Gestire il rischio legato agli insider è possibile. Ecco qualche indicazione di Proofpoint suik passi da seguire.
Autore: Ferdinando Mancini è Director, Southern Europe & Israel
Lo scenario è tutt’altro che improbabile: un dipendente si dimette per passare alla concorrenza, ma prima di lasciare l’azienda scarica documentazione strategica sensibile da portare con sé. Si tratta di una situazione certamente spiacevole, potenzialmente rischiosa per il business, che potrebbe interessare elenchi clienti o fornitori, informazioni organizzative confidenziali, o addirittura proprietà intellettuale.
Che si tratti di un contesto reale lo conferma una recente ricerca di Proofpoint, secondo cui il 52% dei CISO italiani ritiene che i dipendenti che hanno lasciato l’azienda abbiano contribuito a una perdita di dati.
Di certo il rischio insider è salito gradualmente di livello nelle priorità di sicurezza delle aziende, diventando una delle principali preoccupazioni dei CISO, ma interessando man mano anche i vertici. È una buona notizia, e con il supporto del management, è possibile definire e implementare un piano di gestione del rischio interno che risponda alle necessità di protezione dell’azienda.
Prima di descrivere come realizzare un programma efficace contro il rischio insider, è importante comprendere perché sia così importante. Questi i tre motivi principali:
Per avviare un nuovo programma sul rischio interno (insider risk management, o IRM) o migliorare quello esistente, è opportuno seguire i seguenti passaggi:
Un programma di successo prevede la designazione di un responsabile esecutivo e di un comitato direttivo, oltre alla creazione di un team di lavoro interfunzionale.
Gestire il rischio interno va considerata una responsabilità di squadra, perché coinvolge tutta l’azienda, compresi i dipartimenti legali, di risorse umane (HR), compliance, responsabili delle linee di business, dirigenti e persino il consiglio di amministrazione. Tutti i gruppi devono lavorare insieme per raggiungere l’obiettivo comune di ridurre il rischio organizzativo. Fondamentale in questo senso è disporre di un supporto esecutivo interno, che sostenga e promuova il programma e aiuti a superare i blocchi.
Obiettivo di un programma IRM è evitare che un rischio insider si trasformi in minaccia, evento che accade quando un individuo in una posizione di fiducia danneggia l’azienda, intenzionalmente o meno.
È necessario delineare ciò che rende l’organizzazione vulnerabile, applicando i passaggi seguenti:
Prima di pianificare ogni programma, è necessario comprendere la situazione attuale. Il punto di partenza è una valutazione critica delle attuali capacità, degli investimenti e del livello di efficacia del programma contro il rischio insider. Questo processo può aiutare a rispondere a domande chiave come:
È importante stabilire un processo operativo di sicurezza che consenta agli analisti di reagire, effettuare una valutazione del rischio reale e successivamente un’eventuale escalation, seguendo canali predefiniti. Playbook operativi chiaramente definiti possono aiutare a guidare le indagini e le azioni di mitigazione.
In particolare, è essenziale definire il processo di escalation in collaborazione con risorse umane, uffici legali, compliance, leadership esecutiva e l'azienda stessa. Un passaggio fondamentale prevede che la base di utenti interessati riconosca e accetti il monitoraggio dei comportamenti a rischio.
Una volta che il programma è stato avviato, è consigliabile ripeterlo regolarmente e farlo evolvere in base alle esigenze aziendali, secondo le azioni che seguono:
Questi cinque passaggi rappresentano un approccio strategico alla gestione del rischio interno, preventivo e integrato nella visione di business, per essere non solo in grado di rispondere in modo adeguato a eventuali minacce, più o meno esplicite, ma anche di contribuire a rendere l’azienda più efficiente e produttiva, riducendo ogni potenziale interruzione.
Ferdinando Mancini è Director, Southern Europe & Israel Sales Engineering di Proofpoint