Академический Документы
Профессиональный Документы
Культура Документы
O Perigo
de Dentro
A maior ameaa sua segurana ciberntica pode ser
um funcionrio ou fornecedor.
por David M. Upton e Sadie Creese
Este documento autorizado apenas para reviso do educador por Oscar Javier Celis Ariza, Universidade Estcio de S at fevereiro de 2017. A cpia ou publicao constitui violao
de direitos autorais.
Permissions@hbsp.harvard.edu ou
617.783.7860
2 Harvard Business Review Setembro de 2014
Este documento autorizado apenas para reviso do educador por Oscar Javier Celis Ariza, Universidade Estcio de S at fevereiro de 2017. A cpia ou publicao constitui
violao de direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860
PARA REIMPRESSES DE ARTIGOS, LIGUE PARA 800-988-0886 OU 617-783-7500, OU ACESSE HBR.ORG
O
PERIGO
DE
DENTRO
A maior ameaa sua segurana ciberntica
pode ser um funcionrio ou fornecedor.
por David M. Upton e Sadie Creese
Este documento autorizado apenas para reviso do educador por Oscar Javier Celis Ariza, Universidade Estcio de S at fevereiro de 2017. A cpia ou publicao constitui
violao de direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860
O PERIGO DE DENTRO
e de seu Diretor de Tecnologia da Informao. O que Nos ltimos dois anos, lideramos um projeto de pesquisa
menos conhecido que apesar de os ladres serem de internacional cuja meta melhorar significativamente a
fora, eles conseguiram entrar nos sistemas da rede de habilidade das organizaes detectarem e neutralizarem ameaas
comrcio varejista usando credenciais de algum de de funcionrios. Patrocinado pelo Centro de Proteo de
dentro: um dos fornecedores de refrigerao da empresa. Infraestrutura Nacional (CPNI), que parte do servio de
O infortnio da Target apenas um exemplo recente de segurana do MI5 do Reino Unido, nossa equipe de 16 membros
um fenmeno crescente. Ataques externos - hacking de combina especialista de segurana computacional, acadmicos de
propriedade intelectual disseminada da China, o vrus escola de negcios trabalhando em governana corporativa,
Stuxnet, a escapada de gangsters do leste europeu - educadores de gesto, especialistas em visualizao de
recebem bastante ateno. Mas ataques envolvendo informao, psiclogos e criminalistas de Oxford, da University of
empresas conectadas ou funcionrios diretos representam Leicester e da Cardiff University.
uma ameaa mais perigosa. Funcionrios podem causar Nos abordagem interdisciplinar levou a descobertas que
dano muito mais grave que hackers externos. desafiam as vises e prticas convencionais (veja a barra lateral
"Prticas Comuns Que No Funcionam"). Por exemplo, muitas
empresas agora tentam evitar que os funcionrios usem
ter acesso a uma relacionamentos e sites polticos. Achamos que elas, em vez
disso, deveriam dar ao funcionrio a liberdade de ir onde eles
USB infectados com a personalidades que ajudaro a detectar o perigo. Neste artigo,
compartilhamos nossas descobertas sobre formas eficazes de
Este documento autorizado apenas para reviso do educador por Oscar Javier Celis Ariza, Universidade Estcio de S at fevereiro de 2017. A cpia ou publicao constitui
violao de direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860
PARA REIMPRESSES DE ARTIGOS, LIGUE PARA 800-988-0886 OU 617-783-7500, OU ACESSE HBR.ORG
Ideia em Resumo
A AMEAA A CHAVE A SOLUO
Ataques cibernticos envolvendo Para reduzir sua vulnerabilidade Os funcionrios devem ser
fontes internas funcionrios, a ataques internos, as empresas monitorados rigorosamente e
fornecedores, ou outras empresas devem aplicar a mesma informados quais ameaas so
legitimamente conectadas a abordagem que usaram para provveis para que eles possam relatar
sistemas de computador de uma melhorar a qualidade e atividades suspeitas. Os fornecedores
empresa so maldosos e segurana: Fazer parte do e distribuidores devem ser requeridos
crescentes. Eles so trabalho de todos. a minimizar os riscos e devem ser
responsveis por mais de 20% de auditados regularmente. Os lderes
todos os ataques cibernticos. devem trabalhar de perto com seus
Protees amplamente usadas departamentos de TI para garantir que
so ineficazes contra eles. estes ativos cruciais sejam protegidos.
sugere que a porcentagem continue crescendo. Alm disso, os perigos representados pela exploso destes dispositivos. De
ataques externos podem envolver assistncia conhecida ou acordo com um relatrio recente da Alcatel-Lucent, cerca de
no de fontes internas. O incidente da Target um caso em 11,6 bilhes de dispositivos mveis ao redor do mundo so
anlise. infectados a qualquer momento, e infeces de malware mvel
aumentaram 20% em 2013.
Causas do Crescimento Smartphones e tables no so os nicos culpados: Os
Inmeros fatores na mudana do panorama de TI explicam dispositivos podem ser simples como pendrives ou cartes de
esta ameaa crescente. Elas no so particularmente memria de telefone. "A melhor maneira de pegar uma empresa
surpreendentes - e este justamente o ponto. As portas que despreparada espalhar dispositivos UBS infectados com a
deixam as organizaes vulnerveis a ataques internos so logomarca da empresa no estacionamento", diz Michael
mundanas e generalizadas. Goldsmith, membro de nossa equipe e diretor associado do
Um aumento dramtico no tamanho da Centro de Segurana Ciberntica da Oxford, referindo-se ao
ataque de 2012 no DSM, uma empresa qumica holandesa.
complexidade de TI. Voc sabe quais indivduos esto
"Algum funcionrio inevitavelmente vai testar um deles."
gerenciando seus servios baseados na nuvem, com quem
Foi amplamente relatado que representantes presentes na
voc convive nestes servidores, e quo seguros os servidores
cpula do G20 perto de So Petersburgo em 2013 receberam
so? Quo confiveis so aqueles que fornecem para voc
um dispositivo de armazenamento USB e carregadores de
outras atividades terceirizadas, como centrais de
telefone mvel carregado com malware projetado para ajudar a
atendimento, logstica, limpeza, RH e gesto de
roubar informaes. E o worm de computador Stucnet que
relacionamento com o cliente? Em 2005, quatro titulares de
sabotou a instalao de refinamento de urnio do Ir em 2008-
conta no Citibank em Nova York foram lesados em quase
2010 foi reportadamente introduzido via dispositivos USB em
$350.000 por colaboradores da central de atendimento
sistemas no conectados internet.
baseada em Pune, ndia. Os culpados eram funcionrios de
Na verdade, estamos todos vulnerveis.
uma empresa de software e servios para a qual o Citibank
A exploso nas mdias sociais. As mdias sociais
terceirizou trabalho. Eles coletaram dados pessoais,
permitem que todo tipo de informao vaze de uma empresa e
nmeros de identificao pessoal e nmeros das contas dos
se espalhe no mundo todo, geralmente sem o conhecimento da
clientes.
empresa. Elas tambm fornecem oportunidades de
Sites da "Dark Web", onde homens de meia idade
recrutamento de fontes internas e as usa para acessar ativos
inescrupulosos vendem grandes quantidades de informaes
corporativos. O chamado golpe do romance, no qual o
confidenciais, so abundantes atualmente. Tudo desde senhas
funcionrio persuadido ou ludibriado a compartilhar dados
dos clientes e informaes de carto de crdito at
confidenciais por um vigarista sofisticado agindo como
propriedade intelectual vendido nestes sites clandestinos.
pretendente em um site de relacionamento, provou ser
Fontes internas geralmente querem fornecer acesso a estes
particularmente eficaz. Outras estratgias incluem o uso de
ativos em troca de quantias vastamente menores que seu
conhecimento obtido atravs de redes sociais para pressionar
valor de mercado, contribuindo para a indstria de "crime
funcionrios: Um chantagista ciberntico pode ameaar deletar
ciberntico como servio".
arquivos de computador ou instalar imagens pornogrficas no
Funcionrios que usam dispositivos pessoais computador de trabalho de uma vtima a no ser que
para o trabalho. Cada vez mais, fontes internas -
geralmente involuntariamente - expem seus empregadores a informaes confidenciais sejam entregues.
ameaas fazendo o trabalho em gadgets eletrnicos. Nossa
equipe e outras descobriram que os grupos de segurana das
empresas tentam acompanhar
Setembro de 2014 Harvard Business Review 5
Este documento autorizado apenas para reviso do educador por Oscar Javier Celis Ariza, Universidade Estcio de S at fevereiro de 2017. A cpia ou publicao constitui
violao de direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860
O PERIGO DE DENTRO
Por Que Eles Fazem Isso treinamento da empresa e tornou os backups inacessveis. A
Inmeros estudos de caso governamentais e privados estabeleceram empresa o demitiu. Mas sabendo que no havia prova de sua
que fontes internas que conhecidamente participaram de ataques culpa, ele a chantageou em vrias centenas de euros ameaando
cibernticos tiveram uma ampla variedade de motivaes: lucro publicar sua falta de segurana, o que poderia ter danificado um
financeiro, vingana, desejo de reconhecimento e poder, resposta a futuro IPO. Este incidente custoso - como a maiorias dos outros
chantagem, lealdade a outros na organizao, e crenas polticas. crimes internos - no foram reportados.
Um exemplo que ouvimos durante nossa pesquisa foi um ataque de A colaborao de fontes internas com o crime organizado e
2014 por um litigante desdenhado em uma empresa de pequeno porte, grupos ativistas est se tornando cada vez mais comum.
mas crescente de treinamento virtual. Um gerente da mesma reclamou Muitos pases agora esto operando equipe de resposta s
para seu superior sobre a pessoa em questo - um administrador de emergncias de computador (CERTs) para proteger a si
sistemas que estava enviando flores para ele no trabalho e mandando mesmos contra este e outros tipos de ataque. Um dos 150 casos
mensagens de texto inapropriadas e estava dirigindo pela sua casa que foram analisados pelo Centro de Ameaa Interna do CERT
continuamente. Uma vez claramente rejeitado, o invasor corrompeu o na Carnegir Mellon University para seu relatrio de 2012 Foco
banco de dados de vdeos de Em: Atividade de Fontes Internas Maliciosas e Crime
Organizado, 16% tinha ligao com o crime organizado.
Gerentes no Escuro Um caso foi o roubo em 2012 pela gangue russa de detalhes
de 3,8 milhes de contas bancrias no criptografadas e quase 4
milhes de declaraes fiscais do Departamento de Renda da
Perguntamos a 80 altos gerentes sobre seu conhecimento de
Carolina do Sul. Investigao forense mostrou que o ataque foi
ameaas de segurana ciberntica interna e acompanhamos facilitado por um funcionrio que clicou em um link em um
com estudos de caso aprofundados de incidentes reais. Aqui email, permitindo que a gangue roubasse as credenciais do
est um resumo do que descobrimos: funcionrio e acessasse os servidores de dados do estado.
Monica Whitty, uma psicloga da University of Leicester e
Gerentes ao redor de todos os pases e a maioria das indstrias (bancos
membro de nossa equipe, e muitos outros dizem que fontes
e empresas de energia so a exceo) so amplamente ignorantes em
relao a ameaas internas. internas que ajudam ou se envolvem voluntariamente em
ataques cibernticos sofrem de uma ou mais condies na
Eles tendem a ver segurana como o trabalho de outra pessoa - "trade obscura": Maquiavelismo, narcisismo e psicopatia.
geralmente os departamentos de TI. Comprovando esta viso, um estudo de 2013 da CPNI descobriu
Poucos gerentes reconhecem a importncia de observar comportamento que invasores internos geralmente tm alguma combinao
incomum de funcionrio - como visitar sites extremistas ou comear a destes traos de personalidade: imaturidade, baixa auto-estima,
trabalhar em horrios estranhos - para obter aviso com antecedncia de um amoralidade ou falta de tica, superficialidade, uma tendncia a
ataque. fantasiar, inquietao e impulsividade, falta de conscientizao,
manipulao e instabilidade.
Quase dois teros de profissionais de segurana interna e externa acham
Roger Duronio, um administrador de sistemas da UBS
difcil persuadir diretorias dos riscos vinculados ao descuido da questo de
Wealth Management condenado por usar uma "bomba lgica"
ameaa interna.
maliciosa para danificar a rede de computadores da empresa em
Poucos grupos de TI tm orientao em relao a quais ativos de 2006, mostrou vrios destes traos. Duronio estava preocupado
informaes so os mais crticos, qual nvel de risco aceitvel, ou quanto com a segurana de seu trabalho
deve ser investido para evitar ataques.
6 Harvard Business Review Setembro de 2014
Este documento autorizado apenas para reviso do educador por Oscar Javier Celis Ariza, Universidade Estcio de S at fevereiro de 2017. A cpia ou publicao constitui
violao de direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860
PARA RE-IMPRESSES DE ARTIGOS, LIGUE PARA 800-988-0886 OU 617-783-7500, OU ACESSE HBR.ORG HBR.ORG
e ficou lvido quando recebeu apenas $32.000 do bnus de deve ser demitido e processado. Uma primeira violao
$50.000 que esperava. Ento ele encurtou o estoque da por algo menos srio, como compartilhamento de senhas
empresa e armou a bomba. Ela derrubou 2.000 servidores para permitir que colegas de confiana acessem sistemas
em escritrios da UBS nos Estados Unidos; alguns deles no corporativos, pode resultar em um aviso que includo
puderam operar por vrias semanas. A empresa sofreu no registro do funcionrio.
$3,1 milhes de custos diretos e mais milhes de dlares em
perdas incidentais no divulgadas. Duronio foi condenado a
97 meses de priso pelo crime.
Este documento autorizado apenas para reviso do educador por Oscar Javier Celis Ariza, Universidade Estcio de S at fevereiro de 2017. A cpia ou publicao constitui
violao de direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860
PARA RE-IMPRESSES DE ARTIGOS, LIGUE PARA 800-988-0886 OU 617-783-7500, OU ACESSE HBR.ORG
"Sinto muito por v-lo partir, Doug. Voc nos deixa com uma grande
Software de deteco de malware pode ser til. responsabilidade."
CALDWELL
Este documento autorizado apenas para reviso do educador por Oscar Javier Celis Ariza, Universidade Estcio de S at fevereiro de 2017. A cpia ou publicao constitui
violao de direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860