Pesquisa realizada pela Varonis em parceria com a RSA e o Instituto Ponemon, dos Estados Unidos, revela que ao menos 71% dos usuários internos têm acesso a dados aos quais não deveriam estar autorizados, incluindo, muitas vezes, informações confidenciais da empresa, como dados financeiros e informações de negócios, comprometendo a estratégia da organização. A pesquisa foi conduzida durante as edições da Infosecurity na Europa e nos Estados Unidos.
Isso significa que o conjunto de dados não estruturados de uma empresa –apresentações, planilhas, e-mails, documentos, entre outros – ficam completamente expostos e acessíves para a maior parte dos funcionários.
"A empresa fica suscetível à violação de dados, tanto por um usuário interno mal-intencionado, como pela captura de logins e senhas por hackers que darão acesso a grandes níveis de informação interna", diz Carlos Rodrigues, country manager da Varonis no Brasil.
A pesquisa também mostra que ao menos 50% dos profissionais de TI reconhece o problema e que 17% deles diz acreditar que o número de usuários com acesso a dados confidenciais é superior a 71%.
Dados perdidos
Ainda segundo a pesquisa, ao menos 59% dos gestores de Segurança da Informação abordados disseram saber que cerca de 75% dos usuários internos da organização não têm ideia do destino de arquivos, dados e emails que se perdem na nuvem interna. Os números mostram que ainda hoje as empresas não conseguem manter seus dados internos seguros, aumentando as chances de violação dos dados.
Quando ocorre uma violação –seja ela a partir de um ataque externo, seja porque um funcionário está roubando dados da organização- as empresas também não conseguem determinar o tamanho do dano, nem pra onde foram os dados. Muitas vezes a descoberta do problema leva semanas ou meses.
"É assustador pensar que tantas pessoas consideram normal os funcionários terem acesso a dados que não deveriam, e como não há qualquer controle sobre quem acessa o quê, e onde estão as informações", lembra Rodrigues. "A maior parte das empresas não têm um processo sistemático para analisar a atividade dos usuários quando se trata de dados não estruturados, e isso facilita o roubo e a perda dos dados. Sem esses controles, a empresa praticamente está vulnerável a todo o tipo de problema. As organizações precisam ao menos analisar a atividade do usuário para identificar rapidamente qualquer comportamento fora do padrão", finaliza.