agosto 13, 2020

[Segurança] O fator humano no vazamento de dados da Capital One

vazamento de dados do banco americano Capital One, que aconteceu em Julho de 2019 e afetou mais de 100 milhões de clientes do banco, trouxe muitas oportunidades para discussão sobre o cenário de vazamento de dados, uma vez que envolveu um importante banco americano, que até então era considerado uma grande referência na adoção de computação em nuvem.

Embora o banco fosse reconhecido por possuir um grande domínio da tecnologia necessária para sua migração para a nuvem, a ponto de ser apresentado como estudo de caso no site da AWS, o fator humano pode ter sido um importante facilitador do incidente. De acordo com uma reportagem publicada no jornal The Wall Street Journal em Agosto de 2019, e reproduzida no blog da empresa BitSight, há indícios de que a moral do time de segurança estava abalada no período que antecedeu o incidente, o que causou uma evasão de talentos. E isso pode ter estimulado a falta de cuidado que fez com que o incidente (a invasão e o roubo de dados) passasse desapercebido.

Segundo a reportagem, antes do incidente a empresa havia trocado o CISO, contratando um profissional originado do setor público, que entrou em conflito com a cultura dos funcionários existentes. Devido a esse conflito, vários profissionais deixaram a empresa. A reportagem completa que a Capital One estava sofrendo um grande turnover no time de segurança, com diversas trocas nas posições de gestão do time, e que apenas em 2018 a empresa havia perdido 30% de seus profissionais!

Antes uma empresa que atraía os talentos em tecnologia, de repente a Capital One se rendeu a um cenário aonde os funcionários estavam desmotivados e os projetos se perdiam na politicagem.

Segundo consta na decisão do Office of the Comptroller of the Currency (OCC),  que estabeleceu uma multa de 80 milhões de dólares à Capital One por causa do incidente, falhas de gestão também ajudaram a permitir que o incidente acontecesse. A OCC aponta que a auditoria interna da Capital One falhou em reportar os problemas da empresa para o Comitê de Auditoria e o Board da empresa falhou em tornar o time de gestão responsável por corrigir as falhas identificadas nos controles internos e nas vulnerabilidades.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.