I rischi interni sono oggi una delle principali minacce informatiche per le aziende. Con utente interno intendiamo un collaboratore, una terza parte o un partner commerciale con accesso legittimo alla rete, ai sistemi o ai dati dell’azienda. Alcuni utilizzano in modo improprio il loro accesso intenzionalmente, mentre altri commettono errori o sono vittime dei criminali informatici.
Il costo di queste minacce aumenta di anno in anno. Secondo il Ponemon Institute, il costo medio di una minaccia interna ammonta oggi a 17,4 milioni di dollari rispetto ai 16,2 milioni di dollari nel 2023. Inoltre, il report sul costo delle violazioni dei dati di IBM mostra che le violazioni causate da utenti interni malintenzionati sono i più costosi, con una media di 4,99 milioni di dollari per incidente.
Si tratta di un rischio che le aziende non possono permettersi di ignorare. Quindi, come proteggere la tua azienda? In primis, è importante comprendere i rischi e implementare un solido programma di gestione delle minacce interne. Analizziamo in dettaglio in costa consistono le minacce interne, perché sono così pericolose e come contrastarle.
Comprendere le minacce interne
Le minacce interne possono essere intenzionali o accidentali. In ogni caso, possono portare a gravi incidenti di sicurezza con implicazioni importanti.
Tipi di minacce interne
Comprendere le i diversi tipi di minacce interne è cruciale per l’implementazione di misure di sicurezza efficaci per proteggere i dati sensibili dell’azienda. Ecco i principali tipi da tenere presente:
- Utenti interni malintenzionati. Individui che causano intenzionalmente un danno, come il furto, la perdita o la distruzione di dati.
- Utenti interni negligenti. Utenti che mettono inconsapevolmente i dati in pericolo.
- Utenti interni compromessi. Utenti i cui account sono sotto il controllo di criminali informatici esterni all’azienda.
Come gli utenti interni diventano una minaccia
Le minacce interne generalmente ricadono in due categorie: accidentali e intenzionali.
Minacce interne accidentali
Questo tipo di minaccia interna solitamente è causato da utenti negligenti, che commettono errori in buona fede come, per esempio, scaricare malware. Questi utenti possono anche eseguire azioni a rischio, come inviare email alle persone sbagliate, allegare file sbagliati o trasferire dati sensibili ai loro account email personali per scopi lavorativi.
Sebbene questi tipi di incidenti possono sembrare innocui, le loro conseguenze possono essere disastrose. Ciò è particolarmente vero in casi dove informazioni sensibili o riservate vengono condivise con la persona, il cliente o il fornitore sbagliato. Questi incidenti sono anche difficili da prevedere e rilevare e possono passare inosservati finché non si verifica un danno significativo.
Minacce interne intenzionali
Questo tipo di minaccia interna è causata da utenti malintenzionati che possono essere collaboratori, partner commerciali, liberi professionisti o altre terze parti che hanno accesso a dati sensibili e a sistemi critici. Possono commettere intenzionalmente frodi, sabotaggi o spionaggio per interessi personali, per danneggiare l’azienda o entrambe le cose.
La perdita di dati sensibili può essere estremamente dannosa e penalizzante. Secondo il report Data Loss Landscape 2024 di Proofpoint, l’85% delle aziende coinvolte ha affermato di aver subito un incidente di perdita di dati. Per il 50% di queste, gli incidenti hanno causato un’interruzione delle attività.
Casi rilevanti di minacce interne
Oltre le violazioni dei dati: il caso di un ingegnere di Google
Il caso di Linwei Ding, un ex ingegnere Google, è un esempio significativo di minaccia interna. Alcuni pubblici ministeri statunitensi lo hanno accusato di aver rubato segreti commerciali sull’intelligenza artificiale mentre lavorava in segreto per due aziende cinesi.
Cosa è successo?
Secondo quanto riportato Ding è accusato di aver trasferito oltre 1.000 file riservati di Google, che includevano dettagli sui supercomputer di Google utilizzati per l’addestramento dell’IA. Alcuni schemi di chip rubati avrebbero dato a Google un vantaggio su rivali come Amazon e Microsoft. L’ingegnere aveva legami segreti con aziende cinesi con il progetto di diventare il CTO di una delle due. È stato arrestato prima che potesse lasciare gli Stati Uniti.
Perché è importante?
Le minacce interne non si limitano alle perdite di dati, ma possono implicare il furto di proprietà intellettuale, sabotaggio e anche rischi per la sicurezza nazionale. Questo caso mostra che anche le principali aziende di tecnologia sono vulnerabili. Una solida sicurezza interna è importante tanto quanto le difese contro i pericoli esterni.
Spionaggio industriale nella tecnologia: Rippling contro Deel
Rippling, una startup di gestione della forza lavoro, ha fatto causa al suo concorrente Deel, accusandolo di spionaggio industriale.
Cosa è successo?
Un collaboratore di Rippling avrebbe effettuato migliaia di ricerche non autorizzate, raccogliendo dati interni su Deel. Quando il team della sicurezza di Rippling ha rilevato l’attività insolita del collaboratore, ha creato un falso canale Slack denominato “d-defectors” (disertori-d) come esca per dimostrare che la dirigenza di Deel era coinvolta. Quindi ha inviato una lettera citando il canale Slack a tre dirigenti senior. Poco dopo, l’utente malintenzionato ha cercato di accedervi, confermando così i sospetti.
Di fronte all’ingiunzione del tribunale di consegnare il suo telefono, il dipendente si è chiuso in bagno, presumibilmente per cancellare le prove. Quando è stato avvertito che la cancellazione delle prove avrebbe potuto portarlo in prigione, ha affermato di essere “disposto a correre questo rischio”.
Perché è importante?
Questo non è un semplice caso di furto di dati, ma di spionaggio industriale. Le minacce interne non sempre sono il risultato di violazioni esterne, ma sono causate da collaboratori di fiducia che agiscono dall’interno dell’azienda. Questo caso illustra perché le aziende hanno bisogno di difese che vadano oltre una solida sicurezza informatica. Devono anche essere in grado di identificare i comportamenti sospetti prima che causino danni.
Obiettivi di un programma di gestione delle minacce
Rilevamento delle potenziali minacce interne
Un rilevamento tempestivo è fondamentale. Ciò significa utilizzare strumenti come l’analisi comportamentale e il monitoraggio delle attività degli utenti per identificare le attività insolite. Per esempio, un collaboratore che inizia improvvisamente a scaricare grandi quantità di dati sensibili o a accedere a file al di fuori del suo normale ambito lavorativo, potrebbe essere indice di una minaccia potenziale.
Prevenzione degli incidenti attraverso la formazione e la sensibilizzazione
Molte minacce interne sono causate dalla negligenza, motivo per cui la sensibilizzazione degli utenti alla sicurezza informatica è così importante. Fornisci ai tuoi collaboratori le conoscenze necessarie per rispettare i protocolli di sicurezza e riconoscere i comportamenti sospetti.
Creazione di processi per l’analisi e la risposta alle minacce
Anche con le migliori misure di prevenzione, gli incidenti interni accadono comunque. Quando si verificano, le aziende hanno bisogno di un chiaro piano per studiare la situazione e rispondere rapidamente. È necessario un team dedicato che può analizzare gli eventi e intraprendere le azioni appropriate, monitoraggio dell’utente, misure disciplinari o azioni legali.
Il giusto equilibrio tra sicurezza e privacy
Uno dei principali obiettivi di tutti i programmi di gestione delle minacce interne è trovare il giusto equilibrio tra la privacy dell’utente e i controlli di sicurezza. L’ascesa della trasformazione digitale ha portato a un aumento massiccio del volume dei dati, mentre le informazioni aziendali sensibili sono più vulnerabili a causa del telelavoro e della proliferazione dei dispositivi. Proteggere questi dati è importante ma le modalità di questa protezione devono rispettare la privacy degli utenti.
In tutto il mondo, le autorità hanno emanato normative per regolare questo equilibrio, tra cui:
- GDPR (Regolamento generale sulla protezione dei dati)
- CCPA (California Consumer Privacy Act, legge sulla protezione dei consumatori della California)
- HIPAA (Health Insurance Portability and Accountability Act, legge sulla portabilità e responsabilità in termini di assicurazione sanitaria)
- LGPD (Lei Geral de Proteção de Dados, legge generale sulla protezione dei dati)
Queste leggi sono sempre più complesse e la conformità è una priorità per i team delle risorse umane e dei servizi legali. Per essere efficace, il tuo programma dovrebbe rispondere alle domande seguenti:
- Come verranno raccolti, utilizzati e eliminati i dati?
- Come sarà protetta la privacy?
- Quali controlli saranno implementati?
- Come sarà salvaguardata la proprietà intellettuale?
Rispondendo a queste preoccupazioni, il tuo programma può proteggere i dati sensibili rispettando il diritto alla privacy e la cultura aziendale.
Protezione delle risorse critiche e della proprietà intellettuale
La ragion d’essere di un programma di gestione delle minacce interne è proteggere le risorse aziendali di valore, come i segreti commerciali, i documenti finanziari e i dati dei clienti. Puoi ridurre i rischi implementando controlli d’accesso, crittografando i dati sensibili e utilizzando strumenti di prevenzione della perdita dei dati (DLP) per proteggere i dati sensibili e limitare l’accesso a quei dati. Un altro importante passaggio è limitare l’accesso ai dati confidenziali in base al ruolo dei tuoi collaboratori e rimuovere l’accesso quando un collaboratore lascia l’azienda.
Componenti chiave di un programma di gestione delle minacce interne
Un programma efficace di gestione delle minacce interne richiede un approccio completo che riunisca personale, tecnologie, policy, formazione e valutazioni costanti.
Definizione dei ruoli del team di gestione delle minacce interne
Hai bisogno di un team dedicato per gestire e mitigare le minacce interne. Questo team dovrebbe includere membri di diversi dipartimenti dell’azienda:
- Sicurezza, per gestire i rischi legati alla sicurezza, tra cui l’identificazione dei rischi e l’implementazione di strategie per proteggersi
- Risorse umane per far applicare le policy e gestire di qualsiasi comportamento problematico dei collaboratori
- Servizi legali e conformità per assicurare che l’azienda rispetti la legislazione e le normativa e gestire le implicazioni legali in caso di infrazione
I dirigenti responsabile del progetto forniranno una supervisione e un orientamento strategico.
Implementazione di tecnologia e strumenti
Gli strumenti giusti devono disporre di funzionalità come le seguenti:
- Monitoraggio delle attività per tracciare il comportamento degli utenti e lo spostamento dei dati
- Analisi comportamentale ottimizzata dall’IA per identificare gli schemi degli utenti a rischio
- Controlli d’accesso e della privacy per limitare l’accesso ai dati in base ai ruoli degli utenti
- Registri di verifiche e analisi per identificare i rischi potenziali
- Rilevamento delle anomalie guidato dall’IA per il riconoscimento degli schemi
Creazione di policy e procedure
È importante stabilire delle regole per la mitigazione dei rischi, tra cui:
- Policy d’uso accettabili, per definire l’utilizzo accettabile delle risorse aziendali
- Policy dei controlli d’accesso per limitare e monitorare l’accesso ai dati
- Procedure di segnalazione per incoraggiare i collaboratori a segnalare le attività sospette
- Azioni disciplinari per sanzionare le violazioni delle policy stabilite
Formazione regolare dei collaboratori
I collaboratori che sono stati formati sulle minacce interne hanno maggiori probabilità di riconoscere i rischi e reagire con fiducia. Una formazione efficace dovrebbe coprire i seguenti temi:
- Riconoscimento delle minacce interne. I collaboratori devono essere in grado di riconoscere i segnali di avviso come le richieste di accesso insolite, i trasferimenti di grandi volumi di dati o improvvisi cambiamenti nel comportamento. Una cultura della vigilanza permette un rilevamento tempestivo.
- Buone pratiche informatiche. Sono essenziali solide abitudini di sicurezza (password sicure, sensibilizzazione al phishing e gestione sicura dei dati). La formazione deve trattare argomenti come l’autenticazione a più fattori (MFA), social engineering e l’eliminazione adeguata dei dati.
- Privacy e conformità. La formazione de affrontare la classificazione dei dati, le normative chiave e le conseguenze della mancata conformità.
Progettazione di un piano di risposta agli incidenti
Un piano di risposta agli incidenti strutturato ti consente di limitare i danni e ripristinare rapidamente la situazione. Dovrebbe includere i seguenti elementi:
- Identificazione e contenimento. Per isolare rapidamente i sistemi o i collaboratori interessati.
- Indagini e valutazione. Per stabilire la portata e l’impatto della minaccia.
- Mitigazione dei rischi e remediation. Per implementare misure correttive.
- Analisi post-incidente. Per apprendere dagli incidenti al fine di migliorare le strategie di risposta future.
Misurazione dell’efficacia
Per verificare l’efficacia del tuo programma, devi tracciare indicatori di prestazione chiari come il numero di incidenti rilevati, i tempi di risposta e il livello di conformità dell’azienda con le policy di sicurezza. Potrai così individuare i punti deboli, migliorare la formazione, affinare le tue strategie e rafforzare la tua sicurezza complessiva.
È inoltre importante raccogliere le opinioni dei collaboratori tramite sondaggi, valutare la loro sensibilizzazione alla sicurezza informatica e controllare il loro rispetto delle policy di sicurezza.
Conclusione
Le aziende non possono permettersi di ignorare le minacce interne. Che siano frutto di dolo o negligenza, possono portare a gravi incidenti causati da utenti interni, con conseguenti perdite finanziarie e danni alla reputazione. Per questo motivo avere un programma di gestione delle minacce interne proattivo è così importante. Affidati al rilevamento tempestivo, a policy chiare, alla formazione dei collaboratori e ai giusti strumenti di sicurezza per ridurre i rischi e proteggere le tue risorse strategiche.
Questo è il momento ideale per esaminare le tue misure di sicurezza. La tua strategia di rilevamento e di mitigazione delle minacce interne è sufficientemente efficace? Se desideri creare o ottimizzare il tuo programma di gestione delle minacce interne, scopri come iniziare con questo eBook.