Como funcionários honestos acabam caindo em armadilhas

Quando a simplicidade é a causa de problemas

*Por Vladimir Prestes
27/04/2018 - Sei, por experiência própria, que incidentes no campo da segurança da informação frequentemente devem-se ao despreparo dos funcionários honestos. Há mais de dez anos trabalhamos no desenvolvimento de sistemas corporativos para prevenção de vazamentos de informações, em outras palavras - DLP (Data Loss Prevention). E as principais razões pelas quais os funcionários envolvem-se em situações desagradáveis são: negligência em relação às regras de segurança da informação, confiança excessiva nos colegas e o simples descuido.

Um estudo recente de nossos analistas mostrou que na maioria das empresas russas (84%) os funcionários assinam um contrato de confidencialidade de dados corporativos. Treinamentos sobre segurança da informação são realizados em 72% das organizações. Mas a eficiência dessas medidas será mínima até que os próprios funcionários entendam a importância dessas regras. Somente nesse caso poderíamos esperar um resultado positivo.

Vítimas Inocentes, Otimistas Descuidados e Funcionários peculiares

Vazamentos de informações raramente acontecem por acaso. A motivação dos agentes internos é clara - geralmente está ligada a um ganho pessoal. Porém, tudo é mais complicado quando funcionários honestos estão envolvidos em vazamentos de dados. Analisando tais incidentes, chegamos à conclusão de que todos os agentes internos "involuntários" podem ser divididos em três grupos.

Vítimas Inocentes

Este grupo inclui funcionários desavisados, enganados intencionalmente por um dos colegas. Na empresa de um de nossos clientes, os agentes de segurança da informação identificaram que um dos funcionários armazenava em seu disco local documentos importantes aos quais ele não deveria ter acesso. Esta era uma violação grave do regulamento interno, que exigiu uma investigação urgente. Descobriu-se que um software para acesso remoto era usado frequentemente no computador deste funcionário, o que era desnecessário para a realização de seu trabalho. A investigação do serviço de segurança revelou que o funcionário suspeito de violações nem sabia sobre o armazenamento dos arquivos em seu computador. O culpado era, na verdade, um especialista técnico da empresa que usava o computador do nosso "herói" para armazenamento temporário antes de transferir os dados confidenciais para terceiros.

Otimistas descuidados

Assim eu chamo aqueles funcionários que se tornam autores de vazamentos por negligência, ignorância ou ingenuidade. Darei um exemplo. Ao se demitir, o funcionário de uma Construtora enviou documentos de trabalho para sua caixa de e-mail pessoal. Entre os quais, como se constatou, encontrava-se também informação confidencial. O funcionário não suspeitava de que havia feito o download de dados sigilosos e nem de qual era o valor dos mesmos. Os agentes de segurança da informação perceberam a tempo e conseguiram evitar o incidente. No entanto, se esses dados tivessem chegado aos concorrentes, devido à negligência do ex-funcionário da empresa, os prejuízos causados seriam de 169 mil dólares em apenas um ano.

Funcionários peculiares

Esses funcionários são "inofensivos" até que algo os provoque. Em suas vidas pessoais, há "pontos fracos", dos quais pessoas mal-intencionadas podem tentar se aproveitar. Por exemplo, dívidas, dependência química ou alcoolismo, ou outros vícios que possam ter existido no passado do funcionário. Os agentes de segurança da informação consideram esses funcionários um grupo de risco, uma vez que criminosos podem acabar usando tais "peculiaridades" para chantageá-los.

Outro caso obtido em nossa experiência. Em uma empresa, por motivos desconhecidos, foram selecionados os mesmos fornecedores, embora as condições propostas não fossem as melhores. Os agentes de segurança da informação começaram a monitorar a especialista responsável pelo setor de compras. A primeira suspeita, de que a funcionária recebia propinas, não foi confirmada.

No entanto, os agentes de segurança notaram outro fato interessante. A moça, especialista de compras, se comunicava frequentemente com um colega de outro departamento. Percebeu-se que havia um "clima" entre os dois jovens. E justamente esse sentimento foi usado pelo rapaz para persuadir a garota a escolher os fornecedores dos quais ele recebia "bônus".

 

Oportunidade ou ameaça: Inteligência Artificial e Machine Learning desafiam a segurança digital

*Por Carlos Rodrigues
26/04/2018 - Os sistemas equipados com inteligência artificial hoje contam com uma quantidade massiva de dados sensíveis para determinar o curso da vida dos indivíduos. Diante deste cenário, é até difícil não imaginar que essa tecnologia esteja vulnerável de alguma maneira ou até mesmo possa ser usado para fins maliciosos, especialmente quando pensamos nas plataformas de segurança digital que usam essa tecnologia aplicada em sistemas equipados com machine learning, como as mais novas soluções de proteção do endpoint.

Como o machine learning, uma tecnologia que trouxe uma série de oportunidades para a segurança digital, pode se tornar uma ameaça para as empresas? Um grupo de cientistas de universidades americanas e britânicas, incluindo Stanford, Yale, Oxford e Cambridge, junto de organizações da sociedade civil e representantes da indústria de cibersegurança buscaram responder essa pergunta no estudo The Malicious Use of Artificial Intelligence: Forecasting, Prevention and Mitigation, publicado recentemente, que aborda uma série de potenciais usos maliciosos da inteligência artificial com foco em machine learning.

Além de permitir que malwares do tipo zero-day apareçam com mais frequência e sejam direcionados de maneira mais precisa, inclusive neutralizando as defesas existentes, a inteligência artificial e o machine learning, quando usados pelos cibercriminosos, expõem também uma falha preocupante dessas tecnologias, que é a possibilidade de indução de classificações equivocadas por meio de informações contraditórias ou da contaminação da base de dados.

Como explica o estudo, o machine learning depende de dois fatores básicos: a qualidade do algoritmo de aprendizado e a integridade do conjunto de dados usado como base. Assim, ataques envolvendo inteligência artificial podem acabar tendo essas duas áreas como alvo: manipulação ou alteração do algoritmo de aprendizado ou a danificação do conjunto de dados usado para o mecanismo de machine learning.

Economia Analítica – necessária e urgente

*Por Marcelo Rezende
25/04/2018 - Temos uma infinidade de dados à disposição hoje em dia, isso não é nenhuma novidade. Dispositivos, softwares e produtos captam informações a todo momento e em qualquer lugar. Armazenamento para tudo isso? Essa barreira já foi ultrapassada – especialmente por conta da crescente adesão à nuvem.

O desafio agora é saber o que fazer com todos esses dados. Vivemos um momento definido pelos especialistas como Economia Analítica. Tecnologias como Big Data, Internet das Coisas e "Business Intelligence" (BI) evoluíram muito nos últimos anos e o segredo agora é conseguir dar um significado (prático e de negócios) para toda esta informação acumulada.

Essa nova Economia Analítica exige que tenhamos capacidade de interpretar os dados e usá-los a nosso favor, tudo para conseguir tomar as melhores decisões. Mas será que as empresas sabem mesmo como fazer isso? Lembra do boom do ERP (Enterprise Resource Planning) dentro das organizações? O sistema sempre foi bastante eficiente para fazer gestão da informação e, de repente, tivemos uma virada. Com conectividade, todas as companhias começaram a acumular diversos tipos de dados nesses grandes repositórios. No entanto, nem todas sabem o que fazer com eles.

O que acontece hoje é o mesmo movimento – sabemos que tudo gera dados e queremos, claro, ter todos eles ao nosso alcance. Mas, mais do que captar e armazenar, é preciso descobrir como trabalhar a informação de forma realmente eficiente, o que se torna ainda mais desafiador não somente pelo alto volume de dados, mas também por conta da repetição de informações vindas de diferentes fontes.

Dados dispersos podem não ter algum sentido, no entanto, a correlação entre eles pode nos trazer insights valiosos e jamais explorados. A resposta das perguntas que nem fizemos podem estar no cruzamento de informações que nunca exploramos.

A importância do Big Data e como gerar valor real pormeio da tecnologia

*Por Alexandre Glikas
03/05/2018 - Os novos hábitos do consumidor, gerados principalmente pelo avanço tecnológico e as novas mídias e, consequentemente, as formas inovadoras de interagir com o público, facilitam para que as empresas consigam coletar uma grande quantidade de informação de seus públicos-alvo. Para conseguir cruzar e analisar esse grande volume de dados, as empresas investem cada vez mais em serviços de Big Data.

Por meio da tecnologia é possível agrupar e avaliar novas fontes de informações caracterizadas por volume, velocidade e variedade, revelando padrões de comportamento de um determinado público ou mercado de forma mais rápida e precisa. A solução baseia-se em ações realizadas pelo consumidor, suas preferências e necessidades. Mas, mais importante que o número de dados reunidos, são os insights e os valores gerados após a análise.

Com isso, as empresas têm a possibilidade de avaliar tudo que capta com mais agilidade e utilizando técnicas que até então, não eram empregadas em uma escala empresarial. Os resultados ajudam em diversas decisões estratégicas do negócio, gerando redução de custos e tempo, desenvolvimento de novos produtos e serviços inteligentemente pensados para o público-alvo, além de decisões ainda mais assertivas.

Cloud Computing como acelerador de crescimento das PMEs

luciano_carino_embratel.jpg*Por Luciano Carino
02/04/2018 - As soluções armazenadas em Nuvem (Cloud) estão trazendo uma nova realidade para o mundo empresarial. As ofertas de Cloud Computing estão mudando a regra do jogo, igualando as condições de competição e possibilitando que médias e pequenas empresas (PMEs) tenham acesso à última palavra em tecnologia, ao contrário de outros tempos nos quais modernas infraestruturas de TI estavam disponíveis apenas para grandes corporações com orçamentos para compra de equipamentos e programas que, na maioria dos casos, eram caros e com vida útil efetiva de menos de dois anos.

Na era digital, com serviços de TI que inclusive já podem ser contratados conforme o uso, o modelo de competição muda e deverá acelerar a potência das PMEs. Até pouco tempo atrás, era inimaginável pensar que uma multinacional e uma pequena empresa pudessem ter acesso à mesma infraestrutura tecnológica. Pesquisas recentes do Gartner mostram que mais da metade das PMEs dos Estados Unidos estão investindo na aquisição de soluções em Cloud. As ofertas Cloud trazem escalabilidade, flexibilidade, agilidade e melhor custo-benefício que precisam para suportar o crescimento de seus negócios.

Crescendo os negócios, a expansão da capacidade de armazenamento é estratégica. Basta contratar uma Nuvem escalável para atender as demandas investindo de forma inteligente em sistemas terceirizados armazenados em Cloud (Nuvem), diferente de antes, quando os pequenos e médios empresários precisavam fazer altos investimentos em infraestrutura própria, com equipamentos físicos (servidores por exemplo), local apropriado para instalação e equipe técnica para suporte e manutenção.

 

Indústria 4.0 e IOT: uma transformação muito mais do que digital

*Por Walter Sanches
28/03/2018 - A informatização e o alto nível de conectividade, que juntos dão origem ao conceito de IOT (Internet das Coisas), estão cada vez mais em pauta em todos os segmentos da economia. E não é diferente na indústria, setor no qual são crescentes os burburinhos em relação ao que é a Indústria 4.0 e como ela impacta no dia a dia das empresas e em seus processos fabris.

O termo indústria 4.0 nasceu na Alemanha e contempla medidas que visam aumentar e recuperar a competitividade industrial, usando como meio a aplicação de tecnologias, como a IOT, no chão de fábrica. Porém, não estamos falando de uma implantação propriamente dita, mas de uma jornada para melhoria da produtividade, sempre tirando proveito dos benefícios que o mundo digital pode trazer. Em minha visão, não se trata de um pacote que se compra, mas sim de um conceito bastante amplo para aplicar tudo que o "mundo digital" pode oferecer ao "chão de fábrica". E isso, sem dúvida, envolve uma grande mudança de paradigma que, assim como tudo, tem prós e contras.

Primeiramente, a IOT e a transformação digital criam uma necessidade ainda maior de garantir que todas as informações relacionadas à produção estejam protegidas e não extrapolem barreiras, indo além de quem pode visualizá-las. Fora as questões de espionagem industrial, o cuidado deve ser redobrado quando ingressamos no mundo digital e na indústria 4.0. Códigos maliciosos, cavalos de troia e outras ameaças veladas podem mudar a ordem de produção e até parar máquinas. Se isso já é desastroso hoje, imaginemos em um cenário 100% conectado, no qual qualquer falha de comunicação pode causar uma desorganização geral, atrasos em entregas, mudanças de rotas e muitos outros problemas. Por isso, esse cenário requer a adoção de controles específicos. Outro ponto importante é que, ao mesmo tempo em os ativos digitais já estão sendo reconhecidos por sua relevância para os negócios, eles ainda são tratados em muitas companhias como caixas pretas, ou seja, ainda predomina o desconhecimento acerca do real valor deste patrimônio. Assim, poucos ativos estão sob uma gestão mais organizada, o que demanda, de certa forma, uma mudança de comportamento por parte dos gestores, mesmo aqueles que não estão ligados diretamente à tecnologia.

Além disso, a indústria 4.0 também envolve desafios relacionados à gestão dos recursos humanos, pois as competências terão que estar alinhadas com o uso de Big Data, Robôs Autônomos, Simulação, Integração de Sistemas, IoT, Segurança Cibernética, Computação em Nuvem, Manufatura Aditiva ( impressão 3D), Realidade Aumentada e outros conceitos que passarão a ser largamente utilizados nos próximos anos. Inclusive, uma pesquisa da McKinsey apontou justamente isto: que o desafio nesse cenário todo é de caráter Cultural e de comportamento. Afinal, são pessoas que decidem e influenciam a adoção de novas tecnologias.

newsletter buton