HBR.

ORG SETEMBRO DE 2014

REIMPRESSO R1409G

O Perigo
de Dentro
A maior ameaa sua segurana ciberntica pode ser
um funcionrio ou fornecedor.
por David M. Upton e Sadie Creese

Este documento autorizado apenas para reviso do educador por Oscar Javier Celis Ariza, Universidade Estcio de S at fevereiro de 2017. A cpia ou publicao constitui violao
de direitos autorais.

Permissions@hbsp.harvard.edu ou
617.783.7860
 2 Harvard Business Review Setembro de 2014
Este documento autorizado apenas para reviso do educador por Oscar Javier Celis Ariza, Universidade Estcio de S at fevereiro de 2017. A cpia ou publicao constitui
violao de direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860
 PARA REIMPRESSES DE ARTIGOS, LIGUE PARA 800-988-0886 OU 617-783-7500, OU ACESSE HBR.ORG

David M. Upton Sadie Creese professora de

Professor da American
Standard Companies
de Gesto de Operaes na
Oxford Universitys Sad
Business School.
segurana ciberntica na Oxford e
diretora do seu Centro de Capacidade
de Segurana Ciberntica Global.
Upton e Creese so os investigadores
principais no programa de pesquisa de
Deteco de Ameaa de Detentor de
Informaes Privilegiadas na Empresa.

O
PERIGO
DE
DENTRO
A maior ameaa sua segurana ciberntica
pode ser um funcionrio ou fornecedor.
por David M. Upton e Sadie Creese

Ns todos sabemos sobre o ataque ciberntico de 2013 na

Target, onde criminosos roubaram os nmeros de cartes
ILUSTRAO DALE EDWIN MURRAY

de pagamento de cerca de 40 milhes de clientes e dados

pessoais de aproximadamente 70 milhes. Isto afetou a
reputao da empresa, fez com seus lucros cassem, e
acarretou na demisso de seu Presidente Executivo
Setembro de 2014 Harvard Business Review 3
DIREITOS AUTORAIS 2014 HARVARD BUSINESS SCHOOL PUBLISHING CORPORATION. TODOS OS DIREITOS RESERVADOS.

Este documento autorizado apenas para reviso do educador por Oscar Javier Celis Ariza, Universidade Estcio de S at fevereiro de 2017. A cpia ou publicao constitui
violao de direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860
 O PERIGO DE DENTRO
e de seu Diretor de Tecnologia da Informao. O que
menos conhecido que apesar de os ladres serem de
fora, eles conseguiram entrar nos sistemas da rede de
comrcio varejista usando credenciais de algum de
dentro: um dos fornecedores de refrigerao da empresa.
O infortnio da Target apenas um exemplo recente de
um fenmeno crescente. Ataques externos - hacking de
propriedade intelectual disseminada da China, o vrus
Stuxnet, a escapada de gangsters do leste europeu -
recebem bastante ateno. Mas ataques envolvendo
empresas conectadas ou funcionrios diretos representam
uma ameaa mais perigosa. Funcionrios podem causar
dano muito mais grave que hackers externos.
A melhor maneira de
ter acesso a uma
empresa despreparada
espalhar dispositivos
USB infectados com a
logomarca da empresa
no estacionamento.
pois mais fcil para eles acessarem sistemas e possuem
uma janela muito maior de oportunidade. O dano que
eles causam pode incluir suspenso de operaes, perda
de propriedade intelectual, dano reputao, queda na
confiana do investidor e do cliente, e vazamentos de
informaes confidenciais a terceiros, incluindo a mdia.
De acordo com vrias estimativas, pelo menos 80 milhes
de ataques de funcionrios ocorrem nos Estados Unidos a
cada ano. Mas o nmero pode ser muito maior, pois eles
geralmente no so relatados. Claramente, seu impacto
agora totaliza dezenas de bilhes de dlares por ano.
Muitas organizaes admitem que ainda no tm a
proteo adequada para detectar ou prevenir ataques
envolvendo funcionrios. Um motivo que elas ainda
negam a magnitude da ameaa.
4 Harvard Business Review Setembro de 2014
Este documento autorizado apenas para reviso do educador por Oscar Javier Celis Ariza, Universidade Estcio de S at fevereiro de 2017. A cpia ou publicao constitui
violao de direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860
Nos ltimos dois anos, lideramos um projeto de pesquisa
internacional cuja meta melhorar significativamente a
habilidade das organizaes detectarem e neutralizarem ameaas
de funcionrios. Patrocinado pelo Centro de Proteo de
Infraestrutura Nacional (CPNI), que parte do servio de
segurana do MI5 do Reino Unido, nossa equipe de 16 membros
combina especialista de segurana computacional, acadmicos de
escola de negcios trabalhando em governana corporativa,
educadores de gesto, especialistas em visualizao de
informao, psiclogos e criminalistas de Oxford, da University of
Leicester e da Cardiff University.
Nos abordagem interdisciplinar levou a descobertas que
desafiam as vises e prticas convencionais (veja a barra lateral
"Prticas Comuns Que No Funcionam"). Por exemplo, muitas
empresas agora tentam evitar que os funcionrios usem
computadores de trabalho para acessar sites no diretamente
relacionados a seus trabalhos, como Facebook, sites de
relacionamentos e sites polticos. Achamos que elas, em vez
disso, deveriam dar ao funcionrio a liberdade de ir onde eles
querem na web, mas usando software de segurana prontamente
disponvel para monitorar suas atividades, assim produzindo
informaes importantes sobre comportamentos e
personalidades que ajudaro a detectar o perigo. Neste artigo,
compartilhamos nossas descobertas sobre formas eficazes de
minimizar a possibilidade de ataques de funcionrios.
Um Risco Pouco Reconhecido
Ameaas de detentores de informaes privilegiadas vm de
pessoas que exploram acesso legtimo a ativos cibernticos de
uma organizao para fins no autorizados e maliciosos ou que
criam vulnerabilidades involuntariamente. Eles podem ser
funcionrios diretos (desde faxineiros at funcionrios de alto
nvel), contratados, ou fornecedores terceirizados de dados e
servios de computao. (Edward Snowden, conhecido por ter
roubado informaes confidenciais da Agncia de Segurana
Nacional (NSA) dos EUA, trabalhou como contratado da NSA.)
Com este acesso legtimo, eles podem roubar, desestabilizar, ou
corromper sistemas de computadores e dados sem deteco por
solues de segurana baseadas em permetro comum - controles
que focam em pontos de entrada em vez do que ou quem j est
dentro.
De acordo com a Vormetric, uma empresa lder em segurana
de informao, 54% dos gerentes de organizaes grande e mdio
porte dizem que a deteco e preveno de ataques internos
mais difcil hoje do que era em 2011. E mais, estes ataques esto
aumentando tanto em nmero quando em porcentagem de todos
os ataques cibernticos relatados: Um estudo da KPMG descobriu
que eles cresceram de 4% em 2007 para 20% em 2010. Nossa
pesquisa
 PARA REIMPRESSES DE ARTIGOS, LIGUE PARA 800-988-0886 OU 617-783-7500, OU ACESSE HBR.ORG

Ideia em Resumo
A AMEAA
Ataques cibernticos envolvendo
fontes internas funcionrios,
fornecedores, ou outras empresas
legitimamente conectadas a
sistemas de computador de uma
empresa so maldosos e
crescentes. Eles so
responsveis por mais de 20% de
todos os ataques cibernticos.
Protees amplamente usadas
so ineficazes contra eles.
A CHAVE
Para reduzir sua vulnerabilidade
a ataques internos, as empresas
devem aplicar a mesma
abordagem que usaram para
melhorar a qualidade
segurana: Fazer parte do
trabalho de todos.
A SOLUO
Os funcionrios devem ser
monitorados rigorosamente e
informados quais ameaas so
provveis para que eles possam relatar
e atividades suspeitas. Os fornecedores
e distribuidores devem ser requeridos
a minimizar os riscos e devem ser
auditados regularmente. Os lderes
devem trabalhar de perto com seus
departamentos de TI para garantir que
estes ativos cruciais sejam protegidos.

sugere que a porcentagem continue crescendo. Alm disso, os perigos representados pela exploso destes dispositivos. De
ataques externos podem envolver assistncia conhecida ou acordo com um relatrio recente da Alcatel-Lucent, cerca de
no de fontes internas. O incidente da Target um caso em 11,6 bilhes de dispositivos mveis ao redor do mundo so
anlise. infectados a qualquer momento, e infeces de malware mvel
aumentaram 20% em 2013.
Causas do Crescimento Smartphones e tables no so os nicos culpados: Os
Inmeros fatores na mudana do panorama de TI explicam dispositivos podem ser simples como pendrives ou cartes de
esta ameaa crescente. Elas no so particularmente memria de telefone. "A melhor maneira de pegar uma empresa
surpreendentes - e este justamente o ponto. As portas que despreparada espalhar dispositivos UBS infectados com a
deixam as organizaes vulnerveis a ataques internos so logomarca da empresa no estacionamento", diz Michael
mundanas e generalizadas. Goldsmith, membro de nossa equipe e diretor associado do
Um aumento dramtico no tamanho da Centro de Segurana Ciberntica da Oxford, referindo-se ao
ataque de 2012 no DSM, uma empresa qumica holandesa.
complexidade de TI. Voc sabe quais indivduos esto
"Algum funcionrio inevitavelmente vai testar um deles."
gerenciando seus servios baseados na nuvem, com quem
Foi amplamente relatado que representantes presentes na
voc convive nestes servidores, e quo seguros os servidores
cpula do G20 perto de So Petersburgo em 2013 receberam
so? Quo confiveis so aqueles que fornecem para voc
um dispositivo de armazenamento USB e carregadores de
outras atividades terceirizadas, como centrais de
telefone mvel carregado com malware projetado para ajudar a
atendimento, logstica, limpeza, RH e gesto de
roubar informaes. E o worm de computador Stucnet que
relacionamento com o cliente? Em 2005, quatro titulares de
sabotou a instalao de refinamento de urnio do Ir em 2008-
conta no Citibank em Nova York foram lesados em quase
2010 foi reportadamente introduzido via dispositivos USB em
$350.000 por colaboradores da central de atendimento
sistemas no conectados internet.
baseada em Pune, ndia. Os culpados eram funcionrios de
Na verdade, estamos todos vulnerveis.
uma empresa de software e servios para a qual o Citibank
A exploso nas mdias sociais. As mdias sociais
terceirizou trabalho. Eles coletaram dados pessoais,
permitem que todo tipo de informao vaze de uma empresa e
nmeros de identificao pessoal e nmeros das contas dos
se espalhe no mundo todo, geralmente sem o conhecimento da
clientes.
empresa. Elas tambm fornecem oportunidades de
Sites da "Dark Web", onde homens de meia idade
recrutamento de fontes internas e as usa para acessar ativos
inescrupulosos vendem grandes quantidades de informaes
corporativos. O chamado golpe do romance, no qual o
confidenciais, so abundantes atualmente. Tudo desde senhas
funcionrio persuadido ou ludibriado a compartilhar dados
dos clientes e informaes de carto de crdito at
confidenciais por um vigarista sofisticado agindo como
propriedade intelectual vendido nestes sites clandestinos.
pretendente em um site de relacionamento, provou ser
Fontes internas geralmente querem fornecer acesso a estes
particularmente eficaz. Outras estratgias incluem o uso de
ativos em troca de quantias vastamente menores que seu
conhecimento obtido atravs de redes sociais para pressionar
valor de mercado, contribuindo para a indstria de "crime
funcionrios: Um chantagista ciberntico pode ameaar deletar
ciberntico como servio".
arquivos de computador ou instalar imagens pornogrficas no
Funcionrios que usam dispositivos pessoais computador de trabalho de uma vtima a no ser que
para o trabalho. Cada vez mais, fontes internas -
geralmente involuntariamente - expem seus empregadores a informaes confidenciais sejam entregues.
ameaas fazendo o trabalho em gadgets eletrnicos. Nossa
equipe e outras descobriram que os grupos de segurana das
empresas tentam acompanhar
Setembro de 2014 Harvard Business Review 5
Este documento autorizado apenas para reviso do educador por Oscar Javier Celis Ariza, Universidade Estcio de S at fevereiro de 2017. A cpia ou publicao constitui
violao de direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860
 O PERIGO DE DENTRO
Por Que Eles Fazem Isso
Inmeros estudos de caso governamentais e privados estabeleceram
que fontes internas que conhecidamente participaram de ataques
cibernticos tiveram uma ampla variedade de motivaes: lucro
financeiro, vingana, desejo de reconhecimento e poder, resposta a
chantagem, lealdade a outros na organizao, e crenas polticas.
Um exemplo que ouvimos durante nossa pesquisa foi um ataque de
2014 por um litigante desdenhado em uma empresa de pequeno porte,
mas crescente de treinamento virtual. Um gerente da mesma reclamou
para seu superior sobre a pessoa em questo - um administrador de
sistemas que estava enviando flores para ele no trabalho e mandando
mensagens de texto inapropriadas e estava dirigindo pela sua casa
continuamente. Uma vez claramente rejeitado, o invasor corrompeu o
banco de dados de vdeos de
Gerentes no Escuro
Perguntamos a 80 altos gerentes sobre seu conhecimento de
ameaas de segurana ciberntica interna e acompanhamos
com estudos de caso aprofundados de incidentes reais. Aqui
est um resumo do que descobrimos:
Gerentes ao redor de todos os pases e a maioria das indstrias (bancos
e empresas de energia so a exceo) so amplamente ignorantes em
relao a ameaas internas.
Eles tendem a ver segurana como o trabalho de outra pessoa -
geralmente os departamentos de TI.
Poucos gerentes reconhecem a importncia de observar comportamento
incomum de funcionrio - como visitar sites extremistas ou comear a
trabalhar em horrios estranhos - para obter aviso com antecedncia de um
ataque.
Quase dois teros de profissionais de segurana interna e externa acham
difcil persuadir diretorias dos riscos vinculados ao descuido da questo de
ameaa interna.
Poucos grupos de TI tm orientao em relao a quais ativos de
informaes so os mais crticos, qual nvel de risco aceitvel, ou quanto
deve ser investido para evitar ataques.
6 Harvard Business Review Setembro de 2014
Este documento autorizado apenas para reviso do educador por Oscar Javier Celis Ariza, Universidade Estcio de S at fevereiro de 2017. A cpia ou publicao constitui
violao de direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860
treinamento da empresa e tornou os backups inacessveis. A
empresa o demitiu. Mas sabendo que no havia prova de sua
culpa, ele a chantageou em vrias centenas de euros ameaando
publicar sua falta de segurana, o que poderia ter danificado um
futuro IPO. Este incidente custoso - como a maiorias dos outros
crimes internos - no foram reportados.
A colaborao de fontes internas com o crime organizado e
grupos ativistas est se tornando cada vez mais comum.
Muitos pases agora esto operando equipe de resposta s
emergncias de computador (CERTs) para proteger a si
mesmos contra este e outros tipos de ataque. Um dos 150 casos
que foram analisados pelo Centro de Ameaa Interna do CERT
na Carnegir Mellon University para seu relatrio de 2012 Foco
Em: Atividade de Fontes Internas Maliciosas e Crime
Organizado, 16% tinha ligao com o crime organizado.
Um caso foi o roubo em 2012 pela gangue russa de detalhes
de 3,8 milhes de contas bancrias no criptografadas e quase 4
milhes de declaraes fiscais do Departamento de Renda da
Carolina do Sul. Investigao forense mostrou que o ataque foi
facilitado por um funcionrio que clicou em um link em um
email, permitindo que a gangue roubasse as credenciais do
funcionrio e acessasse os servidores de dados do estado.
Monica Whitty, uma psicloga da University of Leicester e
membro de nossa equipe, e muitos outros dizem que fontes
internas que ajudam ou se envolvem voluntariamente em
ataques cibernticos sofrem de uma ou mais condies na
"trade obscura": Maquiavelismo, narcisismo e psicopatia.
Comprovando esta viso, um estudo de 2013 da CPNI descobriu
que invasores internos geralmente tm alguma combinao
destes traos de personalidade: imaturidade, baixa auto-estima,
amoralidade ou falta de tica, superficialidade, uma tendncia a
fantasiar, inquietao e impulsividade, falta de conscientizao,
manipulao e instabilidade.
Roger Duronio, um administrador de sistemas da UBS
Wealth Management condenado por usar uma "bomba lgica"
maliciosa para danificar a rede de computadores da empresa em
2006, mostrou vrios destes traos. Duronio estava preocupado
com a segurana de seu trabalho
 PARA RE-IMPRESSES DE ARTIGOS, LIGUE PARA 800-988-0886 OU 617-783-7500, OU ACESSE HBR.ORG HBR.ORG
e ficou lvido quando recebeu apenas $32.000 do bnus de
$50.000 que esperava. Ento ele encurtou o estoque da
empresa e armou a bomba. Ela derrubou 2.000 servidores
em escritrios da UBS nos Estados Unidos; alguns deles no
puderam operar por vrias semanas. A empresa sofreu
$3,1 milhes de custos diretos e mais milhes de dlares em
perdas incidentais no divulgadas. Duronio foi condenado a
97 meses de priso pelo crime.
Como Pensar No Problema
O gerenciamento de ameaas segurana ciberntica interna
semelhante ao gerenciamento de qualidade e segurana.
Todos um dia foram responsabilidade de um departamento
especializado. Mas as organizaes no podem mais prever
todo risco,
pois o ambiente de tecnologia complexo
e est sempre mudando. Assim os lderes e empresas de
pequeno e grande porte precisam que todos na organizao
estejam envolvidos. Aqui esto cinco passos que devem ser
tomados imediatamente:
Adote uma poltica interna slida. Esta deve
abordar o que as pessoas devem fazer ou no devem fazer
para deter fontes internas que apresentam riscos atravs
de descuido, negligncia ou erros. A poltica deve ser
concisa e fcil para todos - no apenas especialistas em
segurana e tecnologia - entenderem, acessarem e
aderirem. As regras devem se aplicar a todos os nveis da
organizao, incluindo a alta gerncia. Um quadro
fornecido pelo Estado de Illinois um modelo. Aqui est
um link do mesmo:
www.illinois.gov/ready/SiteCollectionDocuments/
Cyber_SOSSamplePolicy.pdf
Os funcionrios devem receber ferramentas para ajud-
los a aderirem poltica. Por exemplo, sistemas podem ser
projetados para sinalizar uma mensagem de alerta na tela
quando algum tentar logar em um subsistema que contm
materiais confidenciais. O sistema pode perguntar se a
pessoa est autorizada a estar l e registrar e rastrear
aqueles que no esto.
Violaes poltica devem incorrer em penalidades.
Obviamente, um funcionrio que cometer uma violao grave
como vender dados pessoais de clientes ou conscientemente
inserir malware nos sistemas da empresa
Este documento autorizado apenas para reviso do educador por Oscar Javier Celis Ariza, Universidade Estcio de S at fevereiro de 2017. A cpia ou publicao constitui
Permissions@hbsp.harvard.edu ou 617.783.7860
deve ser demitido e processado. Uma primeira violao
por algo menos srio, como compartilhamento de senhas
para permitir que colegas de confiana acessem sistemas
corporativos, pode resultar em um aviso que includo
no registro do funcionrio.
Prticas Comuns Que No
Funcionam
As protees de segurana ciberntica mais
comuns so muito menos eficazes contra
fontes internas que contra fontes externas.
CONTROLES DE ACESSO
Regras que probem as pessoas de usar
dispositivos corporativos para tarefas pessoais
no ir evitar que elas roubem ativos.
GESTO DE VULNERABILIDADE
Patches de segurana e verificadores de vrus
no evitaro ou detectaro o acesso por
funcionrios ou terceiros autorizados mal
intencionados usando credenciais roubadas.
ALTA PROTEO DE DELIMITAO
Colocar ativos crticos dentro de permetro
dificultado no evitar roubo por aqueles
autorizados a acessar os sistemas protegidos.
POLTICA DE SENHA
Exigir senhas complexas ou sua alterao
frequente significa que elas podem acabar em
post-it - acesso fcil para algum com acesso
fsico.
PROGRAMAS DE CONSCIENTIZAO
Apenas requerer que funcionrios leiam a
poltica de segurana de TI da empresa
anualmente no conferir magicamente
conscientizao ciberntica a eles. Nem
ir prevenir que membros da equipe tomem
aes danosas.
Setembro de 2014 Harvard Business Review 7
violao de direitos autorais.
 O PERIGO DE DENTRO
O Que Voc Pode Fazer?
Algumas das atividades mais importantes
que lderes no tecnolgicos devem pedir
para seus departamentos de TI so:
monitorar todo o trfego para fora das redes da
empresa via internet ou mdia porttil, e
prontamente reportar qualquer coisa incomum ou
que viole a poltica
estar atualizado com as melhores prticas para
apoiar a estratgica e poltica de segurana
ciberntica
implementar rigorosamente procedimentos e
protocolos de defesa de rede que levem em conta
as prioridades operacionais dos negcios
atualizar efetivamente contas de usurios para
garantir que os funcionrios nunca tenham mais
acesso a sistemas de computador confidenciais
que o absolutamente necessrio
fazer avaliaes de ameaa frequentes e instruir a
liderana da empresa sobre elas
Voc tambm deve ajudar os funcionrios a entender
como conduzir tarefas do dia a dia com segurana. A poltica
deve ser reforada regularmente com sesses de informaes
e campanhas de comunicaes internas, que podem incluir
cartazes no local de trabalho. Algumas empresas exibem
vdeos demonstrando como violaes da poltica podem
permitir ataques cibernticos e como prticas mais seguras
podem preveni-los.
Conscientizar. Esteja ciente das ameaas possveis
para que as pessoas possam detect-las e ficar a postos contra
qualquer um que tente conseguir sua assistncia em um
ataque. Personalize treinamento para levar em conta quais
tipos de ataques os funcionrios em uma operao particular
podem encontrar. Phishing uma maneira comum de
conseguir acesso: E-mails falaciosos ludibriam funcionrios a
compartilhar detalhes pessoais ou acessar cdigos ou clicar
em um link que baixe malware. (Muitas pessoas no
percebem que fcil falsificar o endereo do remetente em
um e-mail.) possvel testar a vulnerabilidade de sua equipe
para estes ataques - tanto por conta prpria ou empregando
servio de segurana externo.
Mesmo assim, pode ser difcil defender fontes internas
contra uma determinada fonte externa. Em abril de 2013, uma
empresa multinacional francesa foi objeto de
8 Harvard Business Review Setembro de 2014
Este documento autorizado apenas para reviso do educador por Oscar Javier Celis Ariza, Universidade Estcio de S at fevereiro de 2017. A cpia ou publicao constitui
violao de direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860
um ataque esperto. Uma assistente administrativa do vice-
presidente recebeu um e-mail que mencionava uma fatura em
um servio de compartilhamento de arquivo baseado na
nuvem. Ela teve o bom senso de no abrir o arquivo, mas
minutos depois ela recebeu um telefonema de algum que
convencidamente afirmou ser outro vice-presidente da
empresa e a instruiu a baixar e processar a fatura. Ela
obedeceu. A fatura continha um Trojan de acesso remoto que
permitiu que a empresa criminosa aparentemente baseada na
Ucrnia tomasse controle de seu PC, registrar o que ela
teclava, e roubar propriedade intelectual da empresa.
Encorajar os funcionrios a reportar tecnologias (por
exemplo, um disco rgido porttil em um escritrio onde os
funcionrios normalmente acessam dados e software pela
rede) e comportamento (um funcionrio ou fornecedor no
autorizado pedindo arquivos de dados confidenciais)
incomuns ou proibidos, como eles reportariam bagagem
abandonada em um saguo de partida no aeroporto.
Preste ateno em ameaas quando estiver
contratando. mais
crtico que nunca usar processos de triagem e tcnicas de
entrevista designadas a avaliar a honestidade de potenciais
contratos. Exemplos incluem verificaes de histrico
criminal, procurar por deturpao em currculos, e fazer
perguntas que sondem diretamente o direcionamento moral
de um candidato. Nossa equipe est desenvolvendo testes que
permitiro que funcionrios determinem se os provveis
funcionrios tm traos de personalidade perigosos como
aqueles identificados pelo CPNI.
Durante o processo de entrevista, voc tambm deve
avaliar a conscientizao de segurana ciberntica. O
candidato sabe o que uma ameaa interna? Quando ele
pode compartilhar senhas com um membro da equipe? Sob
quais circunstncias ele pode permitir que membros da
equipe usem seu computador como ele? Se os candidatos
forem fortes em todas as maneiras, voc pode ir em frente e
contrat-los, mas certifique-se que eles sejam imediatamente
treinados nas polticas e prticas de sua organizao. Se
algum estiver sendo considerado para um trabalho em
ambiente altamente confidencial, no entanto, voc deve
pensar com cuidado sobre traz-lo/a a bordo.
Utilize processos rigorosos de sub-contratao.
Como a violao da Target demonstra, voc deve garantir que
seus fornecedores e distribuidores no o coloquem em risco -
por exemplo, minimizando a possibilidade de algum em um
provedor de TI externo criar uma backdoor para seus
sistemas. Se o risco de falha ou violao de um fornecedor for
muito menor que a sua, ele no pode adotar os controles que
voc requer. Procure parceiros e fornecedores que tenham o
mesmo apetite por risco e cultura que sua organizao, o que
 PARA RE-IMPRESSES DE ARTIGOS, LIGUE PARA 800-988-0886 OU 617-783-7500, OU ACESSE HBR.ORG

passo chave inicial introduzir o malware na rede.

tornar uma abordagem comum para segurana
ciberntica muito mais provvel. Quando voc encontrar o malware, considere que ele
Pergunte a potenciais fornecedores durante pode ser parte de um ataque interno: uma anlise de
discusses pr-contratuais como eles gerenciam risco como o malware est sendo usado pode fornecer pistas
relacionado a fontes internas. Se voc os contratar, para a identidade e objetivos mais amplos do invasor.
audite-os regularmente para ver se suas prticas so O monitoramento neste grau aumentar a carga de
genuinamente mantidas. Deixe claro que voc conduzir trabalho de todos, mas compensar construindo a
as auditorias, e estipule o que elas envolvero. Uma resilincia e reduzindo o risco de sua empresa.
empresa pode requerer dos fornecedores os mesmos
controles que ela mesma usa: triagem de registros A estratgia MAIS EFICAZ para neutralizar uma ameaa
criminais de funcionrios, verificao dos histricos de ciberntica apresentada por invasores usar tecnologias
emprego verdadeiros dos candidatos, monitoramento de de proteo disponveis e consertar os pontos fracos
acesso a seus dados e aplicativos para atividade no nelas, mas focar principalmente em fazer com que todas
autorizada, e preveno de intrusos entrando em as fontes internas se comportem de maneira que
dependncias fsicas sensveis. mantenha a empresa segura. As pessoas precisam saber
Monitore os funcionrios. Deixe-os saber que quais comportamentos so aceitveis ou inaceitveis.
Lembre-os que a proteo da organizao tambm
voc pode e ir observar sua atividade ciberntica na
protege seus trabalhos.
medida permitida pela lei. Voc no pode se dar o luxo
Re-impresso HBR R1409G
de deixar a segurana ciberntica totalmente com
especialistas; voc deve se conscientizar diariamente
do que est saindo dos seus sistemas, bem como do
que est entrando. Que significa requerer que equipes
de segurana ou provedores de servio produzam
avaliaes de risco regulares, que devem incluir as
fontes de ameaas, funcionrios ou redes vulnerveis,
e as possveis consequncias se um risco se tornar
uma realidade. Voc tambm deve medir os
comportamentos de reduo de risco, como tempos
de resposta a alertas.
Geralmente roteadores e firewalls podem
monitorar canais de sada, mas voc deve garantir que
a funcionalidade esteja ativada. Se voc no tem o
equipamento para monitorar o trfego de sada,
compre-o. Voc tambm deve registrar e monitorar
outros meios de exfiltrao - pendrives USB e outras
mdias de armazenamento porttil, impressoras, e
outros - atravs de verificaes aleatrias, pesquisas
tipo de aeroporto de pessoas entrando e saindo de seu
prdio. (General Electric e Wipro usam estes em
Bangalore.)
Para o monitoramento ser eficaz, voc deve gerenciar
diligentemente os privilgios de todos os funcionrios -
incluindo aqueles nos mais altos nveis de acesso aos
sistemas da empresa, que so geralmente os instigadores
de ataques internos. Reduza sua lista de usurios mais
privilegiados regularmente - e ento observe os que
permanecem para verificar se eles merecem sua
confiana. Procure sistemas de deteco de ameaa
interna que possam prever eventos possivelmente
evitveis, bem como encontrar eventos que j ocorreram.
Big data pode ser til para ligar pistas e fornecer avisos.
DESENHO: JOHN

"Sinto muito por v-lo partir, Doug. Voc nos deixa com uma grande
Software de deteco de malware pode ser til. responsabilidade."
CALDWELL

Particularmente em colaboraes externas-internas, um

Setembro de 2014 Harvard Business Review 9

Este documento autorizado apenas para reviso do educador por Oscar Javier Celis Ariza, Universidade Estcio de S at fevereiro de 2017. A cpia ou publicao constitui
violao de direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860