Lo scenario è tutt’altro che improbabile: un dipendente si dimette per passare alla concorrenza, ma prima di lasciare l’azienda scarica documentazione strategica sensibile da portare con sé. Si tratta di una situazione certamente spiacevole, potenzialmente a forte rischio per il business, che potrebbe interessare elenchi clienti o fornitori, informazioni organizzative confidenziali, o addirittura proprietà intellettuale.
Che si tratti di un contesto reale lo conferma una recente ricerca di Proofpoint, secondo cui il 52% dei CISO italiani ritiene che i dipendenti che hanno lasciato l’azienda abbiano contribuito a una perdita di dati.
Di certo il rischio insider è salito gradualmente di livello nelle priorità di sicurezza delle aziende, diventando una delle principali preoccupazioni dei CISO, ma interessando man mano anche i vertici. È una buona notizia, e con il supporto del management, è possibile definire e implementare un piano di gestione del rischio interno che risponda alle necessità di protezione dell’azienda.
Perché è importante avere un programma di gestione del rischio interno?
Prima di descrivere come realizzare un programma efficace contro il rischio insider, è importante comprendere perché sia così importante. Questi i tre motivi principali:
- Passare a un approccio proattivo. Muovendosi in anticipo, è possibile prevenire gli incidenti interni invece di reagirvi, evitando così danni finanziari e al brand.
- Avere una visione più chiara di utenti e dati a rischio. Una volta compreso chi sono i dipendenti a rischio e i dati e sistemi più importanti per l’azienda, è possibile accertarsi che i controlli di sicurezza siano attivi per proteggerli.
- Migliorare i tempi di risposta. Con processi e procedure definite, è possibile ottimizzare i tempi di risposta. Stabilire chiaramente le attività da mettere in campo, quando e da parte di chi, aiuta a risparmiare tempo nel momento in cui è più necessario, soprattutto quando è richiesta una risposta interfunzionale.
Come procedere per definire un programma efficace?
Per avviare un nuovo programma sul rischio interno (insider risk management, o IRM) o migliorare quello esistente, è opportuno seguire i seguenti passaggi:
1: Comporre il team
Un programma di successo prevede la designazione di un responsabile esecutivo e di un comitato direttivo, oltre alla creazione di un team di lavoro interfunzionale.
Gestire il rischio interno va considerata una responsabilità di squadra, perché coinvolge tutta l’azienda, compresi i dipartimenti legali, di risorse umane (HR), compliance, responsabili delle linee di business, dirigenti e persino il consiglio di amministrazione. Tutti i gruppi devono lavorare insieme per raggiungere l’obiettivo comune di ridurre il rischio organizzativo. Fondamentale in questo senso è disporre di un supporto esecutivo interno, che sostenga e promuova il programma e aiuti a superare i blocchi.
2: Definire gli obiettivi
Obiettivo di un programma IRM è evitare che un rischio insider si trasformi in minaccia, evento che accade quando un individuo in una posizione di fiducia danneggia l’azienda, intenzionalmente o meno.
È necessario delineare ciò che rende l’organizzazione vulnerabile, applicando i passaggi seguenti:
- Identificare gli insider a rischio. Possono essere dipendenti con accesso privilegiato, collaboratori, Very Attacked People, dirigenti, e molti altri. In sostanza, gli utenti a rischio variano a seconda dell’azienda.
- Definire i dati sensibili. Finché non è chiaro quali siano quelli sensibili, non li si potrà proteggere.
- Stabilire requisiti di conformità. Un programma olistico che garantisca il rispetto dei requisiti di privacy può soddisfare meglio alcune normative di compliance.
- Bilanciare le esigenze aziendali. È necessario trovare il giusto equilibrio tra esigenze aziendali, controlli di sicurezza, come la prevenzione della perdita di dati, e produttività degli utenti.
3: Comprendere le proprie capacità
Prima di pianificare ogni programma, è necessario comprendere la situazione attuale. Il punto di partenza è una valutazione critica delle attuali capacità, degli investimenti e del livello di efficacia del programma contro il rischio insider. Questo processo può aiutare a rispondere a domande chiave come:
- Abbiamo le capacità di rilevamento, risposta, analisi e prevenzione di cui abbiamo bisogno? Quali sono i nostri limiti?
- Abbiamo visibilità su tutti i canali, compresi e-mail, endpoint, cloud e web?
- Quali sono i nostri punti deboli o le nostre lacune nella copertura?
- Come possiamo sfruttare al meglio gli investimenti esistenti se implementiamo un programma più completo?
4: Agire
È importante stabilire un processo operativo di sicurezza che consenta agli analisti di reagire, effettuare una valutazione del rischio reale e successivamente un’eventuale escalation, seguendo canali predefiniti. Playbook operativi chiaramente definiti possono aiutare a guidare le indagini e le azioni di mitigazione.
In particolare, è essenziale definire il processo di escalation in collaborazione con risorse umane, uffici legali, compliance, leadership esecutiva e l’azienda stessa. Un passaggio fondamentale prevede che la base di utenti interessati riconosca e accetti il monitoraggio dei comportamenti a rischio.
5: Ripetere i processi
Una volta che il programma è stato avviato, è consigliabile ripeterlo regolarmente e farlo evolvere in base alle esigenze aziendali, secondo le azioni che seguono:
- Sviluppare obiettivi e tappe fondamentali per far crescere il programma in modo intenzionale e non reattivo.
- Identificare metriche basate sugli step concordati e sulla crescita del programma.
- Collaborare con gli stakeholder per garantire che le priorità aziendali siano soddisfatte e il programma possa scalare.
- Automatizzare prevenzione e remediation in modo che gli analisti ottengano efficienza, risparmiando tempo.
Questi cinque passaggi rappresentano un approccio strategico alla gestione del rischio interno, preventivo e integrato nella visione di business, per essere non solo in grado di rispondere in modo adeguato a eventuali minacce, più o meno esplicite, ma anche di contribuire a rendere l’azienda più efficiente e produttiva, riducendo ogni potenziale interruzione.
Ferdinando Mancini, Director, Southern Europe & Israel Sales Engineering