Destaques

Solicite sua guia

Contribuição para Fortalecimento Sindical 2023

Programa Estagiário Legal

Tenha estagiários com segurança jurídica

Cadastre-se no TI Rio Notícias

Receba em seu e-mail pauta das assembleias, notícias do setor de TI, agenda de eventos e muito mais

Mais notícias

Solicite o recolhimento gratuito de lixo eletrônico20/06/2024

Contribuição Assistencial para o Fortalecimento Patronal - Mensagem de nosso Presidente18/06/2024

CAMPANHA LIXO ELETRÔNICO 202405/06/2024

Governo e Congresso chegam a acordo sobre desoneração da folha de 17 setores09/05/2024

Usuários finais representam um terço do uso indevido de informação privilegiada

20/05/2016

Anualmente, o Data Breach Investigations Report (DBIR) produzido pela Varonis a partir de dados coletados de parte de seus clientes na Europa e nos Estados Unidos, faz um diagnóstico real sobre osriscos aos quais essas empresas estão expostas. A edição deste ano traz dados alarmantes sober o uso indevidos de dados por funcionários. Nada menos que 70% das violações registradas ocorreram envolvendo funcionários.Foram analisados mais de 100 mil incidentes, incluindo 2.260 violações de dados confirmados através de 82 países.

Os usuários finais representam um terço do uso indevido de informação privilegiada. Os ataques são tipicamente motivados por dinheiro: 34% das violações foram motivadas por ganho financeiro, embora um quarto (25%) possa estar relacionada com espionagem industrial e o roubo de propriedade intelectual.

Sem saber que dados a empresa tem, onde estão e quem tem acesso a eles, os riscos aumentam. Informações coletadas em risk assessments durante um ano de 2015 revelam que as empresas participantes do estudo têm, em média, 9,9 milhões de arquivos acessíveis a todos os funcionários.

Dos insights gerados das dezenas de risk assessments conduzidos durante o ano em empresas de médio e grande porte, a Varonis descobriu que, em média, cada empresa tinha:

- 35,3 milhões de arquivos armazenados em 4 milhões de folders – ou seja, cerca de 8,8 arquivos por folder;

- 1,1 milhão de folders, ou uma média de 28% de todos os folders, abertos a todos os usuários da rede;

- 9,9 milhões de arquivos acessíveis a todos os funcionários da empresa, independente de seu cargo;

- 2,8 milhões de folders, ou 70% de todos os folders, contendo dados obsoletos – intocados nos últimos seis meses;

- 25 mil contas de usuários, as quais 7.700 delas (ou 31%) sem logar nos últimos 60 dias, sugerindo se tratar de ex-funcionários, pessoas que mudaram de cargo, ou consultores e colaboradores que não prestam mais serviços à empresa.

"A realidade não é muito diferente no Brasil", afirma Carlos Rodrigues, Country Manager da Varonis. "Os percentuais podem variar um pouco, para cima ou para baixo. Por exemplo, aqui a média perecentual de contas inativas, considerando nosso 80 clientes, é de 16% e não 31%", revela o executivo, garantindo que estuda a possibilidade de inclusão do Brasil em próximas edições do estudo. "Primeiro temos que ter a premissão dos clientes. Um processo que deve demorar alguns meses", diz.

Outra diferença é que, se lá fora, a maior procupação com violações internas parte de empresas das áreas de saúde, governo e administração, aqui é o setor financeiro quem já despertou para o problema.

Rodrigues explica que grande parte desses arquivos de acesso irrestrito são produzidos pelos próprios usuários finais, extraindo informações de baeas de dados estruturadas. "É muito comum alguém entrar no sistema, extrair o dado na forma de planilha, trabalhar no arquivo e depois salvá-lo no file server, gerando uma montanha de dados não estruturados circulando pela empresa. A maioria das empresas não sabe onde esses dados estão, quantos deles são dados sensíveis e quais, quem em acesso aos arquivoe e o que faz com eles", diz. Sem monitorar esses arquivos da forma corretas, as empresas podem levar meses, ou anos, para descobrir uma violação. Talvez só descubram quando essa violação vier a causar sérios prejuízos

Segundo o estudo da varonis, deixar um arquivo aberto para todos os usuários da rede é uma conveniência comum ao definir permissões. Esse acesso massivo também torna bem mais fácil o roubo de dados corporativos pelos hackers.

Durante os assessments em clientes da Europa e Estados Unidos, aVaronis encontrou alguns pontos negativos que se destacaram:

- Em uma das empresas, cada funcionário tinha acesso a 82% dos 6,1 milhões de folders;

- Outra empresa tinha mais de 2 milhões de arquivos contendo dados sensíveis (cartões de crédito, seguro social e números de contas) com acesso livre para todos na empresa;

- Metade dos folders de uma outra empresa tinha permissão de acesso para todos, e mais de 14 mil arquivos nesses folders eram sensíveis;

- Uma única empresa tinha mais de 146 mil usuários inativos – contas que não eram acessadas nos últimos 60 dias. O número é três vezes maior que o número médio do total de funcionários de empresas da Fortune 500.

"Ninguém espera que a ameaça venha justamente de “dentro de casa”. Quando pensamos em ataques à segurança da empresa, a primeira alternativa é mirar no invasor externo. E a governança passa a ser algo que fica sempre para depois, afinal, é possível utilizar os recursos do próprio sistema operacional para verificar permissões de acesso",comenta Rodrigues.

O único problema é que, num ambiente com milhares de usuários, esse controle manual é quase impossível. E é aí que o ambiente fica exposto – quando o usuário pode acessar documentos que não deveria, diretórios com informações confidenciais, e outros dados sensíveis que deveriam ficar restritos.

Você saberia dizer hoje que funcionário tem acesso a que tipo de informação na sua empresa? Onde estão os dados sensíveis e onde estão expostos dentro da empresa?

Site: CIO
Data: 20/05/2016
Hora: 6h56
Seção: Gestão
Autor: ------
Foto: ——-
Link: http://cio.com.br/gestao/2016/05/20/usuarios-finais-representam-um-terco-do-uso-indevido-de-informacao-privilegiada/

Comentários

Faça Login para comentar