UNIVERSIDADE ESTÁCIO DE SÁ

PÓS GRADUAÇÃO EM SEGURANÇA DA

INFORMAÇÃO

Resenha Crítica do Caso Harvard

Rodrigo Pereira de Sousa

Trabalho da disciplina de Computação Forense

Tutor: Prof. Milay Adria Ferreira Francisco

Rio de Janeiro/RJ
2021

1
 O PERIGO VEM DE DENTRO: A MAIOR AMEAÇA CIBERNÉTICA PODE SER
UM FUNCIONÁRIO OU FORNECEDOR.

Referência: UPTON, David; CREESE, Sadie. O perigo vem de dentro; Harvard

Business School, setembro de 2014. Acesso em: 27/04/2021.

Umas das maiores ameaças à segurança cibernética de sua empresa pode estar dentro
dela ou fornecendo serviços terceirizados, é o que aprendemos lendo o artigo “O perigo vem
de dentro” publicado em setembro de 2014 na Harvard Business Review.
Em 2013, a empresa Target sofreu um ataque onde criminosos roubaram os números
de cartões de pagamentos de aproximadamente 40 milhões de clientes e dados pessoais de
cerca de 70 milhões. Esse ataque, apesar de ter sido externo, só foi possível graças a utilização
das credenciais de um fornecedor de refrigeração da empresa. Este é um exemplo de ataque
que vem crescendo muito nos últimos anos, os hackers utilizam de meios em que se
aproveitam da falta de instrução de funcionários em relação a segurança cibernética para
conseguir informações sensíveis e assim realizar um ataque, geralmente utilizando credenciais
de funcionários, enviando e-mails com malwares, coagindo funcionários a conectar
dispositivos infectados nos computadores da empresa, etc. Um estudo feito pela KPMG
descobriu que esses tipos de ataques cresceram de 4% em 2007 para 20% em 2010. Para
conter os ataques de hackers que se aproveitam de funcionários com pouco conhecimento de
segurança cibernética, muitas empresas tentam limitar o acesso dos funcionários a sites que
não estejam diretamente relacionados com o trabalho, como sites de entretenimentos, política
e relacionamentos. Um método mais eficaz para controlar e evitar ataques com origem interna
é deixar os funcionários irem onde querem na internet, desde que a empresa tenha
computadores com softwares de segurança ativos, conseguindo monitorar as atividades dos
funcionários na internet, sempre realizando um monitoramento dentro da lei. Desta forma, a
instituição consegue formar os perfis dos funcionários e poderá julgar a necessidade de
instrução dos mesmos ou se a permanência poderá ser um risco para a segurança.

2
 Infelizmente ainda existem muitas empresas e organizações que não entendem a
magnitude e a seriedade do problema que são os ataques internos, e por isso negligenciam os
meios de prevenção e combate aos ataques envolvendo funcionários. "A melhor maneira de
pegar uma empresa despreparada é espalhar dispositivos USB infectados com a logomarca da
empresa no estacionamento", diz Michael Goldsmith, diretor associado do Centro de
Segurança Cibernética da Oxford, referindo-se ao ataque de 2012 no DSM, uma empresa
química holandesa. Contudo, por mais que as empresas tenham uma boa política de segurança
cibernética interna, ainda precisam ter muita atenção com as prestadoras de serviços. Um
exemplo de ataque através de uma empresa terceirizada aconteceu em 2005, onde quatro
titulares de conta no Citybank em Nova York sofreram um prejuízo de quase $350.000, onde
os culpados foram funcionários de uma empresa de softwares e serviços em que a Citybank
terceirizou serviços.
A utilização de dispositivos pessoais em ambiente de trabalho tem ficado bastante
comum com a evolução exponencial da tecnologia. Responder e-mails de trabalho em
dispositivos móveis, levar uma planilha em um pen drive para terminar em casa, e outras
situações inevitavelmente expõem a segurança das empresas e suas informações. Em um
relatório recente da Alcatel-Lucent, aproximadamente 11,6 bilhões de dispositivos móveis no
mundo são infectados a qualquer momento, e infecções de malware móvel tiveram um
aumento de 20% em 2013.

Com o crescimento exponencial das redes sociais a engenharia social é o caminho

mais seguido por hackers na hora de conseguir informações sigilosas de empresas e
organizações, os métodos utilizados pelos hackers são diversos, podem ser enganando
funcionários fingindo serem pretendentes em sites de relacionamento, às vezes conseguindo
fotos ou informações sigilosas dos próprios funcionários e assim chantageando-os para
conseguirem dados da empresa em troca.
Algumas orientações para os donos de empresas e demais chefes que não possuem
conhecimentos específicos de TI e segurança cibernética são:
 Fazer cobranças para o seu departamento de TI, ou seja, demandar um monitoramento
rigoroso de todo o tráfego para fora das redes da empresa via internet ou dispositivos
móveis e, caso encontrar algo fora do comum, reportar o mais rápido possível para que
sejam tomadas as medidas de segurança;

3
  Exigir atualizações frequentes das credenciais de todos os funcionários para que
tenham acesso apenas aos softwares e computadores absolutamente necessários para
realizar o trabalho;
 Executar periodicamente avaliações de ameaças frequentes e orientar as lideranças da
empresa para minimizar os riscos;
 Contratar empresas de segurança cibernética terceirizadas para testar a segurança dos
sistemas internos de TI e o nível de instrução dos funcionários não relacionados com
pouco conhecimento de TI, etc.
Contudo, ao optar por terceirizar a segurança cibernética da sua empresa é
extremamente importante saber qual o nível de interesse e trabalho da empresa candidata,
deixar claro o nível de cobranças e a realização de auditorias para garantir que os serviços
contratados sejam de fato entregues, e por último e não menos importante, perguntar como
eles gerenciam e controlam os incidentes de segurança externa e interna.
Ao final de tudo, como orientação para os próprios funcionários da empresa, os líderes
devem deixar nítido que a colaboração, comportamento e comprometimento com a política de
segurança cibernética da empresa deverá ser sempre seguido, pois protegendo a empresa
também estarão protegendo seus trabalhos e carreira.