Le minacce ai dati avvengono spesso a causa dei comportamenti dei lavoratori
Verizon ha pubblicato il Verizon Insider Threat Report per misurare il pericolo nelle imprese
Il 20% degli incidenti legati alla cybersecurity e il 15% delle violazioni dei dati analizzati è dovuto al comportamento delle persone che lavorano in azienda. Questo è il risultato contenuto nel Verizon Insider Threat Report, dal quale emerge che la Data Breach Investigations Report (DBIR), è un vero e proprio problema. I maggiori fattori scatenanti sono il profitto finanziario (47,8%) e il puro divertimento (23,4%). Questi attacchi, che sfruttano i privilegi di accesso ai dati interni e ai sistemi, spesso vengono individuati solo diversi mesi o anni dopo che si sono effettivamente verificati, rendendo significativo il loro effetto potenziale su un'azienda.
Tuttavia, per molte organizzazioni le minacce interne rimangono un argomento tabù. Le aziende si mostrano troppo spesso restìe a riconoscere, segnalare o intraprendere azioni contro i dipendenti che sono diventati una minaccia per la loro organizzazione. È come se una minaccia interna fosse una macchia sui loro processi di gestione e sul loro nome.
L'Insider Threat Report di Verizon punta a cambiare questa percezione, offrendo alle organizzazioni una prospettiva basata sui dati per identificare le aree di rischio tra i dipendenti, scenari di casi reali e strategie di intervento da considerare quando si sviluppa un programma ad hoc, un Insider Threat Program completo.
Gli 11 elementi chiave per un Insider Threat Program efficace
Il rapporto fornisce consigli pratici e contromisure per aiutare le organizzazioni a implementare un Insider Threat Program completo, che dovrebbe comportare uno stretto coordinamento tra tutti i dipartimenti, da quello legale all'IT Security, alle risorse umane, per rispondere agli incidenti e gestire le investigazioni digitali forensi.
Due fattori sono fondamentali per raggiungere questo obiettivo: sapere quali sono le vostre risorse e, in ultima analisi, chi vi ha accesso.
"Individuare e contenere le minacce interne richiede un approccio diverso rispetto alle attività relative alle minacce esterne", continua Sartin. "Il nostro obiettivo è quello di fornire delle linee guida che consentano alle aziende di essere più proattive in questo processo e di superare la paura, l'incertezza e il disagio che circondano questa forma di criminalità informatica interna. Verizon si frappone quotidianamente fra i responsabili e le vittime della criminalità informatica, e condividendo scenari reali dal nostro database speriamo che le organizzazioni possano imparare e adottare le contromisure da noi consigliate per implementare a loro volta i propri programmi."
Ecco gli 11 comportamenti virtuosi.
Integrare le strategie di sicurezza e le politiche aziendali - Integrando le altre 10 contromisure (elencate di seguito), o meglio ancora integrando un Insider Threat Program completo con altre strategie già esistenti, come ad esempio un piano per la gestione del rischio, delle risorse umane o della proprietà intellettuale, può contribuire a rafforzare l'efficienza, la coesione e la tempestività nell'affrontare le minacce interne.
Andare a caccia delle minacce - Potenziare gli strumenti di rilevamento delle minacce come la threat intelligence, il monitoraggio del dark web, l'analisi comportamentale e le soluzioni EDR (Endpoint Detection and Response) per individuare, monitorare, rilevare e investigare le attività sospette di utenti e account, sia all'interno che all'esterno dell'azienda.
Analizzare le vulnerabilità e condurre penetration test - Utilizzare le stime sulle vulnerabilità e i penetration test per identificare le falle delle strategie di sicurezza, compresi i possibili canali che un criminale può sfruttare per agire all'interno dell'ambiente aziendale.
Implementare le misure di sicurezza del personale - L'implementazione dei controlli delle risorse umane (come i processi di uscita dei dipendenti), l'accesso sicuro e la formazione sulla sicurezza può ridurre il numero di incidenti associati all'accesso non autorizzato ai sistemi aziendali.
Introdurre misure di sicurezza fisica - Utilizzare dispositivi fisici per l'accesso, quali badge identificativi, barriere di sicurezza e sorveglianti per porre limiti fisici, oltre ai metodi utilizzati per l'accesso digitale, come l'impiego di carte magnetiche o rilevatori di movimento e telecamere, al fine di monitorare, allertare e registrare i modelli di accesso e le attività. Implementare soluzioni per la sicurezza della rete - Attuare misure di sicurezza perimetrale e di segmento, come firewall, sistemi di rilevazione e prevenzione delle intrusioni, dispositivi gateway e soluzioni di Data Loss Prevention (DLP) per rilevare, raccogliere e analizzare il traffico sospetto potenzialmente associato alle attività di minaccia interne. Questo aiuterà a mettere in evidenza qualsiasi attività fuori orario, volumi di attività in uscita e l'uso di connessioni remote. Utilizzare soluzioni di sicurezza degli endpoint - È opportuno adottare sistemi di sicurezza degli endpoint collaudati, come inventari per gli asset critici, policy sui supporti rimovibili, crittografia dei dispositivi e strumenti di File Integrity Monitoring (FIM) per dissuadere, monitorare, tracciare, raccogliere e analizzare le attività legate agli utenti.
Applicare misure di sicurezza dei dati - Utilizzare criteri di proprietà, classificazione e protezione dei dati, nonché misure per la cancellazione, al fine di gestirne il ciclo di vita e mantenerne la riservatezza, l'integrità e la disponibilità, senza dimenticare ovviamente le minacce interne. Misure di gestione dell'identità e degli accessi - Prendere in considerazione misure di gestione dell'identità, degli accessi e dell'autenticazione per definire i limiti e proteggere gli accessi nell'ambiente aziendale. Tali misure possono essere ancora più strutturate se viene utilizzata una soluzione di Privileged Access Management (PAM) per l'accesso privilegiato. Stabilire le competenze nella gestione degli incidenti - L'istituzione di un processo di gestione degli incidenti, con uno schema per reagire alle minacce interne che indichi anche le risorse, appositamente formate e incaricate di prendervi parte, renderà le attività di intervento nell'ambito della sicurezza informatica più efficienti ed efficaci nell'affrontare le minacce interne.
Affidarsi a risorse dedicate per le investigazioni digitali forensi - Avere a disposizione una risorsa dedicata a queste verifiche, che sia in grado di condurre indagini approfondite e ad ampio raggio, che vanno dall'analisi di log, file, endpoint e traffico di rete, in incidenti di sicurezza informatica spesso delicati e correlati all'attività umana (o all'account utente).