O Mimecast Incydr ajuda os responsáveis de segurança a detetar proativamente a exfiltração de dados, conter automaticamente incidentes e reduzir os custos associados ao risco interno.
Oito em cada dez responsáveis pela segurança admitem que os colaboradores levam propriedade intelectual valiosa quando deixam a empresa. Segundo o Ponemon Institute, o custo médio anual do risco interno ascende atualmente a 19,5 milhões de dólares. Em média, são necessários 81 dias para detetar e conter um incidente provocado por um utilizador interno.
E, na maioria das organizações, nada muda na infraestrutura de segurança no momento em que um colaborador apresenta a sua demissão. A maioria das investigações relacionadas com colaboradores que abandonam a empresa é reativa e, quando não existe o habitual período de aviso prévio de duas semanas, muitas soluções de gestão de risco interno simplesmente não dispõem de qualquer histórico ou visibilidade.
O período que antecede a saída de um colaborador é o momento de maior risco ao longo do seu ciclo de vida na organização e, simultaneamente, o menos monitorizado. Código-fonte, listas de clientes e oportunidades comerciais podem ser transferidos para contas pessoais de cloud ou e-mail, dispositivos USB ou aplicações sociais com enorme facilidade. Na maioria dos casos, a investigação começa apenas depois de os dados já terem saído da organização.
Atualmente, a maioria dos CISO é confrontada pelo conselho de administração, pelo departamento jurídico e pelos recursos humanos com três questões fundamentais:
- Consegue ter visibilidade sobre todo o período que antecede a saída de um colaborador?
- Consegue automatizar controlos quando os Recursos Humanos identificam uma situação de risco?
- Consegue produzir evidência suficientemente rápida para permitir uma resposta eficaz?
Com o Mimecast Incydr, este objetivo pode ser alcançado em apenas 30 dias.
Consegue acompanhar todo o período que antecede a saída de um colaborador?
O Incydr monitoriza automaticamente a movimentação de dados para destinos não confiáveis desde o primeiro dia. Isto é especialmente importante em situações de saídas inesperadas ou processos de despedimento coletivo (Reduction in Force – RIF), onde as equipas de segurança precisam de compreender rapidamente se informação sensível saiu com o colaborador.
A maioria das organizações não consegue responder à pergunta: “Que informação transferiu a colaboradora Jane Doe nas últimas semanas em que esteve na empresa?” Isto acontece porque a monitorização apenas é ativada após a apresentação da demissão.
As soluções tradicionais de Data Loss Prevention (DLP) baseadas em políticas e classificação de conteúdos exigem que o investigador saiba previamente o que procurar, crie políticas específicas, as implemente e aguarde pelos resultados. Todo o histórico anterior à demissão fica simplesmente fora do alcance.
O Incydr altera completamente esta abordagem. A monitorização contínua da movimentação de dados para destinos não confiáveis em endpoints, aplicações cloud, navegadores e dispositivos amovíveis é efetuada por defeito, sem necessidade de criar políticas ou classificar conteúdos.
Quando um colaborador se demite sem aviso prévio, é despedido com efeito imediato ou integra um processo de redução de efetivos, o histórico de atividade já se encontra disponível.
A cobertura inclui canais frequentemente ignorados pelas soluções DLP tradicionais, como:
- Dispositivos USB
- AirDrop
- Contas pessoais de Gmail e Google Drive
- Uploads efetuados através do navegador para aplicações sociais
- Cópias e carregamentos de informação para ferramentas de IA não autorizadas (Shadow AI)
Além disso, indicadores específicos de risco associados à saída de colaboradores identificam padrões como downloads em massa ou reencaminhamento de informação para contas pessoais, frequentemente observados semanas antes de os Recursos Humanos iniciarem o processo de saída.
“Quando alguém apresenta a sua demissão, preciso de saber imediatamente o que esteve a fazer com os nossos dados. Neste momento tenho de pedir essa informação à equipa de TI e a única coisa que conseguem verificar é o e-mail.”
Vice-Presidente de Recursos Humanos, empresa de serviços profissionais (cliente Incydr)
Consegue automatizar os controlos quando os Recursos Humanos identificam uma situação de risco?
Ter visibilidade sem capacidade de atuação apenas permite realizar investigações mais rapidamente.
O passo seguinte consiste em integrar os Recursos Humanos com a equipa de segurança para que os controlos sejam automaticamente ajustados assim que a saída do colaborador seja confirmada.
As integrações HCM do Incydr ligam-se diretamente a plataformas como:
- Workday
- BambooHR
- SAP SuccessFactors
- UKG
- Jira
- Mimecast
Quando os Recursos Humanos classificam um colaborador como estando em processo de saída, este é automaticamente incluído numa lista de monitorização (watchlist) e os controlos adaptativos podem ser reforçados para impedir a transferência de dados para destinos não confiáveis.
O trabalho legítimo continua a ser possível. A funcionalidade de autorização temporária com autojustificação permite ao colaborador transferir os ficheiros finais necessários, mantendo simultaneamente um registo completo para auditoria e proteção de ambas as partes.
Em situações de maior risco, como despedimentos imediatos ou saídas conflituosas, as integrações com CrowdStrike, SentinelOne, Microsoft Entra e Okta permitem isolar imediatamente o endpoint e revogar os acessos com um único clique.
Consegue produzir evidência suficientemente depressa para agir?
Num processo tradicional de investigação relacionado com um colaborador em saída, é necessário recolher informação proveniente de várias plataformas, correlacioná-la manualmente e construir uma narrativa forense dias mais tarde.
Quando os departamentos Jurídico ou de Recursos Humanos recebem finalmente essa informação, muitas vezes o colaborador já abandonou a organização há duas semanas.
A linha temporal de utilizador do Incydr apresenta ao analista uma visão cronológica de todos os eventos relacionados com ficheiros de qualquer utilizador, incluindo origem, destino e respetiva classificação de risco.
Os clientes podem utilizar o agente de investigação Mihra ou a integração através do MCP Server para realizar rapidamente a análise e gerar um relatório executivo.
Um analista pode simplesmente solicitar:
“Mostra-me a linha temporal dos últimos 90 dias da colaboradora Jane Doe, apenas com eventos de exfiltração.”
Em poucos segundos obtém um processo completo contendo:
- Linha temporal dos acontecimentos
- Eventos relacionados com ficheiros
- Conteúdo copiado para o navegador
- Metadados de origem e destino
- Classificação de risco
Tudo reunido num único relatório pronto para utilização pelos departamentos Jurídico e de Recursos Humanos, sem necessidade de tratamento adicional.
Eliminar a lacuna na gestão de colaboradores em saída começa com uma Prova de Valor do Incydr
Semana 1
- Implementação do agente nos endpoints e navegadores.
- Configuração da integração com a plataforma HCM.
- Lista automática de monitorização de colaboradores em saída operacional.
- Primeiros eventos de movimentação de ficheiros visíveis na primeira hora.
Semana 2
- Os padrões comportamentais tornam-se visíveis.
- Os indicadores específicos de risco identificam os utilizadores com maior probabilidade de exfiltração de dados.
- Teste de controlos adaptativos, incluindo bloqueio de ações.
Semanas 3 e 4
- Utilização da IA agêntica através da integração com o MCP Server ou do agente de investigação Mihra para compilar um processo completo de saída de colaborador destinado aos Recursos Humanos.
Dia 30
A organização dispõe de:
- Evidência pronta para auditoria.
- Controlos automáticos implementados.
- Um modelo sólido de governação para apresentação ao conselho de administração.
- Visibilidade sobre potenciais colaboradores em risco de saída.
- Um fluxo de trabalho simplificado entre Segurança e Recursos Humanos para gestão de alertas e investigações.
Elimine esta lacuna em apenas 30 dias
Uma Prova de Valor de 30 dias, aplicada a um grupo de 50 a 100 colaboradores de um departamento com elevada rotatividade, permite obter resultados úteis logo na primeira semana.
Ao fim de 30 dias, a organização dispõe de evidência, mecanismos de controlo e uma estratégia de governação robusta para demonstrar ao conselho de administração que o risco associado à saída de colaboradores está efetivamente sob controlo.
Ver o artigo original aqui.
