Vídeo: Curso Prático - Sistema RH - Alterdata Software (Outubro 2024)
Quando os hackers atacam, os recursos humanos (RH) são um dos primeiros lugares em que atingem. O RH é um alvo popular devido ao acesso da equipe de RH a dados comercializáveis na dark web, incluindo nomes, datas de nascimento, endereços, números de Seguro Social e formulários W2 dos funcionários. Para colocar as mãos nesse tipo de informação, os hackers usam de tudo, desde phishing, passando por executivos da empresa, solicitando documentos internos - uma forma de phishing que alguns chamam de "caça às baleias" - para explorar vulnerabilidades na folha de pagamento baseada na nuvem e nos serviços de tecnologia de RH.
Para combater, as empresas precisam seguir protocolos de computação seguros. Isso inclui treinar pessoas de RH e outros funcionários para se protegerem de golpes, adotar práticas que protegem os dados e verificar os fornecedores da tecnologia de RH baseada em nuvem. Em um futuro não muito distante, a biometria e a inteligência artificial (IA) também podem ajudar.
Os ataques cibernéticos não vão desaparecer; se alguma coisa, eles estão piorando. Empresas de todos os tamanhos são suscetíveis a ataques cibernéticos. Porém, as pequenas empresas podem estar em maior risco, porque geralmente têm menos pessoas na equipe cuja única tarefa é ficar de olho no cibercrime. As organizações maiores podem absorver os custos associados a um ataque, incluindo o pagamento de dois anos em relatórios de crédito para funcionários cujas identidades foram roubadas. Para empresas menores, as consequências do furto digital podem ser devastadoras.
Não é difícil encontrar exemplos de violações de dados de RH. Em maio, os hackers usaram engenharia social e práticas precárias de segurança nos clientes da ADP para roubar os números de seguridade social de seus funcionários e outros dados pessoais. Em 2014, os hackers exploraram as credenciais de login em um número indeterminado de clientes da folha de pagamento UltiPro da Ultimate Software e do conjunto de gerenciamento de RH para roubar dados dos funcionários e registrar declarações de impostos fraudulentas, de acordo com Krebs on Security.
Nos meses mais recentes, os departamentos de RH de várias empresas receberam os esquemas fiscais W-2 de caça às baleias. Em vários casos bem relatados, o departamento de folha de pagamento e outros funcionários forneceram informações fiscais do W-2 aos hackers depois de receberem uma carta falsa que parecia uma solicitação legítima de documentos de um executivo da empresa. Em março, a Seagate Technology informou que, inadvertidamente, compartilhou informações sobre o formulário W-2 para "vários milhares" de funcionários atuais e antigos através de um ataque desse tipo. Um mês antes, o SnapChat disse que um funcionário de seu departamento de folha de pagamento compartilhava dados da folha de pagamento de "um número" de funcionários atuais e antigos a um fraudador que se apresentava como CEO Evan Spiegel. A Weight Watchers International, a PerkinElmer Inc., a Bill Casper Golf e a Sprouts Farmers Market Inc. também foram vítimas de artifícios semelhantes, de acordo com o Wall Street Journal.
Treinar funcionários
Sensibilizar os funcionários para os perigos potenciais é a primeira linha de defesa. Treine os funcionários para reconhecer os elementos que seriam ou não incluídos nos e-mails dos executivos da empresa, como, por exemplo, como normalmente assinam seu nome. Preste atenção ao que o email está pedindo. Não há razão para um CFO solicitar dados financeiros, por exemplo, porque as chances são de que eles já os tenham.
Um pesquisador da conferência de segurança cibernética da Black Hat, em Las Vegas, nesta semana, sugeriu que as empresas digam a seus funcionários que suspeitem de todos os emails, mesmo que conheçam o remetente ou se a mensagem corresponde às suas expectativas. O mesmo pesquisador admitiu que o treinamento em phishing pode sair pela culatra se os funcionários gastarem tanto tempo verificando para garantir que as mensagens de email individuais sejam legítimas, diminuindo sua produtividade.
O treinamento de conscientização pode ser eficaz, se a empresa de treinamento em segurança cibernética KnowBe4 realizou alguma indicação. Ao longo de um ano, o KnowBe4 enviou e-mails simulados de ataques de phishing para 300.000 funcionários em 300 empresas clientes regularmente; eles fizeram isso para treiná-los sobre como identificar bandeiras vermelhas que poderiam sinalizar um problema. Antes do treinamento, 16% dos funcionários clicavam nos links dos e-mails de phishing simulados. Apenas 12 meses depois, esse número caiu para 1%, de acordo com o fundador e CEO da KnowBe4, Stu Sjouwerman.
Armazenar dados na nuvem
Outra maneira de executar um ataque final de phishing ou caça às baleias é manter as informações da empresa em forma criptografada na nuvem, em vez de documentos ou pastas em desktops ou laptops. Se os documentos estiverem na nuvem, mesmo que um funcionário atenda a uma solicitação de phishing, eles enviariam apenas um link para um arquivo que um hacker não seria capaz de acessar (porque eles não teriam as informações adicionais necessárias para abra ou descriptografe). A OneLogin, uma empresa de São Francisco que vende sistemas de gerenciamento de identidade, proibiu o uso de arquivos em seu escritório, um feito que o CEO da OneLogin, Thomas Pedersen, escreveu em um blog.
"É por razões de segurança e produtividade", disse David Meyer, cofundador da OneLogin e vice-presidente de desenvolvimento de produtos. "Se o laptop de um funcionário é roubado, isso não importa, porque não há nada nele".
Meyer aconselha as empresas a examinar as plataformas tecnológicas de RH que estão considerando usar para entender quais protocolos de segurança os fornecedores oferecem. A ADP não quis comentar sobre invasões recentes que atingiram seus clientes. No entanto, um porta-voz da ADP disse que a empresa fornece educação, treinamento de conscientização e informações a clientes e consumidores sobre as melhores práticas para evitar problemas comuns de segurança cibernética, como phishing e malware. Uma equipe de monitoramento de crimes financeiros da ADP e grupos de suporte ao cliente notificam os clientes quando a empresa detectar fraude ou tentativa de acesso fraudulento, segundo o porta-voz. A Ultimate Software também adotou precauções semelhantes após ataques a usuários do UltiPro em 2014, incluindo a instituição de autenticação multifatorial para seus clientes, de acordo com Krebs on Security.
Dependendo da localização da sua empresa, você pode ter uma obrigação legal de denunciar invasões digitais às autoridades competentes. Na Califórnia, por exemplo, as empresas têm a obrigação de relatar quando mais de 500 nomes de funcionários foram roubados. É uma boa ideia consultar um advogado para descobrir quais são suas funções, de acordo com Sjouwerman.
"Existe um conceito legal que exige que você tome medidas razoáveis para proteger seu meio ambiente e, se não o fizer, é essencialmente responsável", disse ele.
Use o software de gerenciamento de identidades
As empresas podem proteger os sistemas de RH usando o software de gerenciamento de identidades para controlar logins e senhas. Pense nos sistemas de gerenciamento de identidades como gerenciadores de senhas para a empresa. Em vez de confiar na equipe e funcionários de RH para lembrar - e proteger - nomes de usuário e senhas de cada plataforma que eles usam para folha de pagamento, benefícios, recrutamento, agendamento etc., eles podem usar um único logon para acessar tudo. Colocar tudo sob um login pode facilitar para os funcionários que esquecem as senhas dos sistemas de RH que fazem logon apenas algumas vezes por ano (tornando-os mais inclinados a anotá-las em algum lugar ou armazená-las on-line onde possam ser roubadas).
As empresas podem usar um sistema de gerenciamento de identificações para configurar a identificação de dois fatores para os administradores de sistemas de RH ou usar a vedação geográfica para restringir logins, para que os administradores possam entrar apenas em um determinado local, como o escritório.
"Todos esses níveis de tolerância a riscos de segurança para pessoas diferentes e funções diferentes não são recursos nos sistemas de RH", disse Meyer, da OneLogin.
Os fornecedores de tecnologia de RH e as empresas de segurança cibernética estão trabalhando em outras técnicas para prevenir ataques cibernéticos. Eventualmente, mais funcionários farão login no RH e em outros sistemas de trabalho usando biometria, como impressões digitais ou retina, que são mais difíceis para os hackers invadirem. No futuro, as plataformas de segurança cibernética podem incluir aprendizado de máquina que permite ao software treinar-se para detectar software malicioso e outras atividades suspeitas em computadores ou redes, de acordo com uma apresentação na conferência da Black Hat.
Até que essas opções estejam mais amplamente disponíveis, os departamentos de RH precisarão confiar em sua própria consciência, treinando funcionários, medidas de segurança disponíveis e os fornecedores de tecnologia de RH com os quais trabalham para evitar problemas.
