Resenha Crítica O Perigo de Dentro

[pic 1]

[pic 2]

UNIVERSIDADE ESTÁCIO DE SÁ

MBA EM SEGURANÇA DA INFORMAÇÃO

Resenha Crítica de Caso

Trabalho da disciplina

                                                        Tutor:

Volta Redonda

2021

Resenha Crítica de “O perigo de dentro”

Referências: UPTON, David M.; CREESE, Sadie. O perigo de dentro. Harvard Business Review, set. 2014.

O artigo de David M. Upton e Sadie Creese, aborda sobre a segurança de dados nas empresas e abrem o artigo mencionando sobre o ataque cibernético na empresa Target, em 2013, que teve roubo dos números de cartões de crédito de aproximadamente 40 milhões de clientes e dados pessoais de aproximadamente 70 milhões.

O foco principal do artigo está em alertar sobre os perigos de ataques cibernéticos que envolvem funcionários diretos ou terceirizados de uma empresa, e até mesmo fornecedores e clientes que trocam dados via internet. Esse tipo de ameaça é cada vez mais perigosa e frequente. Segundo os autores: “Funcionários podem causar dano muito mais grave que hackers externos” (p. 4). Isso se dá porque os funcionários da empresa, terceirizados ou da rede de fornecedores e distribuidores conectados em sistemas da empresa hackeada podem acessar com facilidade os mais diversos sistemas da empresa.

Um exemplo internacionalmente conhecido de terceirizado que tinha acesso aos dados de um sistema organizacional e usou disso para manchar a imagem da organização é Edward Snowden, que roubou informações confidenciais da Agência de Segurança Nacional (NSA) dos EUA, pois ele trabalhou como contratado da NSA.

Alguns dos principais danos de um acesso malicioso por parte de funcionários, segundo relatado no artigo podem levar às seguintes consequências: “suspensão de operações, perda de propriedade intelectual, dano à reputação, queda na confiança do investidor e do cliente, e vazamentos de informações confidenciais a terceiros, incluindo a mídia” (p. 4). Também mencionam que somente nos EUA foi registrado 80 milhões de ataques de funcionários as empresas, número que pode ser maior, já que nem todos os casos são noticiados.

Esse problema ocorre porque muitas empresas negam sua existência e possuem uma política de segurança de dados fraca ou ineficiente. Há empresas que proíbem o uso dos computadores de trabalho para o acesso a outros websites que não estejam relacionados ao trabalho, como redes sociais e sites políticos. Ou seja, deixando um firewall para bloqueio de websites considerados não necessários, mas não possuem um software de segurança adequado para o monitoramento das atividades na rede empresarial, o que seria mais eficaz para detectar atividades suspeitas.

Em função disso, os autores enfatizam que a solução para minimizar a possibilidade de ataques de funcionários envolve o monitoramento rigoroso de todos (tanto os funcionários como os terceirizados), bem como informá-los constantemente sobre as prováveis ameaças para possibilitar que relatem atividades suspeitas. Quanto aos fornecedores e distribuidores, a empresa deve ter uma política clara de minimização de riscos para ser seguida por todos que desejarem fazer negócios com ela, e fazer auditoria regularmente de suas transações via sistemas com fornecedores e distribuidores. Obviamente, a empresa deve contar com uma liderança eficaz para que seus departamentos de TI garantam a proteção dos dados e informações que transitam em sistemas dentro da organização e em sua rede de parceiros.

Ainda assim, esse é um tema complexo, pois há muitos fatores que interferem para uma empresa manter sua política de segurança de dados adequada e eficaz. Dentre os aspectos que interferem nessa equação estão: a complexidade da TI, que aumenta dramaticamente a cada ano. Por exemplo, quem gerencia os serviços baseados na nuvem da empresa? Quem são as pessoas que podem acessar esses servidores? Quão seguros os servidores são? Outros serviços e funcionários terceirizados também podem levar a ameaças cibernéticas como de centrais de atendimento, logística, limpeza, RH e gestão de relacionamento com o cliente.

Há também a indústria do crime cibernético, mantida por criminosos que vendem grandes quantidades de informações confidenciais, geralmente na darkweb, oferecendo senhas e informações de cartão de crédito de lotes de clientes bancários por valores bem menores que seu valor de mercado. Fica aqui uma das críticas ao artigo: para algo ter “valor de mercado” necessita ser um serviço ou produto passível de comercialização, mas senhas e informações de cartão de crédito não tem um valor de mercado porque não deveriam estar à venda, isso é algo completamente ilegal. Logicamente, uma empresa que tem o vazamento deste tipo de dados e informações na rede, ou que sejam negociados inescrupulosamente terá seu valor de mercado muito prejudicado.

...