Cinque mosse per vincere una partita rischiosa, di Ferdinando Mancini, Director, Southern Europe & Israel Sales Engineering

rsz_ferdinando_mancini_proofpoint

Lo scenario è tutt’altro che improbabile: un dipendente si dimette per passare alla concorrenza, ma prima di lasciare l’azienda scarica documentazione strategica sensibile da portare con sé. Si tratta di una situazione certamente spiacevole, potenzialmente a forte rischio per il business, che potrebbe interessare elenchi clienti o fornitori, informazioni organizzative confidenziali, o addirittura proprietà intellettuale.

Che si tratti di un contesto reale lo conferma una recente ricerca di Proofpoint, secondo cui il 52% dei CISO italiani ritiene che i dipendenti che hanno lasciato l’azienda abbiano contribuito a una perdita di dati.

Di certo il rischio insider è salito gradualmente di livello nelle priorità di sicurezza delle aziende, diventando una delle principali preoccupazioni dei CISO, ma interessando man mano anche i vertici. È una buona notizia, e con il supporto del management, è possibile definire e implementare un piano di gestione del rischio interno che risponda alle necessità di protezione dell’azienda.

Perché è importante avere un programma di gestione del rischio interno?

Prima di descrivere come realizzare un programma efficace contro il rischio insider, è importante comprendere perché sia così importante. Questi i tre motivi principali:

  1. Passare a un approccio proattivo. Muovendosi in anticipo, è possibile prevenire gli incidenti interni invece di reagirvi, evitando così danni finanziari e al brand.
  2. Avere una visione più chiara di utenti e dati a rischio. Una volta compreso chi sono i dipendenti a rischio e i dati e sistemi più importanti per l’azienda, è possibile accertarsi che i controlli di sicurezza siano attivi per proteggerli.
  3. Migliorare i tempi di risposta. Con processi e procedure definite, è possibile ottimizzare i tempi di risposta. Stabilire chiaramente le attività da mettere in campo, quando e da parte di chi, aiuta a risparmiare tempo nel momento in cui è più necessario, soprattutto quando è richiesta una risposta interfunzionale.

Come procedere per definire un programma efficace?

Per avviare un nuovo programma sul rischio interno (insider risk management, o IRM) o migliorare quello esistente, è opportuno seguire i seguenti passaggi:

1: Comporre il team

Un programma di successo prevede la designazione di un responsabile esecutivo e di un comitato direttivo, oltre alla creazione di un team di lavoro interfunzionale.

Gestire il rischio interno va considerata una responsabilità di squadra, perché coinvolge tutta l’azienda, compresi i dipartimenti legali, di risorse umane (HR), compliance, responsabili delle linee di business, dirigenti e persino il consiglio di amministrazione. Tutti i gruppi devono lavorare insieme per raggiungere l’obiettivo comune di ridurre il rischio organizzativo. Fondamentale in questo senso è disporre di un supporto esecutivo interno, che sostenga e promuova il programma e aiuti a superare i blocchi.

2: Definire gli obiettivi

Obiettivo di un programma IRM è evitare che un rischio insider si trasformi in minaccia, evento che accade quando un individuo in una posizione di fiducia danneggia l’azienda, intenzionalmente o meno.

È necessario delineare ciò che rende l’organizzazione vulnerabile, applicando i passaggi seguenti:

  • Identificare gli insider a rischio. Possono essere dipendenti con accesso privilegiato, collaboratori, Very Attacked People, dirigenti, e molti altri. In sostanza, gli utenti a rischio variano a seconda dell’azienda.
  • Definire i dati sensibili. Finché non è chiaro quali siano quelli sensibili, non li si potrà proteggere.
  • Stabilire requisiti di conformità. Un programma olistico che garantisca il rispetto dei requisiti di privacy può soddisfare meglio alcune normative di compliance.
  • Bilanciare le esigenze aziendali. È necessario trovare il giusto equilibrio tra esigenze aziendali, controlli di sicurezza, come la prevenzione della perdita di dati, e produttività degli utenti.

3: Comprendere le proprie capacità

Prima di pianificare ogni programma, è necessario comprendere la situazione attuale. Il punto di partenza è una valutazione critica delle attuali capacità, degli investimenti e del livello di efficacia del programma contro il rischio insider. Questo processo può aiutare a rispondere a domande chiave come:

  • Abbiamo le capacità di rilevamento, risposta, analisi e prevenzione di cui abbiamo bisogno? Quali sono i nostri limiti?
  • Abbiamo visibilità su tutti i canali, compresi e-mail, endpoint, cloud e web?
  • Quali sono i nostri punti deboli o le nostre lacune nella copertura?
  • Come possiamo sfruttare al meglio gli investimenti esistenti se implementiamo un programma più completo?

4: Agire

È importante stabilire un processo operativo di sicurezza che consenta agli analisti di reagire, effettuare una valutazione del rischio reale e successivamente un’eventuale escalation, seguendo canali predefiniti. Playbook operativi chiaramente definiti possono aiutare a guidare le indagini e le azioni di mitigazione.

In particolare, è essenziale definire il processo di escalation in collaborazione con risorse umane, uffici legali, compliance, leadership esecutiva e l’azienda stessa. Un passaggio fondamentale prevede che la base di utenti interessati riconosca e accetti il monitoraggio dei comportamenti a rischio.

5: Ripetere i processi

Una volta che il programma è stato avviato, è consigliabile ripeterlo regolarmente e farlo evolvere in base alle esigenze aziendali, secondo le azioni che seguono:

  • Sviluppare obiettivi e tappe fondamentali per far crescere il programma in modo intenzionale e non reattivo.
  • Identificare metriche basate sugli step concordati e sulla crescita del programma.
  • Collaborare con gli stakeholder per garantire che le priorità aziendali siano soddisfatte e il programma possa scalare.
  • Automatizzare prevenzione e remediation in modo che gli analisti ottengano efficienza, risparmiando tempo.

Questi cinque passaggi rappresentano un approccio strategico alla gestione del rischio interno, preventivo e integrato nella visione di business, per essere non solo in grado di rispondere in modo adeguato a eventuali minacce, più o meno esplicite, ma anche di contribuire a rendere l’azienda più efficiente e produttiva, riducendo ogni potenziale interruzione.

Ferdinando Mancini, Director, Southern Europe & Israel Sales Engineering