O que é uma ameaça interna?

Uma ameaça interna é o vazamento ou uso indevido de dados que, se divulgados acidentalmente ou propositalmente, podem ser usados de maneira mal-intencionada ou vistos por indivíduos que não deveriam ter acesso legítimo a eles. 

As ameaças internas estão entre as ameaças de segurança organizacionais mais comuns e, na maioria das vezes, são feitas por pessoas comuns que cometem erros comuns.

Não está a fim de ler? Então, aqui está um vídeo pequeno sobre ameaças internas.

Às vezes, não muitos. Às vezes, bastante. O contexto por trás dessa resposta vaga tem muito a ver com o potencial prejudicial de um único segredo comercial ou com a repetitividade despercebida de muitos erros menores.

Algumas ameaças internas podem derrubar empresas inteiras, trazer problemas às pessoas, ameaçar a segurança de clientes ou parceiros de negócios, ter um custo ou colocar a segurança nacional de um país ou uma infraestrutura importante em risco. Basta pesquisar “ameaça interna" (insider threat) em qualquer mecanismo de busca para ver centenas de agências federais dos Estados Unidos falando sobre os riscos de ameças internas:

• Agência de Cibersegurança e Infraestrutura (CISA)
• Departamento de Segurança Interna dos Estados Unidos (DHS)
• Centro de Recursos de Segurança Computacional (CSRC) do Instituto Nacional de Ciência e Tecnologia (NIST)
• Federal Bureau of Investigation (FBI)

Até mesmo nós, a empresa líder em open source empresarial que acredita que tudo prospera com a tecnologia open source, ficamos balançados com ameaças internas. Nosso modelo de desenvolvimento open source para Red Hat® Enterprise Linux® foi lançado publicamente pela comunidade open source CentOS Stream, mas apenas após vários processos de análises, testes e controle de qualidade.

Porque, diferentemente da crença popular, a maioria das ameças internas não é perpetuada por ex-funcionários com má intenções. Na maioria das vezes, elas são erros cometidos por pessoas normais. Como você.

Você, provavelmente, não está pensando em se tornar uma pessoa que cria ameaças. Provavelmente, você não se considera um invasor. Mas, pense em todas as informações valiosas às quais você tem acesso todos os dias: propriedade intelectual, processos de engenharia de software, credenciais para redes organizacionais e informações sobre o desempenho da empresa.

Por isso é tão importante prestar atenção às perguntas apresentadas no final dos seus cursos de ética corporativa. Procure não passar rapidamente por essas perguntas. Pense sobre elas. Pense realmente sobre elas. Elas ajudarão você a melhorar na detecção de ameaças internas no futuro.

• Quais são alguns dos possíveis indicadores de ameaças internas?
• Que cenário poderia indicar uma ameaça interna passível de denúncia?
• Quantos possíveis indicadores de ameaças internas você pode identificar?

Em geral, temos três classes de ameças internas:

• Usuários internos mal-intencionados: alguém tentando ativamente gerar danos ou se beneficiar com o roubo ou danos a dados ou serviços.
• Denunciante: alguém que acredita que a empresa está fazendo algo errado.
• Erro do usuário: alguém que simplesmente comete um erro.

E, finalmente, phishing. Tipo de engenharia social em que o invasor tenta enganar alguém a fornecer informações confidenciais ou dados pessoais por meio de uma solicitação fraudulenta, como o spoofing de emails ou golpe. Se um usuário interno mal-intencionado instiga um ataque de phishing, isso é considerado uma ameaça interna. Se o instigador é de fora, talvez executando malware, isso é considerado outro tipo de ameaça à segurança.

A segurança é responsabilidade de todos. As equipes de segurança podem manter políticas de segurança e ajudar todos a se tornarem mais conscientes dos protocolos de segurança, mas contar só com especialistas para controlar todos os aspectos é inútil.

Sistemas de proteção estão sempre disponíveis, sejam eles controles de segurança, equipes de respostas de emergências computacionais (CERTs) ou programas contra ameças internas na sua empresa. Pense em todas as agências locais, estaduais, federais e internacionais com despesas relativas a cibersegurança e antitruste.

Embora a maneira mais óbvia de se proteger de ameaças internas seja ter permissões e firewalls bem seguros com o objetivo de evitar perda de dados, há também três componentes de uma equipe de segurança eficiente:

• Formação: as equipes de segurança podem reduzir as chances de ameaças externas e ataques internos, basta ensinar as pessoas como fazer as coisas corretamente ou enfatizando o poder que os funcionários têm. Informar aos usuários internos que muitos relatórios sinalizados não serão ameaçadores pode criar um senso de comunidade, de que a equipe de segurança existe como um parceiro, não como juiz ou júri.
• Segurança como padrão: esse é o caminho mais simples para a segurança, bloquear tudo e tornar o acesso uma exceção à regra. É mais fácil fazer a coisa certa por padrão quando o caminho mais fácil é também o caminho seguro. Usar a segurança como padrão pode parecer um controle de acesso baseado em função (RBAC) ou apenas fornecer exatamente o que um usuário precisa, seguindo o princípio de menos acessos
• Boa comunicação: tente encorajar as pessoas a se sentirem confortáveis em falar com você. Isso encorajará mais pessoas a dizer a você toda a verdade e, se possível, a verdade proativa. Mostre-se como um parceiro, alguém que trabalha também para verificar se as tarefas são realizadas tendo a segurança em mente.
• Humildade: lembre-se de que a condição humana é propensa a erros. Você não é juiz nem juri. Você faz parte do corpo de bombeiros. Você corrige o problema. Tente não se importar muito quando um erro é cometido. Punir sempre os erros criará uma cultura de medo e indisponibilidade, na qual as pessoas esperam até o último minuto para sinalizar problemas.

Começamos com comunidades open source upstream para criar software empresarial que seja robusto, testado e distribuído com segurança. Os resultados são soluções open source empresariais que você pode usar para criar, gerenciar e automatizar a segurança com nuvens híbridas, cadeias de suprimentos, aplicações e pessoas.