0
0
Como a segurança conduz as investigações dos funcionários precisam mudar. Muitas vezes, as investigações de segurança são uma tentativa de fazer com que um funcionário admita suspeita de irregularidades. Os tempos mudaram. Em vez de investigar os funcionários da mesma forma que investigamos as ameaças de atores externos, é hora de adotar uma abordagem mais empática às investigações.
As investigações empáticas começam com um inquérito que remove o pré-julgamento e aborda a situação com uma lousa em branco. Com 78% dos eventos de exfiltração de dados causados por comportamentos não maliciosos ou não intencionais, mais vezes do que não, você se conectará com um colega de trabalho que está apenas tentando fazer seu trabalho, está cometendo erros ou fazendo atalhos para se mover mais rapidamente do que sua política permite. Portanto, tratá-los como se suas ações fossem intencionalmente maliciosas é absolutamente a abordagem errada e pode sair pela culatra.
Isso pode levar alguma prática para alguns de nós que trabalhamos em segurança por um tempo. Historicamente, passamos mais tempo perseguindo riscos externos, por isso se torna um instinto natural quando vemos um documento se movendo para, digamos, uma unidade de nuvem pessoal, para pensar que algo malicioso está acontecendo e querer confrontar o usuário. Mas isso nos servirá para construir um novo hábito de pausar antes de reagir muito rapidamente; e colocar nossas suposições em espera até que possamos obter mais dados – talvez precisemos obtê-los do usuário. Aqui descrevemos quatro etapas para desenvolver a confiança com seus usuários e partes interessadas.
Primeiro passo – Conecte-se para entender
Quando um evento acontece, como um funcionário movendo arquivos da empresa para sua conta pessoal do OneDrive, por exemplo, o primeiro contato com o funcionário pode ser tão simples quanto: “Ei, notamos que você mudou um documento intitulado “XYZ” para sua conta pessoal do OneDrive. Você queria fazer isso?” e realmente ouça a resposta deles. A resposta mais provável será surpresa, porque eles esqueceram ou não sabiam que era uma coisa ruim ou talvez precisassem fazer seu trabalho e essa foi a maneira mais rápida de fazê-lo.
Passo dois – Tranquilize para apoiar a parceria
Em qualquer um desses casos, você pode passar rapidamente para o segundo passo; se foi simplesmente um erro, avise-os que eles não estão em apuros. Isso é importante porque o funcionário provavelmente acredita que é, o que, em casos extremos, pode deixá-los se perguntando se perderá o emprego e pode levar a um instinto humano natural de se tornar defensivo e negar o comportamento. Então, é importante tranquilizá-los de que este evento pode ser revertido e que você está aqui para ajudar. Ao reduzir a ansiedade do funcionário, é mais provável que eles sejam honestos com você sobre o que estavam tentando realizar e você estará melhor posicionado para ajudar. Talvez haja uma solução existente que eles não conheciam ou acessem que possam solicitar, neste caso, outra solução de armazenamento ou compartilhamento aprovada pela empresa.
Passo três – Recuperar
Dependendo do que foi movido e para onde foi, trabalhe com o funcionário para garantir que os dados sejam removidos do aplicativo ou dispositivo não sancionado rapidamente. Isso é melhor feito por meio de uma chamada de vídeo, onde você pode pedir ao funcionário para compartilhar a tela para que você possa ajudar a garantir que seja feito corretamente. Use palavras seletivamente aqui para que este pedido não pareça parecer: “Precisamos observar que você faça isso porque não confiamos que você fará isso ou que sabe como”. Eek. Uma vez feito isso, se necessário, você pode enviar a eles um atestado de destruição de dados para assinar dizendo que eles não estão cientes dos dados que residem em qualquer lugar fora da rede confiável, de qualquer forma ou maneira. Trabalhe com sua equipe jurídica para determinar quando e como usar um atestado para o seu programa. Aqui está um modelo útil.
Passo quatro – Educar
É importante fornecer informações ao funcionário sobre a maneira CERTA de agir no futuro. Fornecer orientação no momento do erro é altamente impactante e é mais provável de ser lembrado do que, digamos, um treinamento anual. Esse tipo de “treinamento just-in-time” realmente funciona. Além disso, as pessoas estão ocupadas, então se você quiser que elas o consumam, faça uma lição rápida. Sugerimos um treinamento de 1-3 minutos sobre a situação específica.
Adotar uma abordagem empática para investigações ajudará você a construir confiança e respeito com seus usuários. Isso criará e perpetuará uma cultura de segurança positiva em sua organização, mas o melhor de tudo, levará a cada vez menos alertas de exfiltração para sua equipe.
FONTE: HELPNET SECURITY