Il rischio insider è una delle priorità di sicurezza per i vertici aziendali. Ferdinando Mancini, Director, Southern Europe & Israel Sales Engineering di Proofpoint, consiglia i passaggi per definire e implementare un efficace piano di gestione del rischio.
Lo scenario è tutt’altro che improbabile: un dipendente si dimette per passare alla concorrenza, ma prima di lasciare l’azienda scarica documentazione strategica sensibile da portare con sé. Si tratta di una situazione certamente spiacevole, potenzialmente rischiosa per il business, che potrebbe interessare elenchi clienti o fornitori, informazioni organizzative confidenziali, o addirittura proprietà intellettuale.
Cosa ne pensano i Ciso italiani del rischio insider
Che si tratti di un contesto reale lo conferma una recente ricerca di Proofpoint. Secondo l’indagine il 52% dei Ciso italiani ritiene che i dipendenti che hanno lasciato l’azienda abbiano contribuito a una perdita di dati. Di certo il rischio insider è salito gradualmente di livello nelle priorità di sicurezza delle aziende, diventando una delle principali preoccupazioni dei Ciso, ma interessando man mano anche i vertici. È una buona notizia, e con il supporto del management, è possibile definire e implementare un piano di gestione del rischio interno che risponda alle necessità di protezione dell’azienda.
Perché è importante avere un programma di gestione del rischio interno?
Prima di descrivere come realizzare un programma efficace contro il rischio insider, è importante comprendere perché sia così importante. Questi i tre motivi principali:
passare a unapproccioproattivo. Muovendosi in anticipo, è possibile prevenire gli incidenti interni invece di reagirvi, evitando così danni finanziari e al brand.
Avere una visione più chiara di utenti e dati a rischio. Una volta compreso chi sono i dipendenti a rischio e i dati e sistemi più importanti per l’azienda, è possibile accertarsi che i controlli di sicurezza siano attivi per proteggerli.
Migliorare i tempi di risposta. Con processi e procedure definite, è possibile ottimizzare i tempi di risposta. Stabilire chiaramente le attività da mettere in campo, quando e da parte di chi, aiuta a risparmiare tempo nel momento in cui è più necessario. Soprattutto quando è richiesta una risposta interfunzionale.
Rischio insider e i 5 passaggi: innanzitutto partire dalla squadra
Per avviare un nuovo programma sul rischio interno (insider risk management, o IRM) o migliorare quello esistente, è opportuno seguire i seguenti passaggi:
1: Comporre il team. Un programma di successo prevede la designazione di un responsabile esecutivo e di un comitato direttivo, oltre alla creazione di un team di lavoro interfunzionale. Gestire il rischio interno va considerata una responsabilità di squadra. Perché coinvolge tutta l’azienda, compresi i dipartimenti legali, di risorse umane (HR), compliance, responsabili delle linee di business, dirigenti e persino il consiglio di amministrazione. Tutti i gruppi devono lavorare insieme per raggiungere l’obiettivo comune di ridurre il rischio organizzativo. Fondamentale in questo senso è disporre di un supporto esecutivo interno, che sostenga e promuova il programma e aiuti a superare i blocchi.
Dove l’azienda è vulnerabile?
2: Definire gli obiettivi. Obiettivo di un programma IRM è evitare che un rischio insider si trasformi in minaccia. Evento che accade quando un individuo in una posizione di fiducia danneggia l’azienda, intenzionalmente o meno. È necessario delineare ciò che rende l’organizzazione vulnerabile, applicando i passaggi seguenti:
identificare gli insider a rischio. Possono essere dipendenti con accesso privilegiato, collaboratori, Very Attacked People, dirigenti, e molti altri. In sostanza, gli utenti a rischio variano a seconda dell’azienda.
Definire i dati sensibili. Finché non è chiaro quali siano quelli sensibili, non li si potrà proteggere.
Stabilire requisiti di conformità. Un programma olistico che garantisca il rispetto dei requisiti di privacy può soddisfare meglio alcune normative di compliance.
Bilanciare le esigenze aziendali. È necessario trovare il giusto equilibrio tra esigenze aziendali, controlli di sicurezza, come la prevenzione della perdita di dati, e produttività degli utenti.
Le domande chiave
3: Comprendere le proprie capacità. Prima di pianificare ogni programma, è necessario comprendere la situazione attuale. Il punto di partenza è una valutazione critica delle attuali capacità, degli investimenti e del livello di efficacia del programma contro il rischio insider. Questo processo può aiutare a rispondere a domande chiave come:
Abbiamo le capacità di rilevamento, risposta, analisi e prevenzione di cui abbiamo bisogno? Quali sono i nostri limiti?
Abbiamo visibilità su tutti i canali, compresi e-mail, endpoint, cloud e web?
Quali sono i nostri punti deboli o le nostre lacune nella copertura?
Come possiamo sfruttare al meglio gli investimenti esistenti se implementiamo un programma più completo?
Rischio insider: l’importanza del fattore umano
4: Agire. È importante stabilire un processo operativo di sicurezza che consenta agli analisti di reagire, effettuare una valutazione del rischio reale e successivamente un’eventuale escalation, seguendo canali predefiniti. Playbook operativi chiaramente definiti possono aiutare a guidare le indagini e le azioni di mitigazione. In particolare, è essenziale definire il processo di escalation in collaborazione con risorse umane, uffici legali, compliance, leadership esecutiva e l’azienda stessa. Un passaggio fondamentale prevede che la base di utenti interessati riconosca e accetti il monitoraggio dei comportamenti a rischio.
L’ultimo passaggio
5: Ripetere iprocessi. Una volta che il programma è stato avviato, è consigliabile ripeterlo regolarmente e farlo evolvere in base alle esigenze aziendali. E questo secondo le azioni qui di seguito:
Sviluppare obiettivi e tappe fondamentali per far crescere il programma in modo intenzionale e non reattivo.
Identificare metriche basate sugli step concordati e sulla crescita del programma.
Collaborare con gli stakeholder per garantire che le priorità aziendali siano soddisfatte e il programma possa scalare.
Automatizzare prevenzione e remediation in modo che gli analisti ottengano efficienza, risparmiando tempo.
Rendere l’azienda più efficiente e produttiva
Questi cinque passaggi rappresentano un approccio strategico alla gestione del rischio interno, preventivo e integrato nella visione di business. Necessari per essere non solo in grado di rispondere in modo adeguato a eventuali minacce, più o meno esplicite, ma anche di contribuire a rendere l’azienda più efficiente e produttiva. Riducendo così ogni potenziale interruzione.
