5 maneiras de perder uma ação de um insider malicioso

Quando o cenário de um insider malicioso faz dano a uma organização, seja por roubo ou sabotagem, o recurso legal deve estar em ordem. Não se preparar com antecedência para colaborar com recursos humanos e ações legais, o processo civil ou criminal contra um mau funcionário antigo pode ser condenado desde o início.

De acordo com especialistas de segurança e legalidade, deixar de cobrir suas bases legais antes de apresentar seu caso para o juiz e o júri pode efetivamente dar ao réu um cartão proverbial “fora da prisão” e deixar a sua organização sem muita influência.

Aqui estão algumas das maneiras mais comuns que as empresas tendem a fundir seus casos contra insiders maliciosos.

1. Deixar de fazer com que os empregados assinem um contrato ou política de acesso

De acordo com Damon Petraglia da Chartstone, um dos casos civis mais comuns que ele ajuda a investigar é quando os funcionários roubam informações de seus empregadores ou fazem algo inadequado com a tecnologia. A fim de fazer um processo contra tal empregado, é importante não só provar que ele roubou ou fez algo errado, mas que tinha a intenção.

“Se você quiser demitir ou processar alguém é preciso provar que essa pessoa tinha a intenção de fazer algo malicioso”, diz Petraglia, diretor de serviços de segurança da informação da Chartstone. “Muitas vezes, quando estou olhando para algo forense, uma empresa não terá qualquer apólice em vigor que diz que você não pode fazer algo. Isso torna muito difícil processar ou demitir alguém.”

É aí que políticas de uso aceitável e acordos de confiabilidade são fundamentais. Embora a assinatura desses documentos possa parecer uma mera formalidade, sua existência pode fazer ou quebrar um caso quando as coisas dão errado.

“Se eu fosse aconselhar alguém que tem informações confidenciais, dados ou tecnologia, eu diria que a coisa mais importante a fazer é ter acordos com seus funcionários que deixam claro que há informações confidenciais que limitam a capacidade dos funcionários para usar essas informações”, diz Jim Davis, parceiro do escritório de advocacia Klemchuck Kubasta, em Dallas.

2. Não tratar IP como um segredo

Obter assinatura de políticas de uso aceitável e acordos de confiabilidade incorporados ao empregado na forma de abordagem não só ajuda a provar a intenção, mas é também um dos métodos que várias organizações precisam estabelecer para provar que realmente tratam os seus segredos comerciais como segredos.

Segundo Davis, os juízes tendem a não ser muito simpáticos em casos contra um insider para roubar segredos comerciais quando a informação em questão foi deixada sem proteção no sistemas da empresa.

“Se você não tomar as medidas razoáveis para protegê-lo e limitar o acesso, um tribunal muito provavelmente pode achar que você não tratava os segredos como tais”, diz ele. “E se você não tratá-lo como um segredo, muito provável o tribunal dirá: nós não vamos tratá-lo como um segredo, tampouco, e não vamos dar-lhe qualquer remédio. Se você não se importa o suficiente sobre isso para protegê-lo, então nós não vamos ajudá-lo a protegê-lo após o fato.”

Davis diz que a coisa mais importante é instituto de tecnologia e procedimentos que limitam o acesso a dados sensíveis em uma base. O advogado John Hornick concorda, enfatizando que esses procedimentos não só oferecem proteção legal, mas são também um acéfalo para limitar o risco de incidentes privilegiados em primeiro lugar.

3. Limitar a retenção de Login ou não monitorar o tempo todo

Quando ele trabalhava na Scotland Yard, Steve Santorelli, diretor de alcance global na Internet da Team Cymru, diz que uma das regras que ele e seus colegas policiais vivenciaram é: “Se não está escrito, então nunca aconteceu. ”

O monitoramento de registros (logins) é o melhor caminho para uma organização provar que alguma coisa aconteceu. Mas eles precisam existir para fazer a diferença.

De acordo com Petraglia, o primeiro sopro de impropriedade por um membro, ou presciência de eventos como demissões, deve empurrá-lo para reforçar o controlo dos indivíduos afetados se a sua atividade de computador não estiver sob um monte de escrutínio.

Mais importante, porém, as organizações precisam estar cientes de que suas políticas de retenção de log não limitam o quão bem a organização pode voltar para as provas forenses.

“Certifique-se de que você não está substituindo os dados”, diz Petraglia. “Isso acontece o tempo todo. Há uma política de retenção de 30 dias, eles não descobrem até sessenta dias de que algo ruim aconteceu e agora eles não têm mais a evidência.”

4. Ver além da cena do crime

Você não necessariamente tem que ir a níveis ridiculamente complicados para manter a evidência forense, diz Santorelli, mas você precisa tomar precauções ou o seu caso vai ser destruído antes mesmo de começar.

“As pessoas vêm até nós, policiais, e no momento em que tomam a decisão de vir para a aplicação da lei, a cena do crime já foi destruída”, ele diz.

De acordo com Santorelli, a regra número um de ouro nunca é trabalhar na mídia original como prova – sempre faça uma cópia de bits para trabalhar e armazenar a mídia original como prova.

” Se você assumir que tudo vai eventualmente acabar em tribunal, então você não pode estar errado.”

5. Esperar para responder legalmente

As organizações que levam a sua papelada em tempo legal contra um insider malicioso tendem a achar que é difícil promover a simpatia dos juízes, uma vez que seus arquivamentos cruzam suas mesas, diz Davis. Como ele coloca, quanto mais você esperar, menor a probabilidade de o tribunal ajudá-lo.

“O tribunal vai dizer: ‘Se esta era uma emergência desse tipo, por que esperar duas semanas para vir aqui e abrir um processo?’”, Diz ele. “Especialmente se for de dados sensíveis. Se você descobrir que os dados foram tomados, é preciso reunir as provas imediatamente, contratar um advogado e começar um processo em arquivo o mais rápido possível e tentar obter uma liminar de um juiz.”

Quanto mais rápido você agir, mais provável você vai obter o alívio que você precisa, diz Davis.

Fonte: Information Week

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *