Um estudo recente da Wing Security descobriu que 63% das empresas podem ter ex-funcionários com acesso a dados organizacionais, e que automatizar a Segurança SaaS pode ajudar a mitigar os riscos de offboarding.

O offboarding de funcionários geralmente é visto como uma tarefa administrativa de rotina, mas pode representar riscos substanciais à segurança, se não for feito corretamente. Não remover rapidamente e completamente o acesso para funcionários que estão saindo introduz sérias ameaças internas, deixando uma empresa vulnerável a vários tipos de riscos, como violações de dados, roubo de propriedade intelectual e não conformidade regulatória.

Hoje, onde as aplicações SaaS são facilmente integradas e são comumente usadas por usuários dentro e fora da organização, procedimentos eficazes de offboarding são inegociáveis para prevenir casos de vazamentos de dados e outros problemas de cibersegurança. Vamos explorar a gestão de riscos internos e o offboarding de usuários de forma mais detalhada, analisando seus riscos de segurança e discutindo as melhores práticas para garantir uma organização segura.

Primeiramente, os riscos de segurança de demissões em massa
No primeiro semestre de 2024, uma onda de demissões em massa continuou a afetar mais de 80.000 funcionários de tecnologia. Quando as demissões ocorrem rapidamente e em grande escala, pode ser ainda mais difícil fazer o offboarding e remover efetivamente o acesso, especialmente considerando que o funcionário médio usa 29 aplicativos SaaS diferentes.

O offboarding geralmente é um esforço em equipe envolvendo TI, RH e outros gestores de departamentos. Sem funções claras e processos consistentes, erros podem passar despercebidos, deixando as organizações expostas a terem suas informações sensíveis vazadas ou comprometidas. Considerando o ritmo e a frequência da rotatividade de funcionários, o offboarding continuará sendo uma prioridade para as equipes de segurança, à medida que gerenciam riscos e conformidade.

Tempo desperdiçado em offboarding manual
Revogar manualmente o acesso em várias plataformas e aplicativos pode ser uma dor de cabeça demorada. É por isso que automatizar a segurança SaaS se tornou crucial. Quando se trata de revisões de acesso para garantir e provar que apenas usuários relevantes têm acesso adequado a arquivos e dados, a complexidade e o tempo envolvido para fazer isso manualmente pode sobrecarregar as organizações. Sem sistemas simplificados ou software de segurança SaaS automatizado, as organizações permanecem expostas a um grau de riscos internos, enquanto também lutam para provar seus esforços de conformidade.

Quatro riscos de práticas de offboarding inadequadas
Um offboarding adequado é essencial para gerenciar o ciclo de vida dos funcionários e mitigar o risco interno, seja por descuido ou más intenções. Garante que, quando os funcionários saem da empresa, não tenham mais acesso aos ativos da empresa. Não offboarding corretamente funcionários que estão deixando a organização pode levar a enormes riscos.

1 – Violações de Dados
Se ex-funcionários ou contratados não forem prontamente removidos dos sistemas, aplicativos e redes da empresa, eles podem manter acesso a dados sensíveis. Isso representa sérios riscos para a confidencialidade, integridade e disponibilidade desses dados. Ex-funcionários insatisfeitos ou aqueles que retêm acesso inadvertidamente podem expor, alterar ou excluir dados comerciais críticos, informações de clientes, registros financeiros ou segredos comerciais. Por exemplo, um ex-funcionário de uma empresa de pagamentos móveis baixou relatórios contendo informações pessoais de usuários dos EUA, potencialmente afetando 8 milhões de pessoas. Tais incidentes podem levar a perdas financeiras significativas, danos à reputação e problemas legais para a empresa.

2 – Violações de Conformidade
Processos de offboarding fracos ou manuais também podem levar a violações de conformidade, especialmente em setores regulamentados como saúde, finanças e governo. Esses setores têm regras rígidas sobre privacidade de dados, segurança da informação e controle de acesso. Não remover privilégios de acesso e ex-funcionários das listas de usuários autorizados pode resultar em não atender a essas regulamentações – resultando em multas pesadas, penalidades, problemas legais e prejuízos à reputação e credibilidade.

Empresas do setor financeiro que fazem negócios com consumidores de Nova York estão sujeitas a regulamentações rigorosas relacionadas à segurança dos dados. Em caso de violação de dados que exponha Informações Não Públicas (INP), essas empresas devem não apenas identificar o problema, mas também notificar o Departamento de Serviços Financeiros de Nova York (NY-DFS) dentro de 72 horas após a descoberta, conforme exigido pelos Requisitos de Cibersegurança do NY-DFS. Uma grande empresa de seguros dos EUA foi considerada violando as regulamentações do NY-DFS ao não implementar controles de acesso adequados e medidas de segurança, resultando em uma multa de US$ 1 milhão e um acordo para implementar medidas corretivas para proteger os dados do consumidor.

3 – Ameaças Internas
Quando os funcionários não são corretamente desligados, representam potenciais ameaças internas, deliberadas ou acidentais. Ex-funcionários que mantêm acesso a sistemas e dados sensíveis podem buscar interromper operações, roubar informações ou comprometer processos comerciais, como exemplificado pelo caso de dois ex-funcionários da Tesla que vazaram dados de 75.000 usuários para um veículo de mídia alemão. Mesmo que não intencional, manter acesso após a saída pode inadvertidamente expor informações sensíveis ou criar vulnerabilidades. Detectar e lidar com ameaças internas é desafiador, destacando a importância de procedimentos de offboarding completos e vigilância na monitorização de comportamentos suspeitos em torno da saída de um funcionário.

4 – Roubo de Propriedade Intelectual
Pesquisas da Wing Security alarmantemente revelam que 43% das empresas podem ter ex-funcionários que ainda podem acessar repositórios de código organizacional no GitHub ou GitLab. Um offboarding inadequado também pode levar à exposição de código e ao roubo de propriedade intelectual. Se ex-funcionários não forem rapidamente removidos de sistemas e repositórios enquanto possuem acesso a informações proprietárias, segredos comerciais, código-fonte, pesquisas confidenciais e outros dados da empresa, eles ainda podem acessar e usar indevidamente essa valiosa propriedade intelectual. Isso pode levar a grandes perdas financeiras, desvantagens competitivas e problemas legais para a empresa.

Melhores práticas de automação
Usar a automação no Gerenciamento da Postura de Segurança SaaS (SSPM) é um método simples e eficaz para um offboarding consistente e detalhado. A automação não apenas torna mais fácil revogar o acesso em diversos aplicativos SaaS, mas também economiza muito tempo, libera recursos e reduz os riscos de erros e falhas manuais.

A automação também ajuda a simplificar o rastreamento de permissões e compartilhamento de dados, o que pode ser especialmente complicado, principalmente ao descobrir todo o acesso concedido antes que um funcionário saia, rapidamente. Saber quais dados foram compartilhados por quem e com quais permissões é crucial para manter a segurança dos dados.

Um hospital de acesso crítico no Colorado pagou US$ 111.400 por uma violação de HIPAA após um ex-funcionário reter acesso a um calendário de agendamento com informações de saúde protegidas de 557 pacientes mesmo após o término do contrato. Se processos automatizados estivessem em vigor para detectar e revogar prontamente o acesso do ex-funcionário após a separação, esse acesso impróprio e a penalidade de conformidade poderiam ter sido potencialmente evitados.

A automação também alivia a pesada administração frequentemente necessária para auditorias regulares e relatórios de conformidade. O risco de acesso desconhecido persistente após a saída de alguém é uma ameaça tão preocupante que políticas exigem sistemas para detectá-lo. Monitoramento contínuo e algumas automações simples podem identificar e remover rapidamente o acesso após o offboarding, para implementar as melhores práticas.

Ao não ter processos de offboarding fortes, as empresas se expõem a uma série de riscos que podem ter consequências sérias para suas operações, reputação e finanças. Protocolos de offboarding adequados são essenciais para mitigar esses riscos e proteger os ativos e informações críticas da empresa.