Um estudo recente da Wing Safety descobriu que 63% das empresas podem ter ex-funcionários com acesso a dados organizacionais e que automatizar a segurança SaaS pode ajudar a mitigar os riscos de desligamento.
A demissão de funcionários normalmente é vista como uma tarefa administrativa de rotina, mas pode representar riscos substanciais à segurança, se não for tratada corretamente. A falha na remoção rápida e completa do acesso de funcionários que estão saindo apresenta sérias ameaças internas, deixando uma empresa vulnerável a vários tipos de riscos, como violações de dados, roubo de propriedade intelectual e não conformidade regulatória.
Hoje, onde os aplicativos SaaS são facilmente integrados e comumente usados por usuários dentro e fora da organização, procedimentos eficazes de desligamento não são negociáveis para evitar casos de vazamento de dados e outros problemas de segurança cibernética. Vamos explorar mais detalhadamente o gerenciamento de riscos internos e a exclusão de usuários, analisando seus riscos de segurança e discutindo as práticas recomendadas para garantir uma organização segura.
Em primeiro lugar, os riscos de segurança das demissões em massa
No primeiro semestre de 2024, continuou uma onda de despedimentos em massa, afetando mais de 80.000 funcionários do setor tecnológico. Quando as demissões acontecem de forma tão rápida e em grande escala, pode ser ainda mais difícil desligar e remover efetivamente o acesso, especialmente considerando que o funcionário médio usa 29 aplicativos SaaS diferentes.
A exclusão geralmente é um esforço de equipe envolvendo TI, RH e outros gerentes departamentais. Sem funções claras e processos consistentes, os erros podem passar despercebidos, deixando as organizações expostas ao vazamento ou comprometimento de suas informações confidenciais. Considerando o ritmo e a frequência da rotatividade de pessoal, o desligamento continuará sendo uma prioridade para as equipes de segurança à medida que gerenciam riscos e conformidade.
Tempo desperdiçado no desligamento guide
Revogar o acesso manualmente em várias plataformas e aplicativos pode ser um incômodo demorado. É por isso que automatizar a segurança SaaS se tornou essential. Quando se trata de revisões de acesso para garantir e provar que apenas usuários relevantes tenham acesso adequado a arquivos e dados, a complexidade e o tempo envolvido para fazer esse processo manualmente podem sobrecarregar as organizações. Sem sistemas simplificados ou software program de segurança SaaS automatizado, as organizações permanecem expostas a um certo grau de riscos internos, ao mesmo tempo que lutam para provar os seus esforços de conformidade.
Quatro Riscos de práticas inadequadas de desligamento
O desligamento adequado é essencial para gerenciar o ciclo de vida dos funcionários e mitigar riscos internos, seja por descuido ou más intenções. Garante que, quando os funcionários saem da empresa, eles não tenham mais acesso aos ativos da empresa. Deixar de excluir adequadamente os funcionários que estão deixando a organização pode levar a enormes riscos.
1 – Violações de dados
Se ex-funcionários ou contratados não forem imediatamente removidos dos sistemas, aplicativos e redes da empresa, eles poderão manter o acesso a dados confidenciais. Isso representa sérios riscos à confidencialidade, integridade e disponibilidade desses dados. Ex-funcionários insatisfeitos ou aqueles que inadvertidamente mantêm acesso podem expor, alterar ou excluir dados comerciais críticos, informações de clientes, registros financeiros ou segredos comerciais. Por exemplo, um antigo funcionário de uma empresa de pagamentos móveis descarregou relatórios contendo informações pessoais de utilizadores dos EUA, afetando potencialmente 8 milhões de pessoas. Tais incidentes podem levar a perdas financeiras significativas, danos à reputação e questões jurídicas para a empresa.
2 – Violações de Conformidade
Processos de desligamento fracos ou manuais também podem levar a violações de conformidade, especialmente em setores regulamentados como saúde, finanças e governo. Essas indústrias têm regras rígidas sobre privacidade de dados, segurança da informação e controle de acesso. A não remoção de privilégios de acesso e ex-funcionários das listas de usuários autorizados pode resultar no não cumprimento dessas regulamentações – resultando em grandes multas, penalidades, questões legais e danos à reputação e à credibilidade.
As empresas do setor financeiro que fazem negócios com consumidores de Nova York estão sujeitas a regulamentações rígidas em relação à segurança de dados. No caso de uma violação de dados que exponha Informações Não Públicas (NPI), essas empresas devem não apenas identificar o problema, mas também notificar o Departamento de Serviços Financeiros de Nova York (NY-DFS) dentro de 72 horas após a descoberta, conforme exigido por Requisitos de segurança cibernética do NY-DFS. Uma importante companhia de seguros de títulos nos EUA foi encontrada violando os regulamentos NY-DFS ao não implementar controles de acesso e medidas de segurança adequados, resultando em uma multa de US$ 1 milhão e em um acordo para implementar medidas corretivas para proteger os dados do consumidor.
3 – Ameaças internas
Quando os funcionários não são devidamente afastados, representam potenciais ameaças internas, sejam elas deliberadas ou acidentais. Ex-funcionários que mantêm acesso a sistemas e dados confidenciais podem tentar interromper operações, roubar informações ou comprometer processos de negócios, como exemplificado pelo caso de dois ex-funcionários da Tesla que vazaram dados de 75 mil usuários para um meio de comunicação alemão. Mesmo quando não intencional, manter o acesso após a partida pode expor inadvertidamente informações confidenciais ou criar vulnerabilidades. Detectar e lidar com ameaças internas é um desafio, ressaltando a importância de procedimentos completos de desligamento e monitoramento vigilante de comportamentos suspeitos em torno da saída de um funcionário.
4 – Roubo de Propriedade Intelectual
A pesquisa da Wing Safety revela de forma alarmante que 43% das empresas podem ter ex-funcionários que ainda podem acessar repositórios de código organizacional no GitHub ou GitLab. A má integração também pode levar à exposição do código e ao roubo de propriedade intelectual. Se os ex-funcionários não forem rapidamente removidos dos sistemas e repositórios enquanto possuem acesso a informações proprietárias, segredos comerciais, código-fonte ou pesquisas confidenciais e outros dados da empresa, eles ainda poderão acessar e usar indevidamente essa valiosa propriedade intelectual. Isso pode levar a grandes perdas financeiras, desvantagens competitivas e questões jurídicas para a empresa.
Melhores práticas de automação
Usar a automação no SaaS Safety Posture Administration (SSPM) é um método simples e eficaz para uma integração consistente e completa. A automação não apenas facilita a revogação do acesso a vários aplicativos SaaS, mas também economiza muito tempo, libera recursos e reduz os riscos de erros manuais e omissões.
A automação também ajuda a agilizar o rastreamento de permissões e o compartilhamento de dados, o que pode ser especialmente complicado, especialmente ao descobrir rapidamente todo o acesso concedido antes de um funcionário sair. Saber quais dados foram compartilhados, por quem e com quais permissões é essential para manter os dados seguros.
Um hospital de acesso crítico no Colorado pagou US$ 111.400 por uma violação da HIPAA depois que um ex-funcionário manteve acesso a um calendário de agendamento com informações de saúde protegidas de 557 pacientes, mesmo após a demissão. Se tivessem sido implementados processos automatizados para detectar e revogar o acesso do ex-funcionário imediatamente após a separação, esse acesso indevido e essa penalidade de conformidade poderiam ter sido potencialmente evitados.
A automação também alivia a pesada administração muitas vezes necessária para auditorias regulares e relatórios de conformidade. O risco de acesso persistente desconhecido, depois de alguém sair, é uma ameaça tão preocupante que as políticas exigem sistemas em funcionamento para o detectar. O monitoramento contínuo e algumas automações simples podem identificar e remover rapidamente o acesso após a desativação, para implementar as melhores práticas.
Por não terem processos de offboarding sólidos, as empresas ficam expostas a uma série de riscos que podem ter consequências graves para as suas operações, reputação e finanças. Protocolos de desligamento adequados são essenciais para mitigar esses riscos e proteger os ativos e informações críticas da empresa.
Para saber mais sobre como Wing usa automação para acelerar e facilitar o gerenciamento de riscos internos, leia mais aqui.
