In base al report Voice of the CISO, le minacce interne sono una delle principali preoccupazioni per i CISO in tutto il mondo. È facile capire il perché: il passaggio al telelavoro, l'accelerazione della trasformazione digitale e le Grandi Dimissioni hanno aumentato il rischio di perdita di dati per le aziende che cercano di proteggere le loro informazioni più critiche. Basta leggere i titoli dei giornali per rendersi conto dell'impatto e della diffusione delle minacce interne, come ad esempio la violazione dei dati di LastPass, che ha colpito 25 milioni di utenti.
Nessuna azienda è immune dalle minacce interne perché tutte hanno una caratteristica comune: hanno dei collaboratori. Dopotutto, le perdite di dati non avvengono per magia: ci sono delle persone all’origine di queste violazioni. Di conseguenza, per affrontare le minacce interne e aumentare la sensibilizzazione le aziende devono adottare un approccio incentrato sulle persone, che vada oltre i contenuti e prenda in considerazione il contesto. Ma cosa significa esattamente e come possono le aziende gestire efficacemente le minacce interne riducendo al minimo i disagi per l'azienda stessa? Approfondiamo e iniziamo definendo le minacce interne.
Differenza tra minaccia interna e rischio interno
Un utente interno è un collaboratore, appaltatore o partner commerciale attuale o passato che ha o ha avuto un accesso autorizzato alla rete, ai sistemi o ai dati dell'azienda. In altre parole, gli utenti interni si trovano in una posizione di fiducia. Quando un utente inferno sfrutta questa posizione per scopi personali, intenzionalmente o meno, diventa una minaccia per l'azienda.
I termini “rischio interno” e “minaccia interna” vengono alcune volte utilizzati in modo intercambiabile, ma non hanno lo stesso significato. Le minacce interne sono un sottoinsieme dei rischi interni: tutti gli utenti interni rappresentano un rischio per loro azienda, poiché hanno accesso ai suoi dati e ai suoi sistemi. Tuttavia, non tutti gli utenti interni diventeranno una minaccia interna. Si tratta di una distinzione importante che richiede un approccio tattico e strategico.
Tipi di minacce interne
Esistono tre tipi principali di minacce interne:
- Gli utenti negligenti hanno buone intenzioni ma prendono decisioni sbagliate. Per esempio, condividono per errore i dati dei clienti con parti esterne o trasferiscono documenti strategici riservati su una chiavetta USB. Gli utenti negligenti sono responsabili del 56% degli incidenti di origine interna secondo il report 2022 sul costo delle minacce interne del Ponemon Institute.
- Gli utenti malintenzionati sono motivati dal guadagno personale e cercano di danneggiare l’azienda. Per esempio, esfiltrano segreti commerciali o portano con sé elementi di proprietà intellettuale quando lasciano l’azienda. Sebbene gli utenti malintenzionati siano responsabili solo di un quarto di tutti gli incidenti incidenti di origine interna, questi possono essere ampiamente pubblicizzati, dato il loro potenziale impatto in termini finanziari e di immagine del marchio dell'azienda.
- Gli utenti compromessi si fanno rubare le proprie credenziali dai criminali informatici che cercano di accedere ai dati e ai sistemi dell'azienda. Questi utenti tipicamente hanno un accesso con privilegi alle informazioni, il che li rende l’obiettivo preferito dei criminali informatici esterni. Gli utenti compromessi sono responsabili del 18% degli incidenti di origine interna.
È fondamentale identificare il tipo di minaccia interna e comprendere il contesto per stabilire le azioni da intraprendere.
Cosa ci insegna l’analogia con il semaforo rosso a proposito del contesto
Per comprendere il ruolo del contesto facciamo un'analogia con un automobilista che passa con il semaforo rosso.
Mettiamoci nei panni di un agente di polizia appena arrivato a un grande incrocio. Mentre ci avviciniamo, vediamo un automobilista passare con il rosso. A prima vista, la situazione può sembrare semplice: il conducente ha chiaramente violato il codice stradale e deve essere multato. Tuttavia, tutte le infrazioni al semaforo rosso dovrebbero essere trattate allo stesso modo?
Immaginiamo ora di disporre di un contesto più ampio. Cosa avremmo fatto, se avessimo saputo che l'automobilista in questione era fermo all'incrocio da 10 minuti e che alla fine aveva deciso di proseguire, supponendo che il semaforo era rotto? In questo caso, considerando il contesto, forse non l’avremmo multato. Questo automobilista può essere paragonato a un utente negligente: le intenzioni erano buone, ma ha agito in modo incauto.
E se l'automobilista fosse passato con il rosso per seguire e affrontare un altro automobilista? è possibile che gli fosse stata sospesa di recente la patente e che abbia avuto un acceso scambio di vedute con l’altro conducente poco prima del semaforo rosso. In questo caso, l'automobilista potrebbe cercare di causare danni all'altro conducente. Dobbiamo quindi intervenire il prima possibile per limitare i danni.
E se il conducente fosse alla guida di un'auto rubata dopo aver rapinato una banca? Durante le indagini e la raccolta di prove, potrebbe risultare evidente che il conducente non è chi si pensa che sia e quindi essere necessario coinvolgere altre forze dell'ordine. Questa situazione richiederebbe una risposta completamente diversa rispetto a quella di un guidatore negligente o malintenzionato.
Principali punti da ricordare
Come si può evincere da questo esempio il contesto gioca un ruolo determinante nel comprendere la situazione da un punto di vista globale e stabilire le azioni da intraprendere. In mancanza di altre informazioni, dovremmo applicare lo stesso trattamento a ciascun automobilista. Ma la visibilità cambia tutto. Grazie alla visibilità, puoi comprendere il quadro generale della situazione, identificare i rischi, valutarne l’impatto e determinare le azioni da intraprendere.
Proofpoint ritiene che il contesto sia fondamentale per gestire le minacce interne in modo efficace. Se tratti un utente malintenzionato allo stesso modo di un utente negligente le conseguenze potrebbero essere tragiche e inaspettate. Ecco perché il nostro approccio fornisce visibilità e informazioni contestualizzate. Grazie a queste informazioni, puoi comprendere tutti i dettagli (chi, cosa, quando e dove) degli incidenti e adottare le misure appropriate.
Per saperne di più
Nel corso del mese della sensibilizzazione alle minacce interne, scopri di più sulle best practice per la gestione delle minacce interne partecipando a uno dei nostri webinar. Ascolta le informazioni e i consigli di Forrester e partecipa a una chiacchierata informale con Pfizer sui diversi approcci per mitigare i rischi legati alle minacce interne. Approfondisci la conoscenza delle minacce interne e scopri come sensibilizzare i collaboratori grazie allo starter pack per la gestione delle minacce interne.
Infine, scopri come proteggere la tua azienda dagli utenti a rischio nell’ultimo episodio del nostro podcast Protecting People.