Per la maggior parte dei team di gestione dei rischi interni, la principale preoccupazione è rappresentata dai collaboratori in uscita dall’azienda, e per un buon motivo. Che si tratti di negligenza o dolo, i collaboratori in uscita dall’azienda spesso si sentono in diritto di rivendicare la proprietà intellettuale che hanno creato e vogliono portarla con loro quando se ne vanno. La buona notizia è che i collaboratori dimissionari possono essere monitorati in un gruppo ad alto rischio. Ma che dire delle altre minacce interne meno frequenti, ma altrettanto dannose tra cui spionaggio, sabotaggio e frode? Il team di gestione dei rischi interni di una grande compagnia di assicurazione sanitaria ha cercato di capire quali rischi nascosti potevano celarsi nella loro azienda.
In questo articolo, spieghiamo come questa compagnia di assicurazione sanitaria internazionale ha scoperto una nuova minaccia interna - la frode del tempo - e utilizzato Proofpoint Insider Threat Management (ITM) per ridurre i rischi e proteggere le sue attività.
Un approccio manuale frammentato alla gestione dei rischi interni
Nel 2024, la compagnia di assicurazione sanitaria ha affrontato numerose sfide. Con la crescita della compagnia, è aumentato anche il volume delle informazioni di identificazione sanitaria, che rappresentano la linfa vitale della sua attività. Nel corso del decennio precedente, la compagnia ha effettuato numerose acquisizioni, dando luogo a una combinazione eterogenea di pratiche e culture di sicurezza. Inoltre, impiegava un numero significativo di lavoratori stagionali durante il periodo di adesione ai benefici sociali, aumentando così il numero di collaboratori esterni con accesso a dati sensibili.
A peggiorare la situazione, il team di gestione dei rischi interni utilizzava uno strumento di vecchia generazione che non forniva la visibilità necessaria. In effetti, il team utilizzava numerosi strumenti diversi per analizzare gli incidenti di origine interna. Doveva perciò raccogliere informazioni da numerose fonti per avere un quadro complessivo della situazione In alcuni casi, ci sono volute oltre 12 ore per fare delle ricerche nei log Microsoft e trovare un solo punto dati. Inoltre, lo strumento di vecchia generazione utilizzato dal team richiedeva l’installazione di un agent sul computer dell’utente prima prima del verificarsi di qualsiasi comportamento a rischio. Data la natura imprevedibile delle minacce interne, lo strumento era praticamente inutile.
Dopo un’attenta analisi delle soluzioni disponibili, il team di gestione dei rischi interni ha scelto Proofpoint ITM. Il team ha scelto la soluzione per la sua visibilità approfondita, l’accesso ai dati storici degli utenti che facilitano le analisi, i controlli di rischio adattivi e l’efficienza operativa.
Rilevamento dei rischi sconosciuti grazie al monitoraggio dinamico
Qualche mese dopo aver implementato Proofpoint ITM, il team di gestione dei rischi interni lo ha utilizzato per identificare proattivamente numerose minacce interne, il che ha permesso di evitare danni all'azienda.
Uno dei casi d’uso principali identificato dal team è stata la frode del tempo di lavoro. Tale frode si verifica quando un utente viene retribuito per svolgere un lavoro che in realtà non svolge, ma che affida a qualcun altro. La frode del tempo di lavoro è considerata una minaccia interna a causa del danno che può derivare dall'uso improprio dell'accesso autorizzato alla rete, ai sistemi o ai dati dell'azienda.
Il team di gestione dei rischi interni della compagnia di assicurazione sanitaria aveva ricevuto segnalazioni di possibili frodi del tempo di lavoro. Ai fini delle loro indagini, hanno creato delle policy dinamiche per rilevare quando i collaboratori utilizzavano la condivisione dello schermo del loro desktop. Le policy dinamiche possono identificare proattivamente i comportamenti a rischio e attivarsi in caso di allarme. A differenza delle policy statiche, le policy dinamiche si basano sui comportamenti a rischio e non su un utente o gruppo di utenti che compie un’azione pericolosa. Questo approccio adattivo aiuta a scoprire i rischi sconosciuti, fornendo ai team della gestione dei rischi interni avvisi fruibili e proteggendo la privacy degli utenti.
Grazie alle policy dinamiche, il team di gestione dei rischi interni ha rilevato diversi casi in cui gli utenti hanno subappaltato il loro lavoro dando a terzi il controllo del loro desktop attraverso Zoom o Teams. Si sono verificati numerosi incidenti, la cui durata variava da 5 minuti a 8 ore. Grazie ai metadati dettagliati e alle schermate catturate da Proofpoint ITM, il team ha potuto raccogliere le prove necessarie per confermare il comportamento a rischio. Ha così potuto creare un caso in pochi minuti, e non giorni, velocizzando le indagini.
In un caso simile, ha potuto dimostrare che un nuovo assunto della compagnia di assicurazione sanitaria continuava a lavorare per il suo precedente datore di lavoro, svolgendo di fatto un doppio lavoro. Proofpoint ITM ha fornito alla compagnia di assicurazioni la visibilità di cui aveva bisogno per rilevare questo comportamento a rischio e questa violazione delle policy aziendali.
Proofpoint ha permesso di ridurre il rischio e aumentare l’efficienza operativa
Grazie a Proofpoint ITM, la compagnia di assicurazione sanitaria ha ottenuto diversi vantaggi, tra cui:
- Riduzione dei rischi. Grazie alla visibilità offerta da Proofpoint, il team di gestione dei rischi interni è stato in grado di intervenire non appena rilevato il problema, contribuendo a limitare i rischi in modo proattivo. Il team ha utilizzato una dashboard delle attività degli utenti (explorations) per visualizzare gli eventi e gli incidenti in tempo reale, contribuendo a guidare le indagini proattive.
- Efficienza operativa. Informazioni contestuali e prove forensi hanno aiutato il team a velocizzare le indagini e risolvere gli incidenti (fino a tre al giorno). Le prove erano inconfutabili il che ha permesso al team di prendere decisioni informate e agire rapidamente.
- Programma maturo di gestione delle minacce interne. Il team di gestione dei rischi interni desiderava esplorare casi d'uso che andassero oltre le indagini tradizionali, come i collaboratori in uscita dall’azienda. Le policy dinamiche all’interno di Proofpoint ITM hanno permesso al team di gestire le violazioni delle policy e della sicurezza, lavorare in modo più efficiente e identificare proattivamente le aree di rischio. Il programma ha così acquisito maggiore maturità, il team si è ampliato e l’azienda ha guadagnato valore aggiunto.
Il team di gestione dei rischi interni della compagnia di assicurazione sanitaria ha ottenuto due importanti benefici nel momento in cui ha sostituito lo strumento manuale obsoleto utilizzato con Proofpoint ITM, una soluzione in grado di identificare i comportamenti a rischio in tempo reale. La seguente tabella riassume questi benefici:
|
Requisito |
Prima: strumento di vecchia generazione |
Dopo: Proofpoint ITM |
|
Implementazione di un agent endpoint |
Implementazione sui computer di specifici utenti, potenzialmente a rischio |
Implementazione estesa su 70.000 utenti, senza impatto sulla produttività grazie all’agent leggero |
|
Monitoraggio |
Reattivo - basato su utenti o gruppi di utenti specifici |
Dinamico - attivazione automatica in presenza di un comportamento a rischio |
|
Visibilità |
Limitata |
In tempo reale |
|
Prove forensi |
Nessuna |
Metadati dettagliati e schermate |
Per saperne di più
- Scopri come Proofpoint può aiutarti a ridurre i rischi interni.
- Guarda un webinar per saperne di più sulle policy dinamiche e sulla gestione adattiva dei rischi interni.
