Trace Id is missing
Avançar para o conteúdo principal
Microsoft Security

O que é uma ameaça interna?

Explore a forma de defender a sua organização de atividades internas, incluindo utilizadores com acesso autorizado que podem, intencionalmente ou não, causar um incidente de segurança de dados.

Definição de ameaça interna

Antes de os operadores internos se tornarem uma ameaça, são um risco, que é definido como a possibilidade de uma pessoa utilizar o acesso autorizado aos recursos da organização - de forma maliciosa ou não intencional - de um modo que afete negativamente a organização. O acesso inclui o acesso físico e virtual, e os recursos incluem informações, processos, sistemas e instalações.

O que é um operador interno?

Um operador interno é um indivíduo de confiança a quem foi dado acesso a, ou tem conhecimento de, quaisquer recursos, dados ou sistemas da empresa que não estão geralmente disponíveis ao público, incluindo:

  • Pessoas que têm um cartão de identificação ou outro dispositivo que lhes permite aceder continuamente à propriedade física da empresa, como um datacenter ou sede corporativa.
  • Pessoas que têm um computador da empresa com acesso à rede.
  • Pessoas que têm acesso à rede corporativa de uma empresa, recursos da cloud, aplicações ou a dados.
  • Pessoas que têm conhecimento sobre a estratégia de uma empresa e sobre as suas finanças.
  • Pessoas que criam os produtos ou serviços da empresa.

Tipos de ameaça interna

Os riscos internos são mais difíceis de detetar do que as ameaças externas, uma vez que os operadores internos já têm acesso aos recursos de uma organização e estão familiarizados com as respetivas medidas de segurança. Conhecer os tipos de riscos internos ajuda as organizações a protegerem melhor os seus recursos valiosos.

Acidente

Por vezes, as pessoas cometem erros que podem levar a potenciais incidentes de segurança. Por exemplo, um parceiro de negócios envia um documento com dados de clientes a um colega, sem se aperceber que este não está autorizado a ver essa informação. Outro erro seria um colaborador responder a uma campanha de phishing e instalar inadvertidamente malware.

Malícia

Num incidente de segurança malicioso causado por um operador interno, um colaborador ou uma pessoa de confiança faz intencionalmente algo que sabe que irá afetar negativamente a empresa. Estes indivíduos podem ser motivados por queixas pessoais ou outras razões pessoais e podem procurar obter ganhos financeiros ou pessoais através das suas ações.

Negligência

A negligência é semelhante a um acidente, na medida em que a pessoa não tinha a intenção de causar um incidente de segurança de dados. A diferença é que a pessoa pode violar conscientemente uma política de segurança. Um exemplo comum é quando um colaborador permite que alguém entre num edifício sem mostrar um cartão de identificação. Um equivalente digital seria ignorar uma política de segurança sem uma análise cuidadosa por uma questão de rapidez e conveniência ou aceder aos recursos da empresa através de uma ligação sem fios não segura.

Conluio

Alguns incidentes de segurança internos são o resultado da colaboração de uma pessoa de confiança com uma organização cibercriminosa para cometer espionagem ou roubo. Este é um outro tipo de risco interno malicioso.

Como é que ocorrem os incidentes internos maliciosos?

Os incidentes maliciosos causados por pessoas com informação privilegiada podem ocorrer de várias formas para além de um típico ciberataque. Seguem-se algumas formas comuns de os operadores internos causarem incidentes de segurança:

Violência

Os operadores internos podem utilizar a violência ou a ameaça de violência para intimidar outros colaboradores ou expressar descontentamento numa organização. A violência pode assumir a forma de abuso verbal, assédio sexual, intimidação, agressão ou outras ações ameaçadoras.

Espionagem

A espionagem refere-se à prática de roubar segredos comerciais, informações confidenciais ou propriedade intelectual pertencentes a uma organização com o objetivo de proporcionar uma vantagem a um concorrente ou a outra parte. Por exemplo, uma organização pode ser infiltrada por um operador interno malicioso que recolhe informações financeiras ou projetos de produtos para obter uma vantagem competitiva no mercado.

Sabotagem

Um operador interno pode estar insatisfeito com uma organização e sentir-se motivado para danificar a propriedade física, os dados ou os sistemas digitais da organização. A sabotagem pode ocorrer de várias formas, como vandalizar equipamentos ou comprometer informações confidenciais.

Fraude

Os operadores internos podem cometer atividades fraudulentas para ganho pessoal. Por exemplo, um operador interno malicioso pode utilizar o cartão de crédito de uma empresa para uso pessoal ou apresentar pedidos de reembolso de despesas falsos ou inflacionados.

Roubo

Os operadores internos podem roubar os recursos, dados confidenciais ou propriedade intelectual de uma organização para ganho pessoal. Por exemplo, um colaborador demissionário motivado por ganhos pessoais pode transferir informações confidenciais de forma não autorizada para o seu futuro empregador, ou um empreiteiro que é contratado por uma organização para executar tarefas específicas pode roubar dados confidenciais para seu próprio benefício.

Sete indicadores de risco interno

Tanto as pessoas como a tecnologia desempenham um papel na deteção de risco interno. O ponto crucial é estabelecer uma linha de base do que é considerado normal, para que seja mais fácil identificar atividades invulgares.

Alterações na atividade dos utilizadores

Os colegas de trabalho, gestores e parceiros podem estar numa melhor posição para saber se alguém se tornou um risco para a organização. Por exemplo, um operador interno de risco que esteja motivado para causar um incidente de segurança de dados pode ter mudanças de atitude repentinas observáveis como um sinal invulgar.

Transferência de dados anómala

Os colaboradores acedem e partilham frequentemente dados confidenciais no trabalho. No entanto, quando um utilizador partilha ou transfere subitamente um volume invulgar de dados confidenciais em comparação com as suas atividades passadas ou com os seus congéneres numa função semelhante, isso pode indicar um potencial incidente de segurança de dados.

Uma sequência de atividades de risco relacionadas

Uma única ação do utilizador, como o transferência de dados confidenciais, pode não constituir um risco potencial por si só, mas uma série de ações pode indicar potenciais riscos para a segurança dos dados. Por exemplo, suponhamos que um utilizador mudou o nome de ficheiros confidenciais para parecerem menos confidenciais, transferiu-os do armazenamento na nuvem, guardou-os num dispositivo portátil e eliminou-os do armazenamento na nuvem. Neste caso, isso poderia sugerir que o utilizador estava potencialmente a tentar transferir dados confidenciais de forma não autorizada, procurando evitar ser detetado.

Transferência de dados não autorizada por parte de colaboradores demissionários

A transferência de dados não autorizada surge frequentemente associada a pedidos de demissão e pode ser intencional ou não intencional. Um incidente não intencional poderá assemelhar-se a uma cópia inadvertida de dados confidenciais por parte de um colaborador demissionário, para manter um registo das suas realizações no cargo, ao passo que um exemplo de incidente malicioso poderá ser a transferência consciente de dados confidenciais para ganho pessoal ou para obter ajuda no seu próximo cargo. Quando os eventos de demissão coincidem com outras atividades invulgares, isso pode indicar um incidente de segurança de dados.

Acesso anormal ao sistema

Os potenciais risco interno podem começar com o acesso dos utilizadores a recursos de que normalmente não necessitam para o seu trabalho. Por exemplo, utilizadores que normalmente só acedem a sistemas relacionados com marketing começam subitamente a aceder a sistemas financeiros várias vezes por dia.

Intimidação e assédio

Um dos primeiros sinais de risco interno pode ser o facto de um utilizador expressar uma comunicação ameaçadora, assediante ou discriminatória. Tal prejudica não só a cultura de uma empresa, como também pode conduzir a outros potenciais incidentes.

Escalamento de privilégios

Normalmente, as organizações protegem e gerem recursos valiosos atribuindo acesso privilegiado e funções a pessoal limitado. Se um colaborador tentar aumentar os seus privilégios sem uma justificação comercial clara, tal poderá ser um sinal de um potencial risco interno.

Exemplos de ameaça interna

Incidentes de ameaça interna, como roubo de dados, espionagem ou sabotagem, ocorreram em organizações de qualquer dimensão ao longo dos anos. Seguem-se alguns exemplos:

  • Roubar segredos comerciais e vendê-los a outra empresa.
  • Invadir a infraestrutura de cloud de uma empresa e eliminar milhares de contas de clientes.
  • Utilização de segredos comerciais para criar uma nova empresa.

Importância de uma gestão holística dos riscos internos

Um programa holístico de gestão de risco interno que priorize as relações entre trabalhadores e empregadores e integre controlos de privacidade pode reduzir o número de potenciais incidentes de segurança internos e conduzir a uma deteção mais rápida. Um estudo recente realizado pela Microsoft concluiu que as empresas com um programa holístico de gestão do risco de acesso interno tinham 33% mais probabilidades de detetar rapidamente o risco de acesso interno e 16% mais probabilidades de o remediar rapidamente do que as empresas com uma abordagem mais fragmentada.1

Como se proteger contra as ameaças internas

As organizações podem abordar os riscos internos de uma forma holística, centrando-se nos processos, pessoas, ferramentas e formação. Utilize as seguintes práticas recomendadas para desenvolver um programa de gestão de risco interno que crie confiança junto dos colaboradores e ajude a reforçar a sua segurança:

Priorizar a confiança e a privacidade dos colaboradores

A criação de confiança entre os colaboradores começa por priorizar a sua privacidade. Para promover uma sensação de conforto com o seu programa de gestão de risco interno, considere a implementação de um processo de aprovação a vários níveis para iniciar investigações internas. Além disso, é importante auditar as atividades das pessoas que conduzem as investigações para garantir que não ultrapassam os seus limites. A implementação de controlos de acesso baseados em funções para limitar quem, dentro da equipa de segurança, pode aceder aos dados da investigação também pode ajudar a manter a privacidade. A anonimização dos nomes de utilizador durante as investigações pode proteger ainda mais a privacidade dos colaboradores. Por fim, considere a possibilidade de eliminar as marcas de utilizador após um determinado período de tempo se uma investigação não avançar.

Utilizar fatores de dissuasão positivos

Embora muitos programas de risco interno se baseiem em dissuasores negativos, como políticas e ferramentas que restringem as atividades de risco dos colaboradores, é crucial equilibrar estas medidas com uma abordagem preventiva. Os fatores de dissuasão positivos, como eventos de moralização dos colaboradores, inclusão completa, formação e educação contínuas sobre segurança de dados, feedback dos colaboradores sobre os gestores e programas de equilíbrio entre a vida profissional e pessoal, podem ajudar a reduzir a probabilidade de eventos relacionados com operadores internos. Ao interagir com os colaboradores de forma produtiva e proativa, os dissuasores positivos abordam a origem de risco e promovem uma cultura de segurança na organização.

Obter o consenso de toda a empresa

As equipas de TI e de segurança podem ser as principais responsáveis pela gestão do risco interno, mas é essencial envolver toda a empresa neste esforço. Departamentos como os recursos humanos, a conformidade e o departamento jurídico desempenham um papel fundamental na definição de políticas, na comunicação com as partes interessadas e na tomada de decisões durante uma investigação. Para desenvolver um programa de gestão de risco interno mais abrangente e eficaz, as organizações devem procurar o consenso e o envolvimento de todas as áreas da empresa.

Utilizar soluções de segurança integradas e abrangentes

Proteger eficazmente a sua organização contra os riscos internos exige mais do que apenas implementar as melhores ferramentas de segurança; exige soluções integradas que proporcionem visibilidade e proteção a nível de toda a empresa. Quando as soluções de segurança de dados, gestão de identidade e acesso, deteção e resposta alargada (XDR) e gestão de eventos e informações de segurança (SIEM) são integradas, as equipas de segurança podem detetar e prevenir eficazmente incidentes relacionados com operadores internos.

Implementar uma formação eficaz

Os colaboradores desempenham um papel crucial na prevenção de incidentes de segurança, tornando-os a primeira linha de defesa. Para proteger os recursos da sua empresa, é necessário obter o consenso dos colaboradores, o que, por sua vez, melhora a segurança geral da organização. Um dos métodos mais eficazes para criar esta adesão é através da formação dos colaboradores. Ao educar os colaboradores, poderá reduzir o número de eventos inadvertidos relacionados com operadores internos. É importante explicar como os eventos internos podem afetar tanto a empresa como os seus colaboradores. Além disso, é crucial comunicar as políticas de proteção de dados e ensinar aos colaboradores como evitar possíveis fugas de dados.

Utilizar a aprendizagem automática e a IA

Os riscos de segurança no local de trabalho moderno de hoje são dinâmicos, com vários fatores em constante mudança que podem dificultar a sua deteção e resposta. No entanto, ao utilizarem a aprendizagem automática e a IA, as organizações podem detetar e mitigar os riscos internos à velocidade da máquina, permitindo uma segurança adaptável e centrada nas pessoas. Esta tecnologia avançada ajuda as organizações a compreenderem como os utilizadores interagem com os dados, a calcular e atribuir níveis de risco e a adaptar automaticamente os controlos de segurança adequados. Com estas ferramentas, as organizações podem simplificar o processo de identificação de potenciais riscos e a priorizar os seus recursos limitados na abordagem de atividades internas de alto risco. Isto poupa tempo valioso às equipas de segurança, ao mesmo tempo que garante uma melhor segurança dos dados.

Soluções de gestão de risco interno

A defesa contra ameaça interna pode ser um desafio, uma vez que é natural confiar naqueles que trabalham para e com a organização. Identificar rapidamente os riscos internos mais críticos e priorizar os recursos para os investigar e mitigar é crucial para reduzir o impacto de potenciais incidentes e violações. Felizmente, muitas ferramentas de segurança cibernética que previnem ameaças externas também podem identificar ameaças internas.

O Microsoft Purview oferece proteção de informações, gestão de risco interno e prevenção de perda de dados (DLP) capacidades para o ajudar a obter visibilidade dos dados, detetar risco interno críticos que possam conduzir a potenciais incidentes de segurança de dados e prevenir eficazmente a perda de dados.

O Microsoft Entra ID ajuda a gerir quem pode aceder ao quê e pode emitir alertas se a atividade de acesso e início de sessão de alguém for considerada de risco.

O Microsoft Defender 365 é uma solução XDR que ajuda a proteger clouds, aplicações, pontos finais e e-mail de atividades não autorizadas. Organizações governamentais como a Cybersecurity and Infrastructure Security Agency também fornecem orientações para o desenvolvimento de um programa de gestão de ameaça interna.

Ao adotar estas ferramentas e utilizar orientações especializadas, as organizações podem gerir melhor os riscos internos e proteger os seus recursos críticos.

Saiba mais sobre o Microsoft Security

Microsoft Purview

Obtenha soluções de governação, proteção e conformidade para os dados da sua organização.

Saiba mais

Gestão do Risco Interno do Microsoft Purview

Detete e mitigue riscos internos com modelos de machine learning prontos a utilizar.

Saiba mais

Proteção Adaptável no Microsoft Purview

Proteja os dados com uma abordagem inteligente e centrada nas pessoas.

Saiba mais

Criar um programa holístico de gestão de risco interno

Saiba mais sobre cinco elementos que ajudam as empresas a ter uma segurança de dados mais forte e a proteger a confiança depositada pelos utilizadores.

Leia o relatório

Prevenção de Perda de Dados do Microsoft Purview

Impeça a partilha, transferência ou utilização não autorizada de dados entre aplicações, dispositivos e ambientes locais.

Saiba mais

Conformidade de Comunicações do Microsoft Purview

Cumpra as obrigações de conformidade regulamentar e resolva possíveis violações de conduta comercial.

Saiba mais

Proteção contra ameaças da Microsoft

Proteja dispositivos, aplicações, e-mails, identidades, dados e cargas de trabalho na cloud com proteção unificada contra ameaças.

Saiba mais

Microsoft Entra ID

Proteja o acesso a recursos e dados através de autenticação forte e políticas de acesso adaptáveis baseadas em risco.

Saiba mais

Perguntas mais frequentes

  • Existem quatro tipos de ameaça interna. Uma ameaça interna acidental é o risco de alguém que trabalha para ou com uma empresa cometer um erro que possa comprometer a organização ou os respetivos dados ou pessoas. Um risco interno negligente é quando alguém infringe conscientemente uma política de segurança, mas não tem a intenção de causar danos. Uma ameaça maliciosa ocorre quando alguém rouba intencionalmente dados, sabota a organização ou se comporta de forma violenta. Outra forma de ameaça maliciosa é o conluio, que ocorre quando um operador interno colabora com alguém de fora da organização para causar danos.

  • A gestão de risco interno é importante porque estes tipos de incidentes podem causar muitos danos a uma organização e aos seus colaboradores. Com as políticas e soluções corretas em vigor, as organizações podem antecipar-se a potenciais ameaças internas e proteger os seus valiosos recursos.

  • Existem vários sinais possíveis de um risco interno, incluindo mudanças repentinas nas atividades dos utilizadores, uma sequência ligada de atividades de risco, tentativa de aceder a recursos não necessários para o seu trabalho, tentativa de aumentar privilégios, transferência anómala de dados, transferência de dados não autorizada por parte de colaboradores demissionários e intimidação ou assédio.

  • A prevenção de eventos internos pode ser complicada porque as atividades de risco que podem levar a incidentes de segurança são realizadas por pessoas de confiança que têm relações na organização e acesso autorizado. Um programa holístico de gestão de risco interno que priorize as relações entre trabalhadores e empregadores e integre controlos de privacidade pode reduzir o número de incidentes de segurança internos e conduzir a uma deteção mais rápida. Para além dos controlos de privacidade e da preocupação com a moral dos trabalhadores, a formação regular, a adesão de toda a empresa e as ferramentas de segurança integradas podem ajudar a reduzir o risco.

  • Uma ameaça interna maliciosa é a possibilidade de uma pessoa de confiança prejudicar deliberadamente a organização e as pessoas que nela trabalham. Isto distingue-se dos riscos internos não intencionais que ocorrem quando alguém compromete acidentalmente a empresa ou infringe uma regra de segurança, mas não tem qualquer intenção de prejudicar a empresa.

[1] "Como é que uma abordagem holística pode ajudar uma organização? Os benefícios de um programa holístico de gestão de risco interno", em “Building a Holistic operador interno Risk Management Program: 5 elements that help companies have stronger data protection and security while protecting user trust, Microsoft Security 2022”, p. 41.

Siga o Microsoft Security