Lo scenario è tutt’altro che improbabile: un dipendente si dimette per passare alla concorrenza, ma prima di lasciare l’azienda scarica documentazione strategica sensibile da portare con sé. Si tratta di una situazione certamente spiacevole, potenzialmente rischiosa per il business, che potrebbe interessare elenchi clienti o fornitori, informazioni organizzative confidenziali, o addirittura proprietà intellettuale.

Che si tratti di un contesto reale lo conferma una recente ricerca di Proofpoint, secondo cui il 52% dei CISO italiani ritiene che i dipendenti che hanno lasciato l’azienda abbiano contribuito a una perdita di dati.

Di certo il rischio insider è salito gradualmente di livello nelle priorità di sicurezza delle aziende, diventando una delle principali preoccupazioni dei CISO, ma interessando man mano anche i vertici. È una buona notizia, e con il supporto del management, è possibile definire e implementare un piano di gestione del rischio interno che risponda alle necessità di protezione dell’azienda.

Ferdinando Mancini è Director, Southern Europe & Israel Sales Engineering di Proofpoint

Perché è importante avere un programma di gestione del rischio interno?

Prima di descrivere come realizzare un programma efficace contro il rischio insider, è importante comprendere perché sia così importante. Questi i tre motivi principali:

• Passare a un approccio proattivo. Muovendosi in anticipo, è possibile prevenire gli incidenti interni invece di reagirvi, evitando così danni finanziari e al brand.
• Avere una visione più chiara di utenti e dati a rischio. Una volta compreso chi sono i dipendenti a rischio e i dati e sistemi più importanti per l’azienda, è possibile accertarsi che i controlli di sicurezza siano attivi per proteggerli.
• Migliorare i tempi di risposta. Con processi e procedure definite, è possibile ottimizzare i tempi di risposta. Stabilire chiaramente le attività da mettere in campo, quando e da parte di chi, aiuta a risparmiare tempo nel momento in cui è più necessario, soprattutto quando è richiesta una risposta interfunzionale.

Come procedere per definire un programma efficace?

Per avviare un nuovo programma sul rischio interno (insider risk management, o IRM) o migliorare quello esistente, è opportuno seguire i seguenti passaggi:

1: Comporre il team

Un programma di successo prevede la designazione di un responsabile esecutivo e di un comitato direttivo, oltre alla creazione di un team di lavoro interfunzionale.

Gestire il rischio interno va considerata una responsabilità di squadra, perché coinvolge tutta l’azienda, compresi i dipartimenti legali, di risorse umane (HR), compliance, responsabili delle linee di business, dirigenti e persino il consiglio di amministrazione. Tutti i gruppi devono lavorare insieme per raggiungere l’obiettivo comune di ridurre il rischio organizzativo. Fondamentale in questo senso è disporre di un supporto esecutivo interno, che sostenga e promuova il programma e aiuti a superare i blocchi.

2: Definire gli obiettivi

Obiettivo di un programma IRM è evitare che un rischio insider si trasformi in minaccia, evento che accade quando un individuo in una posizione di fiducia danneggia l’azienda, intenzionalmente o meno.

È necessario delineare ciò che rende l’organizzazione vulnerabile, applicando i passaggi seguenti:

• Identificare gli insider a rischio. Possono essere dipendenti con accesso privilegiato, collaboratori, Very Attacked People, dirigenti, e molti altri. In sostanza, gli utenti a rischio variano a seconda dell’azienda.
• Definire i dati sensibili. Finché non è chiaro quali siano quelli sensibili, non li si potrà proteggere.
• Stabilire requisiti di conformità. Un programma olistico che garantisca il rispetto dei requisiti di privacy può soddisfare meglio alcune normative di compliance.
• Bilanciare le esigenze aziendali. È necessario trovare il giusto equilibrio tra esigenze aziendali, controlli di sicurezza, come la prevenzione della perdita di dati, e produttività degli utenti.

3: Comprendere le proprie capacità

Prima di pianificare ogni programma, è necessario comprendere la situazione attuale. Il punto di partenza è una valutazione critica delle attuali capacità, degli investimenti e del livello di efficacia del programma contro il rischio insider. Questo processo può aiutare a rispondere a domande chiave come:

• Abbiamo le capacità di rilevamento, risposta, analisi e prevenzione di cui abbiamo bisogno? Quali sono i nostri limiti?
• Abbiamo visibilità su tutti i canali, compresi e-mail, endpoint, cloud e web?
• Quali sono i nostri punti deboli o le nostre lacune nella copertura?
• Come possiamo sfruttare al meglio gli investimenti esistenti se implementiamo un programma più completo?

4: Agire

È importante stabilire un processo operativo di sicurezza che consenta agli analisti di reagire, effettuare una valutazione del rischio reale e successivamente un’eventuale escalation, seguendo canali predefiniti. Playbook operativi chiaramente definiti possono aiutare a guidare le indagini e le azioni di mitigazione.

In particolare, è essenziale definire il processo di escalation in collaborazione con risorse umane, uffici legali, compliance, leadership esecutiva e l'azienda stessa. Un passaggio fondamentale prevede che la base di utenti interessati riconosca e accetti il monitoraggio dei comportamenti a rischio.

5: Ripetere i processi

Una volta che il programma è stato avviato, è consigliabile ripeterlo regolarmente e farlo evolvere in base alle esigenze aziendali, secondo le azioni che seguono:

• Sviluppare obiettivi e tappe fondamentali per far crescere il programma in modo intenzionale e non reattivo.
• Identificare metriche basate sugli step concordati e sulla crescita del programma.
• Collaborare con gli stakeholder per garantire che le priorità aziendali siano soddisfatte e il programma possa scalare.
• Automatizzare prevenzione e remediation in modo che gli analisti ottengano efficienza, risparmiando tempo.

Questi cinque passaggi rappresentano un approccio strategico alla gestione del rischio interno, preventivo e integrato nella visione di business, per essere non solo in grado di rispondere in modo adeguato a eventuali minacce, più o meno esplicite, ma anche di contribuire a rendere l’azienda più efficiente e produttiva, riducendo ogni potenziale interruzione.

Ferdinando Mancini è Director, Southern Europe & Israel Sales Engineering di Proofpoint