Barracuda full logo

Gerir ameaças internas em toda a organização

Tópicos:
3 fev. 2026
|
Christine Barry

Como o acesso confiável cria exposição oculta — e como as equipas de segurança, TI e negócios podem reduzir o risco interno

Principais conclusões

  • As ameaças internas não são apenas maliciosas. A negligência, os erros honestos e as contas comprometidas representam uma parte significativa dos incidentes provocados internamente.
  • O risco aumenta durante momentos chave do ciclo de vida. A integração, mudanças de função, prazos de alta pressão e saídas de colaboradores correlacionam-se consistentemente com um maior risco interno.
  • A resiliência importa mais do que a confiança. A gestão eficaz do risco interno concentra-se no princípio dos privilégios mínimos, na monitorização de padrões de comportamento e na conceção de controlos de segurança que se ajustem a fluxos de trabalho reais.

Ameaças internas estão entre os riscos mais subestimados e inesperados que as empresas enfrentam. Incidentes que se originam de uma identidade com acesso confiável são quase sempre mais difíceis de detectar e rastrear do que aqueles que passam por defesas quebradas. Pesquisas mostram que incidentes internos custam às organizações uma média de 17,4 milhões de dólares por ano, com credenciais comprometidas e ações negligentes de utilizadores a impulsionar o maior impacto financeiro e os tempos de deteção mais longos. Estes incidentes muitas vezes demoram meses a serem identificados, mitigados e investigados. O Relatório de Investigações de Violação de Dados da Verizon de 2025 (DBIR) também revela que os insiders estão envolvidos na maioria das violações, seja por erro ou malícia. Os insiders representam um risco legítimo para empresas de todos os tamanhos em todos os setores.

As ameaças internas vão além dos funcionários maliciosos. Qualquer utilizador pode, de forma não intencional, criar risco para a empresa, por isso, se está a pensar na gestão de risco interno, considere esta definição dos especialistas da Universidade Carnegie Mellon:

Ameaça Interna - o potencial para um indivíduo que tem ou teve acesso autorizado aos ativos críticos de uma organização utilizar esse acesso, de forma maliciosa ou inadvertida, para agir de uma maneira que possa afetar negativamente a organização. ~Daniel L. Costa, CERT Insider Threat Center, Software Engineering Institute (SEI)

Esta definição é suficientemente ampla para incluir qualquer tipo de risco de qualquer tipo de ameaça interna. Isto ajudará a manter os riscos internos visíveis na sua estratégia de segurança.

Os principais tipos de ameaças internas

Insiders maliciosos causando danos intencionais

Tal como sugerem, estes são os que querem roubar segredos da empresa, destruir ativos digitais, divulgar dados sensíveis ou, de outra forma, prejudicar a empresa.

Existem vários motivos para estas atividades destrutivas. Funcionários descontentes podem querer punir a empresa ou um colega. Oportunistas podem aceitar pagamentos de atores de ameaças para fornecer acesso ou de concorrentes para fornecer informações. Este risco aumenta acentuadamente em torno das saídas, portanto, as empresas devem manter um programa disciplinado de offboarding ou de saída.

Insiders negligentes que criam risco de forma não intencional

Pessoas com acesso confiável nem sempre querem seguir as regras. Podem não ter a intenção de prejudicar ninguém, mas reutilizam senhas, clicam em spam por curiosidade, ignoram etiquetas de sensibilidade e de outras formas contornam os controlos de segurança porque é mais fácil ou rápido do que seguir o protocolo.

Na maioria das vezes, estas pessoas pensam que estão a resolver um problema. Precisam de algo rapidamente, por isso enviam ficheiros por email para si próprias para poderem trabalhar fora de horas, ou partilham credenciais porque várias pessoas precisam de acesso a um recurso de utilizador único. Isto pode ser reduzido ao examinar como é que os processos de segurança se encaixam nos fluxos de trabalho. Se um utilizador está "apenas a tentar fazer as coisas", pode haver uma forma melhor de proteger os sistemas afetados. A formação pode ajudá-los a compreender o "porquê" por detrás dos controlos. Recolher feedback destes utilizadores pode ajudar a obter a sua adesão se as políticas de segurança forem atualizadas.

Insiders que cometem erros honestos

Frequentemente referidos como "insiders acidentais", estes utilizadores podem endereçar incorretamente e-mails, configurar erroneamente políticas de segurança ou armazenar dados sensíveis num espaço não protegido. Estes utilizadores não são maliciosos ou negligentes, mas cometem erros que levam à exposição.

Cada ser humano cometerá um erro, especialmente quando pressionado ou fatigado, mas podem existir alguns fatores ambientais que podem ajudar a reduzir este risco. Auditorias de segurança regulares e varredura automatizada podem identificar lacunas de segurança e vulnerabilidades que podem ser negligenciadas pelas equipas de TI. Regras claras de sensibilidade de dados e encriptação automatizada podem facilitar a segurança para os utilizadores.

Insiders comprometidos que, sem querer, fornecem acesso a atacantes

Isto descreve um insider cujo acesso foi 'sequestrado' por um agente de ameaça externo. O agente de ameaça ganha controlo de uma conta legítima e opera como o utilizador, misturando-se com o tráfego normal e trabalhando lentamente para obter mais acesso sem acionar alertas. Isto frequentemente começa como phishing ou instalações acidentais de malware. Pode ver um exemplo clássico disto em o ataque de agosto de 2025 em Nevada.

Terceiros internos

Fornecedores, contratantes e outros parceiros terceiros muitas vezes têm acesso legítimo a um domínio, mas operam sob um conjunto diferente de controlos e supervisão. Isto amplia a sua superfície de ataque e pode criar pontos cegos na sua postura de segurança. Embora possa confiar nos seus parceiros terceiros, deve ter em mente que eles também enfrentam riscos internos e outras ameaças.

Pode mitigar este risco aplicando segmentação, controlos de identidade fortes, o princípio do menor privilégio e acesso just-in-time, e outras Best Practice.

Previsão de risco interno

O risco interno não está distribuído uniformemente ao longo do emprego ou de uma parceria. O nível de risco aumentará com base em eventos e outros fatores de stress.

Tipo de ameaça interna Fases / eventos de ciclo de vida de alto risco Exemplo de sinal de risco

Insiders maliciosos (dano intencional)

Stress económico, ação disciplinar, período de aviso, rescisão, litígios legais

Acesso ou exfiltração de dados invulgar perto da saída

Insiders negligentes (que contornam as regras)

Prazos apertados, mudança organizacional, migrações de ferramentas, fricção no fluxo de trabalho

Repetidas fugas de política para “fazer o trabalho”

Insiders acidentais (erros honestos)

Primeiras semanas de emprego, mudanças de função, fadiga, multitarefa

E-mail mal endereçado ou permissões mal configuradas

Insiders comprometidos (contas sequestradas)

Campanhas de phishing, mudanças no trabalho remoto, viagens, autenticação fraca

Atividade de início de sessão anómala ou movimento lateral

Insiders de terceiros (fornecedores, contratados)

Integração de fornecedores, suporte de emergência, transições de contratos, M&A

Acesso de terceiros excessivo ou prolongado

 

Melhores práticas para mitigar ameaças internas

  • Criar um programa de gestão de risco de insiders (IRM): Estabelecer um programa formal que trate o risco de insiders como um risco empresarial multifuncional, e não apenas como um problema de segurança. Incluir partes interessadas da segurança, TI, RH, jurídico e conformidade.
  • Aplicar o princípio do menor privilégio com acesso just-in-time (JIT): Conceder privilégios elevados apenas quando necessário e revogá-los quando terminado. Isto pode exigir mais tarefas administrativas do que proporcionar acesso permanente, mas reduz o impacto de insiders maliciosos, contas comprometidas e uso indevido por terceiros.
  • Conceber controlos de segurança em torno dos fluxos de trabalho: Os utilizadores gostam de evitar fricções, especialmente no que diz respeito a controlos de segurança. Reveja como os colaboradores trabalham e redesenhe os processos para que o caminho seguro seja o mais fácil possível.
  • Automatizar a proteção sempre que possível: A encriptação automática e as definições de partilha segura por defeito ajudarão a eliminar o erro humano.
  • Reforçar a identidade e autenticação: Implemente identidades únicas e autenticação multifator (MFA) para todos os utilizadores. Adote e imponha princípios de zero trust, como autenticação contínua e monitorização de sessões.
  • Monitorizar padrões de risco: Concentrar a deteção em combinações invulgares de ações, como acesso a dados seguido de download local e transferência externa.
  • Ajuste os controlos conforme necessário: Janelas de alto risco, como integração, transições de fornecedores, mudanças de função e saídas de funcionários, podem exigir acesso restrito e monitorização reforçada.
  • Automatize a configuração de cloud, aplicações e dispositivos sempre que possível: A automação reduz as taxas de erro e limita os danos quando ocorrem erros. A verificação automática de vulnerabilidades pode ajudar a priorizar a mitigação.
  • Trate o acesso de terceiros como um domínio de risco separado: Segmente o acesso de terceiros e aplique identidades individuais e outros controlos técnicos.

Gerir o risco interno não se trata de saber se os funcionários ou parceiros são de confiança — trata-se de resiliência. As organizações devem conceber sistemas para resistir a erros internos, uso indevido ou comprometimento quando — não se — ocorrerem.

Mais sobre ameaças internas:

 

 

Christine Barry

Christine Barry, Contadora Sénior de Histórias de Cibersegurança e Gestora de Conteúdos na Barracuda. Antes de se juntar à Barracuda, Christine foi engenheira de campo e gestora de projetos para clientes K12 e SMB durante mais de 15 anos. Possui várias credenciais em tecnologia e gestão de projetos, uma Licenciatura em Artes e um Mestrado em Administração de Empresas. É graduada pela Universidade de Michigan.

Conecte-se com a Christine no LinkedIn aqui.

 

Junte-se à nossa comunidade no Reddit!

Artigos Relacionados:
Relatório do Google: Mais vulnerabilidades de zero-day a impactar empresas
Relatório do Google: Mais vulnerabilidades de zero-day a impactar empresas
 O ataque ao Notepad++ e os novos riscos da cadeia de abastecimento
O ataque ao Notepad++ e os novos riscos da cadeia de abastecimento
 Sandworm: A equipa russa de destruição de infraestrutura global
Sandworm: A equipa russa de destruição de infraestrutura global
 Tecnologia automóvel: Uma vasta nova superfície de ataque cibernético
Tecnologia automóvel: Uma vasta nova superfície de ataque cibernético
Pesquisar o blogue

O Relatório de Invasão de Segurança de E-mail de 2025

Principais conclusões sobre a experiência e o impacto das violações de segurança de e-mail em organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Relatório de Insights do Cliente MSP 2025

Uma visão global sobre o que as organizações precisam e desejam dos seus provedores de serviços geridos de cibersegurança

Obtenha o relatório

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.