Parlando di minacce interne alla cyber security, la più grande risorsa delle organizzazioni odierne – le persone – rappresenta anche il più grande rischio. Molte aziende saranno probabilmente d’accordo sul fatto che la maggior parte dei loro dipendenti non ha una educazione alla sicurezza adeguata all’adozione di tutte le precauzioni per prevenire le fughe di dati. In realtà, secondo il 2021 Data Breach Investigations Report di Verizon, ben l’85% delle violazioni coinvolge una componente umana.
Le minacce interne sono in crescita per molte ragioni: da dipendenti vittime del phishing alla condivisione dei privilegi utente. Ma i lavoratori non sono gli unici “insider” di cui le organizzazioni devono preoccuparsi. Sono molte le definizioni di minacce interne, che hanno portato ad alcune idee sbagliate su cosa siano realmente, e su come proteggersi.
Cos’è una minaccia interna?
Una minaccia interna, o insider threat, nasce quando una persona interna – intenzionalmente o meno – abusa del proprio accesso ai dati aziendali, causando un potenziale impatto negativo su riservatezza, integrità o disponibilità delle informazioni o dei sistemi critici di un’organizzazione.
Le minacce interne possono provenire da qualsiasi persona a ogni livello in azienda. Gli insider non sono solo i dipendenti, attuali o ex, ma anche terze parti, come fornitori, appaltatori e partner.
Ora, diamo un’occhiata ai tre principali miti associati alle minacce interne.
Mito #1: le minacce interne sono sempre dolose
Un malinteso comune sulle minacce interne è che siano sempre dolose, ma secondo un recente studio di Ponemon Institute, questa tipologia è solo una delle tre categorie più comuni e rappresenta solo il 23% degli incidenti definibili insider threat.
I tre tipi più comuni di minacce interne sono:
- Insider doloso: chi ha l’intento volontario di danneggiare l’organizzazione dall’interno
- Insider negligente: dipendente o terzo che commette un errore o non segue diligentemente le procedure causando involontariamente degli incidenti
- Insider compromesso: vittima di una truffa di credential phishing, che concede ai ladri credenziali di accesso non autorizzato ad applicazioni e sistemi.
La minaccia interna più comune è rappresentata dagli insider negligenti, con il 62% in base ai i dati del report Ponemon. Eppure, gli insider compromessi, che secondo Ponemon rappresentano solo il 14% di provenienza interna, costano alle organizzazioni tre volte di più per incidente rispetto a un insider negligente (871.686 dollari per incidente, in media).
Mito #2: Perdita di dati e rischi provenienti dall’interno sono problemi distinti
Molti programmi di cybersecurity concentrano la loro attenzione sul perimetro per impedire ai dati sensibili di lasciare la rete dell’organizzazione. Si tratta di strumenti che erano efficaci quando tutti lavoravano all’interno dello stesso spazio, ma l’odierno modo di lavorare basato su cloud, mobile e remoto richiede un approccio moderno alla sicurezza.
Le tradizionali soluzioni DLP offrono alle organizzazioni la capacità di tracciare il movimento dei dati, ma non la consapevolezza sui comportamenti. Questo porta spesso i team di sicurezza ad affrontare una raffica costante di allarmi. In un recente sondaggio, quasi il 70% dei professionisti dei SOC ha riferito che tre alert di sicurezza su quattro, su cui sono chiamati a indagare con soluzioni DLP legacy, sono falsi positivi.
Da sole, le tradizionali soluzioni DLP non possono risolvere il problema delle minacce interne perché sono progettate per prevenire la perdita di dati, non per identificare o mitigare questo tipo di rischi. Tuttavia, le moderne soluzioni DLP offrono un approccio incentrato sulle persone che permette di collegare persone e minacce concrete. I team di sicurezza possono comprendere più rapidamente il contesto, riducendo il tempo necessario per indagare. Inoltre, con maggiore conoscenza e comprensione del rischio, possono prevenire, rilevare e rispondere meglio alle minacce interne.
Mito #3: l’ITM è un compito del team di sicurezza
La maggior parte delle organizzazioni delega la gestione delle minacce interne (Insider Threat Management) al team di sicurezza, incaricato di monitorare la rete per rilevare attività insolite. Ma quando si tratta di ITM, coinvolgere tutti i reparti, compresi risorse umane, ufficio legale, compliance e comunicazione, è una strategia migliore perché incrementa l’efficacia generale del programma.
Con il coinvolgimento di tutti, il team di sicurezza può rendere il processo di indagine, contenimento e risposta agli incidenti più efficace su tutta la linea. E con una soluzione ITM dedicata, possono abbandonare approcci ad hoc per la raccolta dei dati e produrre invece report dettagliati sull’accaduto per supportare qualsiasi azione necessaria da eseguire.
Conclusioni
Dal vasto elenco di ciò che rappresenta un “insider”, al crescente panorama delle minacce nell’odierno ambiente di lavoro basato su cloud, mobile e remoto, è facile capire perché ci siano così tanti miti e idee sbagliate sulle minacce provenienti dall’interno. Ciò che è chiaro, però, è che le aziende hanno bisogno di un approccio moderno alla sicurezza per gestirle efficacemente.
L’implementazione di un approccio alla sicurezza incentrato sulle persone, che preveda una soluzione dedicata di ITM, può aiutare le aziende a ogni livello – i team IT e di sicurezza, ma anche e soprattutto i responsabili di business – a monitorare, rilevare e rispondere agli incidenti interni prima che si verifichi una fuga di dati.