I team della sicurezza spesso si trovano ad affrontare un dilemma: come monitorare le attività a rischio degli utenti senza compromettere la loro privacy? Si tratta di un delicato equilibrio. Non è facile trovare il giusto equilibrio tra sicurezza e rispetto della riservatezza dei dati sensibili dei collaboratori. Raggiungere questo equilibrio non è solo possibile, è essenziale. Deve essere integrata in un programma di gestione dei rischi interni per assicurare la loro affidabilità e la loro efficacia.
In occasione della settimana della privacy dei dati, presentiamo in questo articolo dieci best practice per aiutarti a creare un solido programma di gestione dei rischi interni che soddisfi le tue esigenze di sicurezza e privacy dei dati.
1. Coinvolgi tempestivamente i team legali e responsabili della privacy
Fin dall’inizio, dovresti coinvolgere le persone giuste. Durante la fase di progettazione del programma, contatta i consigli dei lavoratori o comitati per la privacy per coinvolgerli. In questo modo garantirai che gli aspetti importanti della privacy vengano affrontati fin da subito. Questi comitati e consigli possono offrire preziose indicazioni sulle considerazioni etiche e legali da tenere in considerazione.
Una volta coinvolte queste parti, mantieni con loro una stretta collaborazione durante l’intero percorso. Aggiornamenti regolari sugli obiettivi, sull’ambito e sui processi del programma aiuteranno a promuovere la fiducia tra i team della sicurezza e i difensori della privacy. Infatti, dimostrando che la privacy è sempre stata una priorità fin dall’inizio, anche il team di gestione di rischi interni parteciperà alla difesa della privacy.
Esempio
Se implementi un programma di gestione dei rischi interni, coinvolgi il tuo responsabile della privacy nelle fasi di pianificazione. Ciò assicurerà che il tuo programma sia conforme con il GDPR e altre normative sulla protezione dei dati. La gestione proattiva delle preoccupazioni relative alla privacy permette di evitare che i dati a carattere personale siano utilizzati in modi che potrebbero portare a violazioni.
2. Definisci l’ambito del programma e le soglie di segnalazione
Dei limiti chiari sono uno dei componenti più critici di qualsiasi programma di gestione dei rischi interni. Definisci cosa costituisce un’attività a rischio, tenendo conto delle policy di condotta, conformità o sicurezza esistenti. È anche importante definire chiaramente quali comportamenti comportano un certo livello di rischio nonché a che punto i comportamenti a rischio richiedono un esame o indagini più approfonditi. In questo modo riduci la probabilità di spingerti troppo oltre, e assicuri che il monitoraggio rimanga proporzionato al rischio. Ricordati che sebbene le policy aziendali siano definite e ampiamente condivise, soglie e funzionalità di rilevamento dovrebbero essere condivise solo con le persone che ne hanno davvero bisogno.
Esempio
Supponiamo che il tuo programma rilevi che degli utenti stanno scaricando grandi quantità di dati sensibili. Imposta una soglia che si attiva solo quando qualcuno scarica un numero di file più elevato del solito. Possono essere definite altre soglie, per esempio in caso di rischio di dimissioni o quando un utente elude un controllo di sicurezza. In questo modo potrai limitare l’ambito di applicazione del programma r ridurre in modo significativo la probabilità che un analista esamini un comportamento inoffensivo. Non esiste mai la garanzia totale che ciò non accada nella sfera della mitigazione dei rischi. Questo è il motivo per cui è fondamentale implementare le seguenti otto best practice.
3. Sii trasparente, ma indirizza il messaggio con attenzione
In molte aziende, il programma di gestione dei rischi interni è spesso avvolto nel mistero. Sfortunatamente, questo può generare dicerie e sfiducia. Per evitare questo problema, comunica in modo trasparente e proattivo quando possibile. In questo modo mandi un chiaro messaggio: il programma è in linea con gli obiettivi della tua azienda e i suoi valori fondamentali.
È inoltre importante condividere testimonianze sull’impatto positivo del tuo programma. Ricorda a tutti i meccanismi legati alla privacy in essere nonché l’obiettivo complessivo del tuo programma. La trasparenza aiuta a demistificare il processo e rassicura i collaboratori sul rispetto della loro privacy.
Così come la trasparenza è importante, altrettanto lo è la riservatezza. Le informazioni relative agli allarmi attivati e alle indagini non dovrebbero essere condivisi al di fuori dei gruppi designati. In questo modo ti assicuri che il tuo programma non venga compromesso e impedisci che gli utenti eludano i controlli.
Esempio
Quando il tuo programma inizia a mostrare risultati positivi, condividi un caso di studio internamente oscurando tutte le informazioni sensibili. Includi dettagli su come il programma ha contribuito a rilevare una potenziale violazione della sicurezza prima che causasse danni e discuti dei possibili impatti finanziari o danni alla reputazione. Ciò ti aiuterà a evidenziare il valore del programma e a creare fiducia nei collaboratori. Dopo tutto, a parte gli utenti interni malintenzionati, la maggior parte dei collaboratori dedica anni di duro lavoro alla propria azienda, e desidera proteggerla.
4. Implementa chiare policy di condivisione
Devi disporre di policy chiare relativamente a cosa può essere condiviso nell’ambito del tuo programma di gestione dei rischi interni. Assicurati che le tue policy di condivisione delle informazioni tengano conto dei seguenti elementi:
- Le iniziative di formazione e sensibilizzazione
- L’ambito e l’obiettivo del programma
- Le tecnologie utilizzate a supporto del programma
- I risultati delle tue analisi
- I dettagli sul rilevamento e sulle soglie, i soggetti delle indagini e i testimoni
- Il risultato di indagini formali
È estremamente importante non sovra-rappresentare o sotto-rappresentare i dati. Facendolo rischi di avvolgere il programma nel mistero, generando incomprensioni e sfiducia. Si possono anche creare inefficienze e impedire la condivisione di dati importanti con altri partner strategici, che contribuisce a mitigare i rischi da varie angolazioni.
L’obiettivo è trovare un equilibrio che rafforzi l’obiettivo del programma, protegga la reputazione delle persone indagate, eviti di compromettere le indagini e favorisca la condivisione delle informazioni giuste con le persone giuste al momento adatto. Definendo attentamente chi ha accesso a dati specifici e applicando tali policy, riduci i rischi di perdita o abuso dei dati.
Esempio
Se la tua azienda utilizza un sistema di gestione dei casi per archiviare dati riservati delle indagini, assicurati che solo le persone giuste abbiano accesso a tali dati. Ciò li aiuterà a soddisfare il loro ruolo nelle indagini grazie a una visibilità completa. Inoltre, evita di fornire accesso a tutti i casi a tutti i membri di questi team. In occasioni di riunioni importanti relative a benchmark o parametri, assicurati che le informazioni riservate sulle cause scatenanti non vengano esposte a altri team che potrebbero essere presi di mira da minaccia che di fatto riesce a eludere il rilevamento da parte dei controlli.
5. Utilizza tecnologie conformi agli standard relativi alla privacy
Il tuo stack tecnologico gioca un ruolo determinante nella salvaguardia della privacy. Assicurati quindi che i tuoi strumenti rispettino i requisiti di privacy della tua azienda. Ecco alcune funzionalità interessanti:
- Anonimizzazione degli utenti
- Pseudonimizzazione
- Acquisizione visiva a livello di finestra
- Crittografia
- Controlli d’accesso personalizzabili basati sui ruoli
- Monitoraggio avanzato basato sui comportamenti tecnici ad alto rischio
Le tue tecnologie dovrebbero aiutarti a rilevare in modo dinamico le attività a rischio. Allo stesso tempo, dovrebbero fornirti flessibilità sufficiente in modo che tu possa adattare l’ampiezza dei dati acquisiti per le indagini. Inoltre, dovrebbero anche razionalizzare la protezione e l’archiviazione dei dati, permettendoti di archiviarli in determinate regioni geografiche in base agli standard della tua azienda in termini di privacy.
Esempio
Se il tuo team utilizza uno strumento di monitoraggio della sicurezza che registra l’attività degli utenti, assicurati che disponga di una funzione incorporata per anonimizzare i dati dell’utente che acquisisce. In altre parole, non deve archiviare il nome completo o l’identificativo di un utente che attiva un allarme, ma registrare un identificatore unico anonimizzato che permetta agli analisti di indagare sul comportamento senza esporre informazioni personali sensibili.
6. Assicura la circolazione dei dati e un controllo dell’accesso basato su attributi in tutti gli strumenti
I team di gestione dei rischi interni spesso si affidano a tecnologie condivise, come i sistemi di gestione degli eventi e delle informazioni di sicurezza (SIEM) e gli strumenti di gestione dei casi, per identificare e neutralizzare le potenziali minacce. Tuttavia, l’integrazione di questi strumenti senza prestare attenzione al flusso dei dati e ai controlli d’accesso può portare all’esposizione involontaria di dati sensibili. Per questo motivo è fondamentale disporre di un piano per proteggere i dati che circolano attraverso i vari strumenti del tuo stack di sicurezza.
Per preservare la riservatezza dei dati della tua azienda, è importante assicurarti che un controllo dell’accesso basato su attributi venga applicato su tutti gli strumenti. Ciò significa definire chiari livelli di accesso per i diversi team in base al loro ruolo e ai dati di cui hanno bisogno.
Esempio
Supponiamo che la tua azienda utilizzi uno strumento SIEM per aggregare e analizzare i log della sicurezza. I metadati sensibili, come i dati a carattere personale o dati sanitari con privilegi, non dovrebbero essere inseriti nel sistema SIEM. Piuttosto, il team di gestione dei rischi interni deve disporre di un accesso separato a tali dati per poter indagare sui rischi senza esporre questi dati agli analisti delle operazioni della sicurezza. I team responsabili delle operazioni della sicurezza devono avere accesso solo ai dati degli eventi, ai log e agli avvisi che sono necessari per il loro ruolo. È di vitale importanza che solo il team di gestione dei rischi interni a cui sono affidati i dati sensibili degli utenti abbia visibilità su tali dati.
7. Instaura una supervisione e una responsabilizzazione rigorose
Anche i team della gestione dei rischi interni hanno bisogno di supervisione, in particolare se sono incaricati di utilizzare tecnologie che monitorano le attività degli utenti. Per evitare tutti gli utilizzi inappropriati, eliminare i bias cognitivi dalle analisi e garantire fiducia, implementa un programma di supervisione. Questo dovrebbe includere verifiche formali di tutte le persone con accesso alle tecnologie, come quelli che dispongono di un accesso a livello amministratore che possono modificare le policy di rilevamento e quelli che assegnano le priorità e effettuano le analisi.
Per garantire l’imparzialità delle verifiche, queste dovrebbero essere effettuate da un team separato responsabile della conformità o da un membro del tuo team di gestione dei rischi interni a cui è assegnato tale ruolo. Questo tipo di supervisione dimostra l’impegno concreto in termini di privacy e sicurezza e contribuisce a preservare gli standard etici del team. Nessuno dovrebbe essere esente dalla supervisione. Anche i livelli più elevati di accesso dovrebbero essere monitorati in caso di utilizzi inappropriati. Ricorda che qualsiasi incidente, se sottoposto a triage, può portare alla presentazione di un caso in tribunale e che questo incidente può essere oggetto di ispezione ai sensi delle leggi sulla tutela della privacy degli utenti.
Esempio
Una modifica ha permesso di identificare un comportamento a rischio che non sarebbe stato rilevato prima della modifica, il che porta infine alla scoperta di una violazione. In questo caso, la modifica deve essere accompagnata da una giustificazione dettagliata, incluso il motivo della modifica e la persona che l’ha fatta. Ciò contribuisce a dimostrare che si trattava di una modifica approvata e non creata con l’obiettivo di identificare una persona specifica.
Implementa una solida supervisione a più livelli come parte del processo di revisione dei casi. Ciò assicurerà che non ci siano bias inconsci e che i dati riportati siano fattuali.
È inoltre importante verificare gli elementi legati ai flussi di lavoro, come gli avvisi che portano all’adozione di misure correttive. Ciò permette di assicurare che gli analisti non abusino del loro accesso o non approvino avvisi che hanno generato loro stessi, il che li renderebbe un’eccezione alla regola.
8. Gestisci i conflitti di interesse grazie a procedure chiare
I conflitti di interesse sono inevitabili nei programmi di gestione dei rischi interni. È perciò essenziale disporre di procedure scritte per gestirli. Se un analista che lavora su un caso che presenta un potenziale conflitto, deve esserci un chiaro processo di passaggio di consegne. Ciò assicura che qualcun altro possa condurre l’indagine in modo che obiettività e privacy non vengano compromesse. Definendo chiaramente queste procedure, riduci il rischio di pregiudizi e assicuri che le indagini rimangano imparziali e trasparenti.
Esempio
Supponiamo che un analista indaghi sul comportamento sospetto di un collega che conosce personalmente. Per eliminare qualsiasi bias cognitivo, è necessario definire una policy che richiede che l’analista passi immediatamente le indagini a un altro analista o alla direzione, per evitare che un potenziale conflitto di interesse ostacoli le indagini.
9. Integra moduli basati sulla privacy nella formazione dei team
La privacy non si applica solo all’azienda. Dovrebbe essere al centro del funzionamento del tuo team di sicurezza. Una regolare formazione sulla privacy legata al monitoraggio delle attività degli utenti è fondamentale in questo senso. Assicura che gli analisti comprendano i limiti del loro accesso nonché le loro responsabilità e che sappiano riconoscere i bias cognitivi. Proprio come le policy di utilizzo accettabile, queste regole devono essere applicate rigorosamente con chiare e severe conseguenze in caso di violazione.
Esempio
Come parte della formazione annuale del tuo team, organizza una simulazione in cui un analista deve indagare su una potenziale minaccia interna rispettando rigorose policy in termini di privacy. Ciò permetterà di rafforzare l’idea che il team non deve accedere ai dati se non necessario e deve rispettare i limiti del proprio ruolo.
10. Adatta costantemente la raccolta dei dati per evitare ogni eccesso
In definitiva, gli analisti dei rischi interni desiderano avere accesso solo ai dati di cui hanno bisogno per svolgere il loro lavoro, per ridurre i rischi e proteggere l’azienda. Per natura, si tratta di dati dei collaboratori interni. Tuttavia, è importante rivedere e affinare costantemente le tue pratiche di monitoraggio per assicurarti che non vengano raccolti dati non necessari. Per esempio, categorie sensibili come documenti medici o legali dovrebbero essere chiaramente esclusi dal monitoraggio per evitare qualsiasi violazione involontaria della privacy.
Esempio
Se le tecnologie che utilizzi iniziano a registrare quantità eccessive di dati dalle agende personali o dagli appunti delle riunioni dei collaboratori, a causa di una modifica approvata, rivedi le tue regole di monitoraggio e adatta l’ambito di applicazione in modo che sia il meno invasivo possibile assicurando al contempo una riduzione efficace dei rischi per l’azienda. Una buona idea può essere richiedere l’opinione delle principali parti interessate a cui abbiamo fatto riferimento in precedenza.
Un approccio equilibrato è possibile
Non è necessario scegliere tra la protezione della privacy degli utenti e il monitoraggio delle attività a rischio. Dopo tutto, i programmi di gestione dei rischi interni cercano anche di identificare l’utilizzo inappropriato o l’esposizione dei dati degli utenti da parte di collaboratori interni, e collaborano con i team della privacy e delle risorse umane per adottare misure correttive. Si tratta di una parte essenziale della difesa dei collaboratori.
Seguendo queste best practice, avrai la certezza di creare un programma che bilancia in modo efficace le esigenze in termini di privacy e sicurezza dei dati. L’obiettivo unificato è creare un ambiente più sicuro in cui la privacy dei collaboratori viene rispettata e i rischi interni vengono ridotti.
Per saperne di più
Scopri di più sulle best practice di collaborazione interfunzionale sui programmi di gestione dei rischi interni incentrati sulle persone. Scopri le funzionalità di privacy e controllo d’accesso per Proofpoint ITM.
