Os problemas de segurança acidentais gerados pelo acesso privilegiado a informação por parte dos colaboradores internos das empresas acontecem com cada vez maior frequência e têm um potencial para um impacto mais negativo do que os ataques maliciosos internos deliberados, de acordo com novos dados da IDC anunciados hoje pela RSA, a Divisão de Segurança da EMC (NYSE: EMC) e patrocinadora deste novo estudo. Este White Paper mostra também um desalinhamento ao nível das preocupações com a segurança por parte da maioria dos CXOs das empresas, que dão normalmente maior prioridade à protecção contra ataques maliciosos internos do que à prevenção dos incidentes de segurança internos acidentais, mais frequentes e com maior potencial de danos.

O documento da IDC “Insider Risk Management: A Framework Approach to Internal Security”, patrocinado pela RSA, aborda os riscos do acesso interno privilegiado à informação – a potencial ameaça a que uma organização está exposta por meio de utilizadores internos que têm acesso a sistemas críticos e a informação confidencial. Embora ciente de que os utilizadores criam riscos à segurança da informação dentro das próprias organizações, as ameaças externas ofuscam muitas vezes a importância de as empresas se protegerem contra riscos internos. O novo estudo revela um desajustamento das preocupações com a segurança por parte dos Chief Experience Officers das empresas, face ao maior número de falhas de segurança internas e às ameaças colocadas aos objectivos financeiros das empresas pelas brechas acidentais de segurança, acesso inapropriado e uso indevido de informações por parte dos seus empregados.

Entre a totalidade dos decisores TI que responderam ao inquérito da IDC, a maioria indicou não estar bem certa sobre os propósitos e as fontes dos riscos internos, referindo sentirem dificuldades para conseguir quantificar as potenciais consequências financeiras e o impacto nos fluxos de trabalho. De todas as organizações abordadas, 52 por cento caracterizam os incidentes com o acesso privilegiado a informações como predominantemente acidentais, apenas 19 por cento acreditam que as ameaças foram deliberadas, enquanto os restantes 26 por cento defendem que resultaram de uma combinação igual e três por cento admitiram não ter certezas. No entanto, quando questionados sobre as suas principais ameaças, quase 82 por cento dos executivos mostraram não terem certezas sobre se os incidentes ocorridos com pessoal contratado e trabalhadores temporários foram acidentais ou deliberados.

“Os empregadores vêm a sua relação com os empregados como uma questão de confiança e reconhecem que os seus colaboradores são o seu maior activo” afirmou Chris Christiansen, Vice-Presidente para a área de produtos de segurança na IDC. “No entanto, a natureza ampla da infra-estrutura de uma organização, juntamente com uma base global de funcionários muitas vezes dispersa, bem como com uma lista complexa de utilizadores internos que inclui empregados, consultores, parceiros e prestadores de serviços, torna a gestão dos riscos internos o maior desafio de segurança que os CXOs enfrentam actualmente: seja o risco intencional ou não, ele está lá. É real.”

Outros resultados importantes deste estudo indicam o volume de perigos associados ao acesso privilegiado a informações que as empresas estão a enfrentar. Em relação aos últimos 12 meses, 400 dos inquiridos admitiram a ocorrência de um total de 6.330 incidentes de perdas de informação acidentais, 5.907 ataques de Malware/Spyware a partir do interior da empresa e 5.831 incidentes criados pelos excessivos privilégios de acesso. No total, o número de incidentes indicados pelos inquiridos atingiu os 58.097 nos últimos 12 meses. Os resultados deste estudo mostram também que quase 40 por cento das organizações têm planos para aumentar os gastos com as iniciativas para reduzir os riscos internos de segurança nos próximos 12 meses e que apenas seis por cento conta reduzir esses gastos. Estes resultados indicam que não existe uma solução única para enfrentar da melhor forma os riscos de segurança interna, mas sim uma necessidade de adoptar uma abordagem abrangente na gestão desses riscos, de modo a compreender melhor o perfil de risco das empresas e o melhor lugar para colocar os sistemas de controlo.

“A segurança é uma tarefa de todos e não apenas da equipa de segurança” defendeu Christopher Young, Vice-Presidente Sénior da RSA, referindo que “os riscos internos estão a crescer e, para as empresas se manterem competitivas, os seus CXO têm que mudar a forma como defendem os seus negócios e alargar as prioridades de segurança para atender às necessidades de protecção contra riscos intencionais e acidentais com acesso privilegiado à informação. Os executivos têm que adoptar uma estratégia holística de modo a mitigar os riscos internos, concentrando-se na protecção da informação crítica face ao uso indevido, abusos e perdas por parte dos utilizadores internos, seja de forma acidental ou deliberada.”

Apesar de ser comum a crescente sofisticação das violações de dados por parte de alguns impostores, o novo estudo destaca o facto de a perda acidental de dados e da segurança da informação afectar a integridade operacional de uma organização em maior grau do que os ataques maliciosos intencionais.

Os resultados deste estudo referem que:

• Riscos Acidentais vs. Deliberados: as ameaças maliciosas internas, tais como o acesso não autorizado a dados confidenciais e a propagação de malware e spyware dentro da própria empresa, estão entre as maiores preocupações dos CXO relativas à segurança. No entanto, os riscos internos de acesso indevido que causaram o maior número de incidentes (perda acidental de dados devido à negligência do trabalhador) e maior impacto financeiro (privilégios excessivos ou expirados e direitos de acesso a controlos para os utilizadores) foram acidentais.
• Origens das Ameaças: no ano passado, as principais fontes de ameaças internas foram os trabalhadores temporários e os consultores externos.
• Perdas Financeiras: a média anual de perdas financeiras cifrou-se em cerca de 800 mil dólares para a indústria de prestação de serviços em TI.
• Incerteza dos Decisores: num cenário em que 93 por cento dos entrevistados eram responsáveis pelas decisões sobre segurança nas suas empresas, perto de 82 por cento não estavam certos sobre as origens dos riscos internos ligados ao acesso privilegiado a informação nem conseguia identificar ou quantificar com precisão a natureza do impacto financeiro.

O Estudo da IDC patrocinado pela RSA - “Insider Risk Management: A Framework Approach to Internal Security,” - está disponível através do site da RSA, no endereço www.rsa.com/insider-risk.