Como proteger sua organização de riscos internos

Os escritórios estão começando a reabrir, mas o trabalho híbrido ainda é uma realidade para muitas organizações. E embora a enxurrada de mudanças de emprego apelidada de Grande Reorganização seja predominantemente entre os trabalhadores da linha de frente, essas organizações ainda estão lidando com novos funcionários que ainda não conhecem os processos da empresa, estejam entrando na empresa agora sem conhecer seus colegas pessoalmente ou vindo pela primeira vez no escritório.

As empresas recorreram à tecnologia para trabalho remoto e híbrido, mas o foco inicial estava na produtividade e no e aos funcionários, com as equipes de TI muitas vezes voltando a considerar a segurança e a conformidade após a urgência inicial de se tornarem remotos. Além de proteger os dispositivos usados ​​em casa para trabalhar contra invasores, as organizações queriam auditoria e prevenção de perda de dados para garantir que os funcionários estivessem seguindo os processos corretos ao trabalhar com dados.

CONSULTE: Google Workspace vs. Microsoft 365: uma análise lado a lado com lista de verificação (TechRepublic )

O risco interno não é apenas sobre funcionários descontentes que levam dados confidenciais com eles quando saem. Mais da metade das ameaças internas são tipicamente inadvertidas, disse Alym Rayani, gerente geral de Conformidade e Privacidade da Microsoft. Quase três quartos das organizações em um estudo da CMU tiveram mais de cinco incidentes internos maliciosos em 2020 (69%) – mas ainda mais tiveram pelo menos tantos problemas internos não intencionais em que dados ou o foram inadvertidamente mal utilizados.

A mudança no ambiente de trabalho só agrava o problema, ele sugeriu. “Em conformidade, trata-se de gerenciar mudanças, porque nada é estático, mas isso é mais mudança do que acho que alguém já esteve acostumado.”

“Tem funcionários saindo; também há funcionários entrando. Novos funcionários que não entendem todos os protocolos ou o manual e todas as coisas que acompanham a entrada na organização podem inadvertidamente fazer coisas que criam riscos, e você sabe, eles não pretendiam”, apontou Rayani.

“Na minha equipe, contratamos três novas pessoas no mês ado e elas estão aprendendo a lidar com informações confidenciais.” O grupo de Rayani tem o a informações usadas para relatórios financeiros da Microsoft, que estão sujeitos a várias regulamentações. “Na verdade, acabei de enviar uma nota para um de meus colegas dizendo: ‘Vamos seguir esse protocolo automatizado que temos para como esses usuários obtêm o a essas informações, como elas são marcadas.’ E não é porque esses usuários são maliciosos, é porque eles estão aprendendo como a Microsoft trata esses dados.”

Ajude, não atrapalhe

O gerenciamento de risco interno é ser capaz de identificar, entender e agir sobre ameaças potenciais de dentro de sua organização sem reduzir a produtividade ou intimidar os funcionários que erram. Em vez disso, você deseja usar incidentes para educar os usuários e ajudá-los a permanecer dentro da política. Para fazer isso, você precisa saber o que é normal para sua organização e seus funcionários. É suspeito se alguém ar milhares de arquivos muito rapidamente? Isso depende se são arquivos de dados do cliente ou arquivos em um repositório de desenvolvedor, onde trabalhar com código pode significar copiar muitos arquivos automaticamente – e se a pessoa que faz isso é um desenvolvedor.

O recurso Insider Risk Management no Microsoft 365 E5 (disponível como complemento para s do E3) usa aprendizado de máquina para procurar esses tipos de padrões, incluindo sequências de comportamento que podem ser sutis, como alterar o rótulo de confidencialidade em um documento.

“Se alguém rebaixar um documento de confidencial para público, pode fazer isso porque pode transferir esse documento para algum lugar fora do radar. Pode não ser óbvio o que isso está levando, mas quando você começa a colocar esse sinal junto com outras coisas que estão acontecendo, você pode entender como essa correlação pode ser”, explicou ele.

Isso pode ser um sinal de que alguém está enviando informações para fora da empresa (algo que a Microsoft chama de exfiltração cumulativa) – ou pode estar apenas colocando-as em um serviço de armazenamento em nuvem para que possam vê-las quando estiverem trabalhando em casa ou indo para uma consulta médica. “Se os usuários estão trabalhando de maneira diferente e você começa a se adaptar a isso, pode entender o que acontece quando um documento é rebaixado e depois carregado em um site.”

Em vez de impedir que os usuários façam isso e potencialmente bloqueá-los de realizar seus trabalhos, convém incentivá-los a melhores maneiras de trabalhar. “A melhor coisa que você pode fazer é realmente ensinar o usuário no momento. Se eles fizerem algo assim, você poderá enviar automaticamente um e-mail com um link para o manual ou link para treinamento ou uma dica. Você pode usar situações em tempo real para atualizar sua organização sobre como lidar com os dados corretamente.”

Uma maneira de entender o comportamento do usuário sem reduzir a produtividade é pedir aos usuários que expliquem por que estão fazendo algo. Quando você altera um rótulo de documento de confidencial para público, pode ser por conveniência ou porque um projeto secreto está sendo anunciado como um novo produto, então você deseja que as pessoas possam descobrir os detalhes.

As organizações podem definir políticas para gerenciar quais documentos podem ser renomeados e por quê. “Se a organização configurar o portal de proteção de informações para exigir justificativa, o usuário poderá inserir ‘Queria que este documento fosse consultado no meu telefone quando for ao médico’. Mas digamos que você tenha informações relacionadas a relatórios para a SEC e seja muito arriscado, você pode dizer que nunca quero que algo rotulado dessa maneira possa ser rebaixado e, infelizmente, esse usuário terá que fazer isso de uma maneira diferente porque é tão sensível.”

Os padrões também podem ser sazonais: os funcionários de sua equipe de contabilidade podem analisar os principais dados financeiros apenas uma vez por trimestre ou mesmo uma vez por ano. Rayani incentiva as organizações a ativar o Insider Risk Management mesmo que não planejem usá-lo imediatamente, porque inicialmente o sistema analisa apenas dez dias de dados. “Você permite que o sistema aprenda com o tempo e faça o reconhecimento de padrões, e aprenda o que está fora da norma por um longo período de tempo.”

Você também pode criar políticas baseadas em regras quando o sistema detectar um comportamento que pareça incomum, mas que seja um desses padrões sazonais, para evitar obter o mesmo falso positivo todos os anos.

Definir prioridades

Quando os hábitos de trabalho ainda estão em fluxo, o aprendizado de máquina significa que o sistema aprenderá o novo normal à medida que isso acontecer, para que você saiba quando o comportamento é realmente incomum, e não apenas desconhecido. “Temos um novo recurso para identificar e alertar mais alto quando o modelo de aprendizado de máquina diz que ‘as atividades desse usuário específico são mais altas que a média para sua organização’. E, claro, essa organização pode estar mudando ao longo do tempo, à medida que o comportamento do usuário muda conforme as pessoas dentro e fora da empresa.

“O que é realmente importante é, o que é em relação ao que deve ser considerado a norma para sua organização e quando você diz ‘OK, isso está tão fora da norma estatística para minha organização que eu realmente preciso fazer uma triagem e agir rápido nisso.’”

Ele também aprende como os analistas de segurança criam e fazem a triagem dos resultados. Isso é importante para evitar falsos positivos que desperdiçam o tempo de sua equipe de segurança e conformidade. “Como podemos ajudar o que normalmente é um pequeno grupo de analistas ou investigadores a identificar e fazer a triagem desses riscos com mais eficiência, o que significa chegar aos corretos e fazê-lo mais rapidamente?”

VEJA: Windows 11: Dicas sobre instalação, segurança e muito mais (PDF grátis) (TechRepublic)

O Microsoft 365 Insider Risk Management baseia-se nas mesmas técnicas que o SharePoint usa para classificar automaticamente os documentos como confidenciais ou confidenciais. Esses classificadores treináveis ​​aprendem como os usuários classificam documentos e precisam de cerca de 30 documentos para criar um padrão a ser seguido.

Os clientes de serviços financeiros já usam esses modelos de aprendizado de máquina no Microsoft 365 para conformidade de comunicações, monitorando chamadas telefônicas internas e bate-papos entre corretores e revendedores para impedir o uso de informações privilegiadas. Outros setores regulamentados o usam para proteger ativos, detectar violações de código de conduta, como compartilhamento de conteúdo impróprio, e em setores como saúde, onde são obrigados a rastrear reclamações de clientes.

“Se algo está errado com um medicamento, ou algo é encontrado em um produto, eles são obrigados a rastrear e responder a essas reclamações”, explicou Rayani. “Temos um classificador de reclamações de clientes que encontra essas possíveis reclamações e apresenta correspondências para que eles possam processar e registrar oficialmente essas coisas de acordo com seus requisitos regulatórios”.

Mas mesmo as indústrias que não têm requisitos de conformidade e regulamentação agora podem usar a conformidade de comunicações para melhorar a satisfação do cliente. “Eles estão adotando isso para garantir que estão fazendo o certo por seus clientes. Eles podem identificar essas reclamações de clientes por chat e outras situações com mais facilidade, lidar com elas e deixar seus clientes mais felizes e melhorar sua marca.”

Isso é diferente da análise de sentimento usual, que analisa o tom da linguagem para adicionar contexto. Aqui, o classificador analisa as palavras que as pessoas usam, seja como ‘o selo foi danificado’ ou ‘meu medicamento foi contaminado’ ou outras frases que você espera que clientes insatisfeitos usem.

Deixar seus clientes insatisfeitos é um problema diferente dos usuários que expõem dados, acidentalmente ou de propósito, mas ainda é um risco que algumas organizações desejam gerenciar, disse Rayani. Assim como no gerenciamento de risco interno mais familiar, o objetivo é dar aos clientes a flexibilidade de monitorar o que lhes interessa.

“Eles podem determinar seus próprios limites de risco, suas prioridades de conformidade, seus objetivos. Alguns de nossos clientes estão apenas tentando atender aos requisitos regulamentares obrigatórios. Outros querem usar essas ferramentas para defender a cultura da empresa e outros querem otimizar a experiência do cliente – ou todos os três.”