Le minacce interne continuano ad aumentare e a fare notizia. Non sorprende perciò che molti CISO considerino l’identificazione e il blocco proattivi di tali tipi di minacce una priorità. In effetti, secondo le ricerche condotte da Proofpoint per il suo report Voice of the CISO 2024 un terzo dei CISO a livello globale considera le minacce interne la loro principale sfida legata alla sicurezza informatica per i prossimi 12 mesi.
Un programma di gestione delle minacce interne ben consolidato può aiutare la tua azienda a rispondere più rapidamente alle minacce interne e a limitarne l’impatto. Tuttavia, disporre di un programma non è sufficiente. Devi essere anche in grado di identificare, prevenire e neutralizzare le minacce interne in modo efficace e tempestivo. Si tratta dell’unico modo per limitare i danni finanziari e alla reputazione.
Il mese della sensibilizzazione alle minacce interne è il momento ideale per riflettere sulla domanda seguente: il tuo programma di gestione dei rischi interni è efficace? Questo articolo può aiutarti a trovare la risposta. Prenderemo in esame un modello che puoi utilizzare per valutare l’efficacia del tuo programma di gestione dei rischi interni.
Modello di valutazione dell’efficacia del programma di gestione dei rischi interni
Puoi utilizzare il modello di valutazione dell’efficacia del programma di gestione dei rischi interni (Insider Risk Program Effectiveness Model, IRPEM) per analizzare il tuo programma di gestione dei rischi interni e stabilire quando può supportare i tuoi sforzi in termini di prevenzione, rilevamento, mitigazione e neutralizzazione delle minacce interne. Puoi anche utilizzarlo insieme ai suoi attributi per stabilire gli aspetti della sicurezza che puoi migliorare e rafforzare.
L’obiettivo ultimo è creare un programma di gestione dei rischi interni maturo e predittivo che aiuti la tua azienda a identificare i rischi potenziali il prima possibile.
L’identificazione precoce dei fattori scatenanti e dei comportamenti a rischio può fornire alla tua azienda misure di risposta positive come la raccomandazione di un programma di assistenza per i collaboratori Employee Assistance Program (EAP), che permette di rafforzare la fiducia nel tuo programma (con un programma efficace che ispira fiducia, potrai limitare meglio le perdite finanziare e i danni alla reputazione causati dalle minacce interne).
Qual è la differenza tra un rischio interno e una minaccia interna?
Prima di prendere in esame il modello IRPEM più in dettaglio, è importante chiarire la differenza tra un rischio interno e una minaccia interna. Molte persone utilizzano questi termini come sinonimi, ma non hanno lo stesso significato.
Le minacce interne sono un sottoinsieme dei rischi interni. Tutti gli utenti interni presentano un certo livello di rischio per l’azienda dato il loro accesso ai dati e ai sistemi aziendali e alle predisposizioni comportamentali che li caratterizzano. Tuttavia, non tutti gli utenti interni diventeranno una minaccia. Un utente interno rappresenta una minaccia quando utilizza il suo accesso a sistemi, dati e applicazioni per danneggiare le finanze, la reputazione, le relazioni commerciali, il personale, la missione o la clientela dell’azienda, in modo involontario o deliberatamente.
Hai bisogno di un approccio strategico e tattico per gestire efficacemente i rischi e le minacce interne. Ecco perché è fondamentale comprendere bene la differenza tra questi due concetti.
Il modello di valutazione dell’efficacia del programma di gestione dei rischi interni in dettaglio
Parliamo ora del modello IRPEM. Questo modello permette di stabilire se un programma di gestione dei rischi interni è:
- Reattivo (il meno efficace)
- Proattivo (moderatamente efficace)
- Predittivo (il più efficace)
Gli attributi associati a ogni livello di efficacia non rappresentano un elenco esaustivo, ma coprono i principali elementi di differenziazione in due aree chiave: il personale e la formazione, da una parte, e l’acquisizione e l’analisi dei dati, dall’altra.
L’approccio reattivo - “Se si verifica un problema, lo risolveremo”
Un programma reattivo di gestione delle minacce interne reagisce a un evento o a un problema dopo che si è verificato, tra cui:
- Dati/furto di proprietà intellettuale
- Sabotaggio
- Frode
- Spionaggio
- Violenza
In generale, questo tipo di programma offre solo una formazione volta a individuare tali azioni, piuttosto che i relativi segnali precoci.
Personale e formazione
Un programma reattivo:
- Non include formazione formalizzata sulle minacce interne rivolta ai dipartimenti interni, ai manager o ai collaboratori. Poiché non sono consapevoli del rischio posto dalle minacce interne, è meno probabile che riconoscano gli indicatori di rischio.
- Non dispongono di una struttura sicura che permette ai collaboratori di segnalare dei comportamenti che indicano una minaccia interna.
Acquisizione e analisi dei dati
Un programma reattivo:
- Non dispone di una strategia formale di rilevamento delle minacce interne né di un piano di risposta agli incidenti. La reazione in caso di violazione della sicurezza di origine interna si limita a valutare il contesto tecnico della violazione per stabilire l’intento dell’utente.
- Non incoraggia la collaborazione tra i dipartimenti interessati in caso di attività legate a una minaccia interna presunta.
- Non è in grado di identificare i collaboratori che potrebbero rappresentare un rischio nel momento in cui lasciano l’azienda. Invece, l’azienda effettua una valutazione retroattiva delle attività del collaboratore alla fine del suo ciclo occupazionale per identificare le attività che indicano una minaccia interna dopo aver appreso delle sue dimissioni o del suo licenziamento.
L’approccio proattivo - “Meglio prevenire che curare”
Un programma proattivo di gestione delle minacce interne mette l’accento sulla prevenzione delle violazioni utilizzando policy, procedure e formazione formalizzate che contribuiscono a limitare l’esposizione al rischio. L’utilizzo delle tecnologie volte a identificare le minacce interna prima che si verifichino delle fughe di dati è un aspetto chiave di tale approccio.
Personale e formazione
Un programma proattivo:
- Utilizza policy e procedure di sicurezza standard esistenti e formazione sulla conformità per definire le aspettative fondamentali e garantire la gestione delle conseguenze.
- Imposta formazione dedicata alle minacce interne per i dipartimenti interni interessati per sensibilizzarli meglio sugli indicatori di rischio di minacce interne che dovrebbero essere segnalati, tra cui:
- Violazioni di policy d’utilizzo accettabile
- Malcontento/comportamento tossico
- Condotta non etica
- Utilizzo improprio di carte aziendali
- Viaggi all’estero non approvati
- Definisce una struttura sicura che permette ai collaboratori di segnalare comportamenti che indicano una minaccia interna.
Acquisizione e analisi dei dati
Un programma proattivo:
- Definisce una strategia di rilevamento delle minacce interne e di un piano di comunicazione e di risposta agli incidenti.
- Prevede l’implementazione di un processo collaborativo di condivisione delle informazioni tra i dipartimenti interessati in caso di attività legate a una minaccia interna presunta.
- Monitora in modo prioritario il personale identificato come ad alto rischio, per esempio:
- Nuovi collaboratori - o coloro che sono nel loro periodo di prova di 90 giorni
- Gruppi di eccezione - collaboratori inseriti in gruppi per un motivo specifico, poi non più monitorati
- Utenti con privilegi - collaboratori che, data la natura del loro ruolo, hanno accesso a risorse critiche o di grande valore, per esempio informazioni sui clienti o aziendali sensibili o ad altri dati, sistemi, attrezzature o impianti
- Rischi di dimissioni - collaboratori che potrebbe lasciare l’azienda in circostanze sfavorevoli (coloro che devono seguire un piano di miglioramento delle prestazioni che sono sotto inchiesta, sono stati retrocessi, hanno ottenuto un punteggio di scarso rendimento che potrebbe influire sul loro premio, sono stati oggetto di un’azione disciplinare o hanno avuto un colloquio con la direzione prima di prendere un’aspettativa)
- Dipartimenti interni - collaboratori interessati da cambiamenti organizzativi che possono essere fonte di stress professionale, per esempio riduzione del personale, fusioni-acquisizioni, ristrutturazione, riorientamento dell’azienda che potrebbe impattare il lavoro, o ancora vincoli di budget che potrebbero interessare premi e promozioni
L’approccio predittivo - “Un passo avanti”
Questo approccio è in qualche modo l’estensione delle fasi precedenti. Si concentra sul rilevamento dei segnali precoci di fattori di stress personali, professionali, familiari o finanziari suscettibili di aumentare il rischio di abuso interno. Integra il “fattore umano” e dati tecnici in modo che gli analisti possano stilare un quadro completo della situazione e predire le attività delle minacce interne potenziali per poterle neutralizzare.
Personale e formazione
Un programma predittivo:
- Fornisce al team dirigenziale, ai responsabili dei servizi e ai collaboratori i mezzi per identificare le più minime differenze di comportamento dei collaboratori, anche quando le tecnologie e le soluzioni di rilevamento più potenti non riescono a farlo.
- Si impegna a rendere il tuo personale la prima linea di difesa contro le minacce interne potenziali.
Acquisizione e analisi dei dati
Un programma predittivo:
- Applicazione di misure di rilevamento delle minacce interne basate su indicatori di rischio potenziale all’interno dell’azienda. Questi indicatori includono i fattori di stress e le tecniche e i comportamenti preoccupanti.
- Dà priorità alla sorveglianza dei gruppi a alto rischio noti.
- Integra dei nuovi gruppi a alto rischio sulla base delle informazioni raccolte sul panorama dei rischi in costante evoluzione fornite dai team di threat intelligence, per esempio:
- Criminali informatici esterni che prendono di mira collaboratori scontenti per ottenere dati o credenziali d’accesso
- Collaboratori con problemi finanziari, più vulnerabili e propensi a lasciarsi adescare da un criminale informatico
Con un programma predittivo, puoi anche osservare le tendenze e i comportamenti nella tua azienda, in modo da poter rimanere un passo avanti e ridurre i tuoi rischi. Per esempio, quando il tuo servizio informatico implementa un nuovo controllo di prevenzione, alcuni tuoi collaboratori possono tentare di aggirarlo. Tale comportamento può aiutarti a identificare i gruppi di collaboratori che hanno bisogno di un’ulteriore assistenza.
Un approccio predittivo permette anche di implementare un programma flessibile di gestione delle minacce interne che integra un circuito di riscontri ben definito. Il team della sicurezza può contrastare e neutralizzare le minacce interne in modo proattivo e condividere tutti i segnali precoci rilevati con gli altri dipartimenti.
Vuoi saperne di più?
Durante il mese della sensibilizzazione alle minacce interne, Proofpoint ti invita a seguire una serie di webinar. Potrai scoprire perché è importante disporre di un programma di gestione delle minacce interne efficace, che sia concentrato sulla protezione dei dati o sui rischi interni.
Non hai mai sentito parlare della gestione delle minacce interne? Aggiornati sul tema grazie al nostro pacchetto iniziale di Proofpoint Insider Threat Management.