Image default
Security

Quando o Chefe é seu maior risco de segurança

Ninguém possui informações mais sensíveis em uma organização do que a alta gerência. Então, por que as empresas focam tanto na contratação, mas deixam a desejar na saída do funcionário?

No início do ano passado, a Chesapeake Energy entrou com uma ação alegando que seu ex-CEO (Diretor Executivo ou Presidente) roubou dados confidenciais, incluindo mapas de potenciais locais de perfuração de petróleo e gás, e usou as informações para criar uma empresa para competir no mesmo mercado.

A Lyft, empresa de Ride Sharing (tipo de serviço prestado pelo Uber), apresentou uma queixa no Tribunal Superior de Justiça do Estado da Califórnia, no final de 2014, onde acusou seu antigo COO (Diretor de Operações ou Executivo Chefe de Operações) de roubar planos de produtos confidenciais e informações financeiras enquanto saía da empresa para ir na rival Uber.

SECURITY
Fonte: core4.staticworld.ne

Enquanto essas acusações se desenrolam, é um bom momento para darmos nos funcionários de cargos nível-C que saem das empresas, e na necessidade de proteger as empresas que esses funcionários estão deixando. Sabemos que o roubo de propriedade intelectual ocorre a um ritmo alarmante quando os funcionários deixam as empresas. Os recentes acontecimentos ressaltam que esse tipo de roubo pode ocorrer nos níveis mais altos, onde o acesso às informações mais confidenciais e sensíveis é feito sem restrição.

Infelizmente, muitas empresas fazem uma seleção rigorosa quando no momento da entrada de um funcionários, mas deixam a desejar quando o mesmo sai da empresa.

Pense nisso, organizações tomam o devido cuidado ao checar os funcionários de nível-C a fim de garantir uma boa contratação para uma posição de tal responsabilidade. Elas os contratam através de um rigoroso processo de entrevista, incluindo extensas verificações de antecedentes. O conselho administrativo exige até mesmo a investigação do candidato, envolvendo muitas vezes detetives particulares especializados neste tipo de verificação.

Mas essas organizações possuem o mesmo esforço quando executivos seniores deixam a empresa? Existem processos em vigor para proteger informações confidenciais da organização? Nem sempre.

As empresas devem possuir uma política para mitigar o risco quando os empregados deixam a empresa. Pelo menos duas ações são fundamentais:

  1. Reveja as atividades online do empregado durante os 30 dias que antecedem a sua demissão, ou durante o período em que um empregado acredita que seu contrato está para ser encerrado;
  2. Revisão dos acordos de confidencialidade e propriedade intelectual com o empregado antes de sua saída, além de requerer uma validação de que todas as informações confidenciais que estejam na posse do funcionário foram devolvidas ou destruídas.

Estas práticas são ainda mais críticas para os executivos. Afinal de contas, ninguém na empresa possui informações mais sensíveis do que a gerência sênior.

Quando da iminência da saída de um executivo, o CEO deve assumir a liderança, trabalhando com o pessoal sênior de segurança da informação da empresa e com uma equipe de advogados para examinar as atividades recentes do executivo a ser demitido.

Ambas as partes devem rever os acordos que foram assinados no início do contrato do executivo. O executivo durante a sua demissão precisa ser lembrado de suas obrigações e de ser certificado que não está de posse de informações confidenciais, e não menos importante, proteger a confidencialidade das informações após o executivo seguir o seu rumo.

Se um CEO está deixando a empresa, o conselho deve agir. Um diretor deve ser designado para trabalhar com o pessoal sênior de SI (segurança da informação), além de uma equipe jurídica para realizar as avaliações necessárias de atividades e acordos. O diretor designado pode ter poderes para selecionar outro executivo sênior para trabalhar em seu lugar.

A ermpresa corre o risco de um dano significativo durante saída de funcionários, pois eles podem “levar” algum trabalho relacionado a um produto ou informações confidenciais com eles. É um risco muito grande para ser ignorado.

E com relação a alta administração, o potencial do dano é maior ainda para se confiar apenas na confiança.

Fonte: Dark Reading

Fonte imagem: Hub Internacional

Posts similares

KRACK: O WPA2 foi quebrado. E agora?

O Analista

Primeira companhia de água e energia elétrica sofre ataque de ransomware

O Analista

Pentest em rede, saiba mais sobre as principais etapas (e como documentar)

O Analista