprimorado das tecnologias de segurança existentes (58,8%), práticas aprimoradas de manipulação de dados (55,8%), investimento em novas tecnologias de segurança (55,2%), educação da equipe (39,6%) e contratação de novos funcionários de segurança (29,2%).
Um dos componentes fundamentais da conformidade com a CCPA é a capacidade de concluir DSARs (solicitações de acesso a titulares de dados) em 45 dias, que podem incluir informações compartilhadas por email e armazenadas em unidades de rede, além das contidas em bancos de dados.
Destacando seu foco geral em relação à CCPA, os entrevistados estavam confiantes em sua capacidade de atender a essas solicitações, com 72% achando que sua organização poderia cumprir com precisão um DSAR em 45 dias. No entanto, o momento ainda é uma preocupação para 23% dos entrevistados, que acreditam que exigiriam mais do que o limite de 45 dias.
É encorajador ver organizações tomando medidas proativas para melhorar sua conformidade com os regulamentos de privacidade de dados como GDPR e CCPA“, disse Pepper.
Esperamos que essas medidas reduzam o número de violações de dados internos que esta pesquisa descobriu – mas, na realidade, e certamente no futuro imediato, provavelmente continuaremos vendo organizações lutando para mitigar o comportamento imprevisível das pessoas usando as tecnologias estáticas tradicionais.”
Em vez disso, os tomadores de decisão de segurança de TI são aconselhados a examinar soluções emergentes com base no aprendizado de máquina contextual que reagem dinamicamente a possíveis violações em tempo real à medida que os funcionários compartilham dados.”

Brasil

Com a proximidade de entrada em vigor da LGPD, aqui no Brasil esta preocupação é crescente, mas ainda existe em muitas empresas a cultura do isolamento do que faço na empresa e do que faço nos meus recursos pessoais, mesmo que eu utilize recursos pessoais para tratar ou manusear informações da empresa. Ainda é necessário uma campanha educativa muito forte no sentido de que a informação manuseada na empresa é da empresa, não importando quem é o proprietário do recurso onde ele é manuseado. Por exemplo, mesmo que você use um celular particular para acessar o email corporativo, todas as informações tratadas neste email é da empresa, mesmo ele estando armazenado temporariamente no celular particular.

Fonte: HelpNet Security

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

5 Trackbacks / Pingbacks

  1. NSA descobre vulnerabilidade 'grave' do Microsoft Windows
  2. MPDFT abre investigação sobre possível vulnerabilidade no Cadastro Positivo
  3. USP oferece 17 cursos online e gratuitos
  4. Falha grave na Citrix: código de exploração de prova de conceito lançado
  5. Impactos da Lei Geral de Proteção de Dados nas relações de trabalho

Deixe sua opinião!