Proteção do elo

mais fraco: como

transformar os
funcionários em
sua maior força
Sumário

01 02 03 04
Introdução Defina linha de Minimize Capacite Envolva a Encerramento
base operacional condições de erro as práticas mentalidade
recomendadas de defesa
 Proteção do elo mais fraco: como transformar os funcionários em sua maior força 3

01

Como um tomador de decisões de segurança, você sabe que a segurança de uma

empresa é tão forte quanto seu elo mais fraco. A engenharia social — uso da
psicologia para enganar as pessoas para comprometer sua própria privacidade ou
02 segurança de rede — é agora a principal tática em ciberataques. Isso significa que
as pessoas internas — como funcionários, empreiteiros, parceiros e colegas — são
vetores de ameaça primária, com ou sem intenção.
Os usuários são minha primeira
Infelizmente, os líderes empresariais em todos os níveis permanecem geralmente
inconscientes da urgência desta ameaça. Uma pesquisa recente de empresas norte-
linha e minha última linha de defesa.
americanas revelou que apenas 21% dos entrevistados listaram ameaças internas como
03
uma das principais áreas de preocupação. Os dados mostram que quatro em cada
Bret Arsenault,
cinco funcionários sofreram um ataque de engenharia social nos últimos 12 meses.
Diretor de segurança da
Para ser claro, o problema é menos sobre os invasores pirateando funcionários informação da Microsoft
e mais sobre a exploração das vulnerabilidades que os funcionários em ambientes
corporativos ocupados criam. É verdade que algumas ameaças internas são Bret Arsenault, da Microsoft, aconselha outros CISOs a criar clareza e gerar
04 maliciosas — um funcionário descontente procurando vingança ou sucumbindo energia para transformar os usuários em defensores. A chave é simplificar
à atração de um suborno. Principalmente, porém, as violações internas ocorrem
para todos os seus funcionários, não apenas as equipes técnicas. Siga as
porque, de outra forma, os funcionários bem-intencionados estão muito distraídos
etapas¹ deste roteiro para começar.
ou não sabem agir em defesa das propriedades digitais de sua organização.

Os defensores totalmente envolvidos entendem os riscos e internalizam sua própria

responsabilidade na segurança digital. Fortalecer os funcionários como sua linha de
frente deve ser um esforço contínuo, um que incorpore o treinamento dinâmico —
incluindo simulações "ao vivo" e buscas detalhadas — e reflete o mesmo nível de
sofisticação do que os atacantes que você enfrenta.
 Proteção do elo mais fraco: como transformar os funcionários em sua maior força 4

01

02
01
Estabeleça a linha de base
operacional da sua organização
Você precisa de uma visão geral clara de como são as
03
atividades de negócios normais entre departamentos
antes de poder reconhecer desvios que possam sinalizar
o comportamento da ameaça.

04
 Proteção do elo mais fraco: como transformar os funcionários em sua maior força 5

01

Assuma uma abordagem focada no risco, começando com

os ativos e dados críticos da sua organização e, em seguida,
expanda para fora.
02
Implante soluções para monitorar
atividades regulares e correlacionar
Avalie e relate a postura de segurança atual usando uma
insights ferramenta de avaliação de risco como o Secure Score.
03
A segurança forte exige a análise estratégica dos dados dentro
da empresa. Para produzir inteligência de ameaças precisa e
relevante, você precisará coletar informações comportamentais
Monitore e bloqueie emails e anexos maliciosos.
e de recursos de muitas fontes internas, bem como de parceiros
e clientes.
04

Pense além dos logs de atividade de rede: uma solução

inteligente de gerenciamento de informações e eventos
de segurança, como o Microsoft Azure Sentinel, pode
correlacionar dados de diferentes origens e várias plataformas
de nuvem e alertar sua equipe de segurança com base em
ameaças padrões de atividade que você identifica.
 Proteção do elo mais fraco: como transformar os funcionários em sua maior força 6

01

02
Identifique os benchmarks
"normais" da sua organização O Microsoft Cloud app Security é fácil de
aprender e usar e unificou nossas políticas
03
Use seus dados coletados para desenvolver insights sobre de acesso à rede. Trinta minutos depois
padrões regulares de uso de rede, aplicativo e dispositivo.
Quais são as horas de trabalho dos funcionários e os hábitos que recebermos o produto, já estávamos
de autenticação? Quais recursos acessam departamentos auditando nossos aplicativos de terceiros
diferentes com frequência? Crie modelos operacionais para
departamentos, funções e níveis de privilégio.
em busca das vulnerabilidades que
04 sabíamos que a Shadow IT introduziu.

Charles Sims,
Chefe de tecnologia
Los Angeles Clippers
 Proteção do elo mais fraco: como transformar os funcionários em sua maior força 7

01

02
02
Minimize o potencial
cultural de erros
Entenda e ajude a mitigar os impactos negativos que os espaços
03
de trabalho de alta potência e os contextos sempre ativos têm
na capacidade dos seus funcionários de serem defensores fortes.
Os funcionários que estão sempre fazendo malabarismos com
prioridades e sentindo pressão podem ficar distraídos e menos
propensos a notar emails de spear-phishing ou estranhos
04 pegando carona em acesso a edifícios. Pior, eles podem não
se importar. O ressentimento ou o descontentamento são um
fator-chave de risco para ameaças internas intencionais.
 Proteção do elo mais fraco: como transformar os funcionários em sua maior força 8

01

Promova um estilo de gerenciamento orientado Envolva os funcionários no planejamento e agendamento de

a humanos, em vez de orientado a projetos. seus projetos, e incentive-os a contribuir com novas idéias e
02 resolução de problemas para beneficiar toda a organização.

03

Implemente políticas e processos de trabalho que Imponha a separação de deveres e menos privilégios para
se concentrem em objetivos orientados à missão. todos os funcionários, parceiros e contratados para ajudar a
limitar os danos causados por ameaças internas a processos,
sistemas e informações críticos.
04

A NASA tem um ditado: "não há nenhuma situação tão ruim que você não possa piorar".
É um lembrete para manter o foco e trabalhar nos problemas racionalmente.
Os erros acontecem quando as pessoas estão distraídas ou em pânico.
 Proteção do elo mais fraco: como transformar os funcionários em sua maior força 9

01

03
02
Use táticas de empoderamento
para incentivar a adoção de práticas
recomendadas tecnológicas
A aprendizagem bem-sucedida acontece quando os alunos aderem
03 ao motivo de estarem aprendendo. Seus funcionários entendem como
as práticas recomendadas de tecnologia os apoiam em suas funções
e departamentos individuais? Existem maneiras de ajudá-los a abraçar
uma mentalidade de segurança primeiro como um valor agregado
em suas carreiras, bem como para a empresa? Um bom programa
de treinamento de segurança deve fazer com que os funcionários
04
se sintam capacitados e apreciados por sua atenção e conformidade.

Charles Sims, o chefe de tecnologia do LA Clippers, capacitou os

funcionários, permitindo-lhes escolher um método de autenticação
que lhes permitiria manter a alta produtividade. A equipe do Clippers
pode optar entre usar a autenticação multifatorial ou atualizar senhas
com mais frequência. Os funcionários escolhem a solução que atende
às suas próprias necessidades de trabalho, o que incentiva a melhor
conformidade.
 Proteção do elo mais fraco: como transformar os funcionários em sua maior força 10

01
Para cada prática recomendada de segurança, implemente táticas de empoderamento

02

Institua políticas rígidas de Implemente ou estreite os Monitore as ações dos Mantenha um sistema de
gerenciamento de senhas controles de acesso e as funcionários e correlacione relatórios seguro e uma
e contas... políticas de monitoramento. dados de várias origens, estrutura de escalonamento
especialmente sistemas e pontos para ameaças internas
de extremidade não gerenciados e tratamento de erros.
03
pela sua organização.

04 Dê às pessoas opções para Maior privilégio exige maior Forneça diretrizes para que Forneça canais claros para que
implementar as práticas responsabilização. Forneça os usuários de tecnologia não os usuários relatem anomalias
recomendadas. Por exemplo, informações consistentes e sancionados pela TI (como operacionais, atividades
ofereça uma opção para escolher claras sobre regras de acesso serviços de compartilhamento suspeitas ou erros humanos
entre a autenticação multifatorial para que os usuários — de arquivos online, dispositivos não intencionais. Certifique-se
(MFA) ou a alteração de senhas especialmente aqueles com móveis pessoais, mídias sociais de que as pessoas saibam que
com frequência. Permita que mais privilégios — não se e aplicativos de bate-papo) esses canais não serão usados
os funcionários selecionem o sintam prejudicados em seu sintam-se capacitados para para punir ou retaliar por erros.
tipo de MFA que atenda às suas trabalho. fazer escolhas prudentes.
necessidades.
 Proteção do elo mais fraco: como transformar os funcionários em sua maior força 11

01

02
04
Institua simulação e treinamentos
periódicos de ataques "ao vivo"
Considere integrar um programa de simulação de ataque à
03
sua estratégia de gerenciamento de risco. As simulações "ao
vivo", que imitam as complexidades desdobráveis de um ataque
em tempo real, são uma maneira mais envolvente para os
funcionários praticarem ser defensores, desde o evento inicial
por meio de detecção, resposta e remediação.
04
 Proteção do elo mais fraco: como transformar os funcionários em sua maior força 12

01

02
As simulações comercialmente empacotadas muitas vezes não
são contextualizadas e imersivas o suficiente para fazer um
ataque simulado se sentir relevante para os funcionários de uma
determinada organização ou indústria. A maioria é composta por
simulações de phishing que não têm conhecimento de ameaças
03
internas e práticas de resposta e remediação. Muitas vezes, é difícil
para a liderança quantificar os resultados da aprendizagem.

A simulação de ataque eficaz e os exercícios de treinamento são

mais como a equipe de emergência ou treinamento de estilo militar.
04 Seus funcionários podem não saber exatamente como ou quando
um exercício de ameaça ao vivo ocorrerá, mas eles serão esperados
para trabalhar com os problemas e praticar diferentes soluções com
suporte estável e criterioso da liderança.
 Proteção do elo mais fraco: como transformar os funcionários em sua maior força 13

01

02

Dicas para melhores Trate os funcionários como sua linha Forneça meios para escalar
de frente suspeitas de forma segura
resultados por meio
Ninguém quer sentir-se enganado em ser uma Dentro ou fora de simulações de treinamento,
do treinamento de vítima ou um criminoso involuntário. Durante um mecanismode relatórios centralizado é
03
simulação: o treinamento de ameaças internas, todos devem essencial para o sucesso de sua defesa humana.
se sentir seguros para admitir que clicaram em O pessoal interno que relate um ataque suspeito
algo que não deveriam. Trate-os como confiáveis, ou recente deve saber a quem relatar, ou o
e certifique-se que eles possam relatar um erro alias de email ou página de segurança para
para a gerência sem medo. entrar em contato. Seja qual for o sistema de
04 relatórios usado, forneça critérios atualizados
para relatórios, bem como informações sobre as
próximas etapas e o que os funcionários podem
esperar que aconteça a seguir.
 Proteção do elo mais fraco: como transformar os funcionários em sua maior força 14

01

02

Personalize o treinamento para Motive por meio da variedade e do desafio Ajude os funcionários a irem
contextos e funções Para manter as pessoas envolvidas, você precisará de vítima infeliz a herói
Identifique os tipos de riscos que os diferentes diferenciar o treinamento ao longo do tempo. Use simulações de ataque para identificar
grupos e níveis de privilégio em sua Configure eventos de simulação para diferentes funcionários que mostrem aptidão para
03
organização provavelmente encontram. Que tipos de resposta e remediação para diferentes operações de segurança e recompensem
sistemas ou dados apresentam o maior "ROI" tipos de infiltração. Planeje eventos que desafiem pessoas por ir acima e além durante o exercício.
para um infiltrado ou sabotador? Considere os funcionários progressivamente, mas certifique- Alguns incentivos são simples, como crachás
adaptar a simulação de ataque para que as se de que eles sejam contextualizados, imersivos e gamificados ou classificações de MVP. Outros
experiências pareçam autênticas. curtos. Desenvolva métricas significativas para que poderiam ser mais substanciais, como parabenizar
04 eles — e você — possam julgar o progresso. os funcionários de alto valor pela maior
responsabilidade e crescimento da carreira.
 Proteção do elo mais fraco: como transformar os funcionários em sua maior força
01
A liderança da CISO é a chave
para reduzir as ameaças internas
A conscientização de segurança em uma organização é sempre
dinâmica. Dar a seus funcionários razões para acreditar que eles têm
uma função real no jogo exige gerenciamento de alterações criteriosas
02 e uma campanha com o apoio da liderança com múltiplas abordagens.
As práticas recomendadas e as habilidades que os funcionários adotam
hoje se tornarão desatualizadas amanhã; portanto
INCLUA exercícios de simulação que não só forneçam medições
03
de linha de base e progressivas, mas também reforcem os
comportamentos desejados.
MOVA-SE em direção ao treinamento de vários toques
e reforço de conhecimento para criar as habilidades que
04 estabelecem os funcionários como defensores fortes.
REDIJA mensagens de conscientização de segurança em eventos
corporativos e recursos para ajudar a criar a mentalidade de
segurança primeiro na cultura da sua organização.
NÃO se contente com o modelo de treinamento de
conformidade tradicional, uma vez por ano.
15
Lembre-se, a tecnologia por si só não pode substituir a iniciativa dos
seres humanos quando se trata de defender o espaço de trabalho.
Reduzir a chance de ameaças internas não é fácil, mas pense em seu
objetivo como a versão de chapéu branco da engenharia social —
usando educação, táticas motivacionais e práticas recomendadas de
tecnologia para transformar insiders vulneráveis na força de trabalho
informada e engajada defendendo sua propriedade digital.
Acelere nas principais tendências
do cenário de ameaças.
Visite Segurança
da Microsoft
1
Adaptado em parte do Common Sense Guide to Mitigating Insider Threats, sexta edição,
Carnegie Mellon University Software Engineering Institute, 2019.
© 2019 Microsoft Corporation. Todos os direitos reservados. Este documento é fornecido "no
estado em que se encontra". As informações e as opiniões expressas neste documento, incluindo
URLs e outras referências a sites, podem ser alteradas sem aviso prévio. Você assume o risco de
utilização. Este documento não oferece a você direitos legais a nenhuma propriedade intelectual
de nenhum produto da Microsoft. Você poderá copiar e usar este documento para fins internos
e de referência.