Ogni volta che assumiamo qualcuno, partiamo dal presupposto che sarà leale verso l’azienda e rispetterà le sue policy e i suoi dati sensibili. Purtroppo, la realtà è ben diversa. Pertanto, è fondamentale fare il possibile per garantire la sicurezza e la sacralità dell’azienda e dei dati aziendali e personali critici a cui abbiamo accesso.
È passato un anno da quando ho scritto dei rischi posti dai nuovi assunti nei primi 90 giorni. L'adozione delle tecnologie deepfake e l’IA generativa hanno reso sempre più facile per i criminali informatici farsi passare per candidati credibili. Il mese della sensibilizzazione alle minacce interne è una buona opportunità per valutare la tua strategia per la selezione di nuovi collaboratori e rivedere i tuoi controlli di sicurezza durante i primi mesi di lavoro di un collaboratore. Dopo tutto, non desideri certamente che il tuo nuovo assunto si trasformi nella prossima minaccia interna.
La nuova realtà
I criminali informatici hanno sempre preso di mira le aree più vulnerabili delle aziende. Quando tutti noi ogni giorno ci recavamo in ufficio, infiltrarsi con intenti dolosi era molto difficile. Tuttavia, questo non è il mondo in cui viviamo oggi. Il telelavoro ha ridotto la visibilità sulle persone, limitandola quasi esclusivamente alle loro identità digitali. Oggi con le tecnologie deepfake e l’IA generativa è facile creare facciate in grado di fornire le risposte più probabili e esprimerle in modo chiaro.
Con la crescente richiesta ai team HR di esaminare un numero sempre maggiore di candidature per ogni posizione, sono stati introdotti strumenti di IA e machine learning per valutare i curriculum e gestire il primo contatto con i candidati. Questa necessità aziendale gioca a favore delle capacità dei criminali informatici, che hanno l'esperienza e gli strumenti per dedurre gli elementi critici degli annunci di lavoro e creare le giuste identità per superare le selezioni iniziali come ottimi candidati. Questo potrebbe essere il primo segnale d’allarme: se un candidato sembra troppo perfetto per essere vero, probabilmente non lo è. Così è stato per KnowBe4 che ha assunto involontariamente un criminale informatico nordcoreano che si fingeva un ingegnere software nel 2024.
Best practice per ridurre i rischi legati ai nuovi assunti
Implementare processi di selezione rigorosi
I team delle risorse umane devono adattare i propri processi per garantire che gli utenti interni malintenzionati non passino inosservati. Di seguito diversi passaggi che possono ridurre i rischi posti da un nuovo assunto:
- Registrazione del colloquio. Con il consenso del candidato, registra il colloquio. Assicurati che questo passaggio sia stato approvato dall’ufficio legale, ma è importante assicurarti che sia il candidato sia il selezionatore agiscano in buona fede.
- Studio approfondito dei candidati. Utilizzando gli strumenti disponibili e l'intervento manuale, metti a confronto il percorso professionale del candidato con i social media pubblici, i luoghi di lavoro e le residenze. Cerca discrepanze tra ciò che è incluso nel curriculum e i riscontri dei datori di lavoro precedenti.
- Controlli rigorosi sui precedenti. Utilizza gli strumenti legali forniti per eseguire controlli sui precedenti e assicurati che le persone non compaiano negli elenchi di criminali al soldo degli Stati. Assicurati che gli indirizzi email e i numeri di telefono forniti siano attivi. Non fidarti delle referenze via email; parla con persone che hanno lavorato con il candidato.
Ci sono molti strumenti disponibili per effettuare i controlli di cui sopra e molte aziende li stanno già utilizzando. Ora è il momento di prendere in considerazione l'elemento più debole del processo: le persone.
Sensibilizzare attraverso una formazione continua e mirata
Per mettere a disposizione suggerimenti e tecniche delle persone che conducono i colloqui, le aziende devono sviluppare solidi processi di formazione di sensibilizzazione alla sicurezza. È importante che gli intervistatori siano a conoscenza delle attuali tendenze di furto d’identità e come contrastarle. Devono sostenere un dialogo più approfondito con il candidato, ponendo domande che vadano oltre i requisiti di base del ruolo e prevedendo interazioni di persona. Per un efficace programma di gestione dei rischi interni, è fondamentale che il team della sicurezza e le risorse umane collaborino e siano allineati. Questa comunicazione continua assicura che, quando viene rilevata un'attività sospetta, esista già un meccanismo di riscontro e un percorso di escalation.
Ad esempio, durante un colloquio passato, ho fatto un commento relativamente a un oggetto sullo sfondo dell'ufficio a casa dell'intervistato. Questo lo ha portato a girare la testa per guardare. Se avesse utilizzato la tecnologia deepfake, questa azione avrebbe prodotto sfocature o un degrado dell'immagine. Quindi, gli ho chiesto di sollevare un altro oggetto di cui stavamo parlando. Se ci fosse stato qualcosa di strano relativamente alla tecnologia di sostituzione digitale della fotocamera, l'immagine sarebbe risultata distorta. Queste richieste hanno inoltre spinto il candidato a parlare di aspetti non legati al lavoro. In questo modo, oltre a verificarne l’autenticità, è stato possibile cogliere qualcosa della persona dietro lo schermo, non soltanto l’immagine mostrata durante il colloquio.
Massima attenzione per i primi 90 giorni
Ora, supponiamo che il colloquio sia andato a buon fine e il candidato venga assunto. I primi 90 giorni possono essere un periodo a rischio in termini di condivisione accidentale di dati, sottrazione dolosa di dati e altri comportamenti pericolosi. Quindi, come assicurarsi che il nuovo assunto si comporti in modo responsabile?
- Forza l'imprevisto. Assicurati che la persona che si presenta il primo giorno sia effettivamente quella che ha sostenuto il colloquio, purtroppo si verificano anche scambi di persona. Se si tratta di un collaboratore in telelavoro, adotta tattiche simili a quelle utilizzate durante le fasi del colloquio: coinvolgi la persona in modo dinamico tramite video per assicurarti che sia chi dice di essere e che non ci sia alcun deepfake o manipolazione dell'immagine. Il modo più efficace per farlo è organizzare sia riunioni programmate sia improvvisate. Coinvolgi il nuovo assunto in una videochiamata senza dargli il tempo di prepararsi. La sua agenda sarà piuttosto libera, quindi non avrà motivi validi per evitare la riunione. Un rifiuto sarebbe un chiaro segnale da non ignorare.
- Tienilo monitorato come utente ad alto rischio. Sul piano tecnologico, tutti i nuovi assunti dovrebbero essere inseriti in gruppi di monitoraggio avanzato per i primi 90 giorni di lavoro. In questo modo si ottiene visibilità — e, se necessario, anche prove forensi — sui comportamenti a rischio. È fondamentale non solo rilevare gli utenti interni malintenzionati che desiderano causare danni, ma anche prevenire la perdita accidentale di dati mentre il nuovo assunto apprende i processi e le procedure dell'azienda.
- Non concedere accessi senza prima formare i nuovi collaboratori. È pratica comune replicare i livelli di accesso del collaboratore precedente e assegnarli al nuovo assunto. Nei sistemi di gestione delle identità e degli accessi (IAM) questa pratica è nota come “diritti ereditari”. Anche se può sembrare logico in termini di uniformità, non dovresti mai accordare l’accesso a dati sensibili senza prima averne spiegato l'uso appropriato al nuovo assunto. In molte aziende, i diritti ereditati per un determinato ruolo concedono ai nuovi assunti l’accesso completo ai sistemi fin dal primo giorno. Anche se il collaboratore è iscritto a un corso di formazione sull'uso accettabile, quel lasso di tempo è più che sufficiente perché un criminale informatico possa approfittarne. Collabora con il team IAM della tua azienda per valutare cosa fare per implementare un sistema di controllo per questi diritti, assegnandoli solo quando i requisiti formativi sono stati soddisfatti. Sovrapponi controlli di sicurezza a questo approccio per prevenire la sottrazione di dati sensibili.
Conclusione
Infine, fidati dell'intuizione umana. Come responsabile delle assunzioni, se noti qualcosa di sospetto, intervieni per intensificare il monitoraggio degli utenti per un breve periodo. Dopotutto, gli esseri umani sono abili nel cogliere anche i segnali sottili. È importante fidarsi del proprio istinto quando si incontra un nuovo collaboratore. Non trascurare elementi che potrebbero causare rischi per la tua azienda. In caso di dubbi, incontrali di persona. Questo contribuirà a sviluppare la fiducia necessaria.
- Per evitare che la tua azienda finisca sui giornali adottando un approccio proattivo alle minacce interne, leggi il nostro blog.
- Consulta il nostro pacchetto iniziale di Proofpoint Insider Threat Management che include numerose risorse sulla creazione e il potenziamento del tuo programma di gestione delle minacce interne.
