Quando si verifica un incidente di cyber security, riuscire a individuare un unico elemento che lo ha provocato è piuttosto complicato. Ogni data breach, accesso non autorizzato o violazione di sistemi informatici, infatti, è di solito causato da un mix di fattori che determinano l’evento dannoso. Uno dei più ricorrenti, secondo gli esperti di sicurezza, è quello interno. Le strategie di insider threat management, sotto questo profilo, rappresentano uno strumento fondamentale per aumentare il livello di sicurezza dei sistemi aziendali e mitigare il rischio di incidenti di security.
Quando le difese vengono indebolite dall’interno
La categoria della “minaccia interna” può essere interpretata in varie declinazioni, ma quella che più incide sulla sicurezza dei sistemi informatici in azienda è quella della negligenza. Secondo gli esperti di sicurezza, il 62% dei rischi interni afferiscono a questa categoria e rappresentano di gran lunga il fattore più rilevante su cui intervenire.
La casistica, per quanto riguarda questa categoria, è estremamente ampia: dall’uso di strumenti inappropriati, come software non ammessi dalle policy aziendali, al classico “errore umano” che mette a rischio la riservatezza o l’integrità dei dati aziendali, per finire con l’utilizzo di periferiche potenzialmente pericolose (come le chiavette USB) e la condivisione di credenziali o strumenti di accesso ai servizi aziendali.
Anche se le dinamiche possono variare notevolmente, l’elemento comune rimane quello di un comportamento che provoca un incidente di sicurezza o, in ogni caso, crea i presupposti affinché questo si verifichi. In un’ottica di insider threat management, le strategie di security si muovono su un doppio binario, distribuito tra formazione e controllo.
Investire sul fattore umano nell’insider threat management
Per evitare episodi di negligenza potenzialmente dannosi, un ruolo fondamentale è rappresentato dalla formazione di impiegati e collaboratori sull’utilizzo corretto degli strumenti informatici e sul rispetto delle policy aziendali. L’adozione di procedure rigorose, sia nel trattamento dei dati, sia nell’uso dei dispositivi, è infatti lo strumento più utile per prevenire incidenti legati agli errori dettati da negligenza. In altre parole, un processo di “educazione” e presa di consapevolezza di chi opera all’interno dell’azienda è la strategia più efficace per mitigare il rischio.
Sotto il profilo tecnologico, invece, è necessario dotare l’azienda di tutti quegli strumenti che consentano di monitorare l’attività all’interno della rete e, eventualmente, bloccare le azioni potenzialmente dannose. Tra queste spiccano le tecnologie di Insider Threat Management per il monitoraggio del comportamento dell’utente potenzialmente pericoloso rispetto ad attività e accesso non autorizzato, azioni accidentali, abuso dei sistemi e gestione dei dati in contrasto con le policy.
Dolo e compromissione dell’identità digitale
Se gli incidenti dovuti a negligenza rappresentano la parte più consistente delle casistiche in tema di insider threat management, una categorizzazione ideale comprende anche le ipotesi (meno frequenti, ma rilevanti) del dolo e della compromissione dell’identità digitale. Il primo caso è quello dell’impiegato infedele che approfitta della sua posizione per accedere fraudolentemente ai dati aziendali o per portare un vero e proprio attacco informatico dall’interno. Il secondo, invece, rappresenta un classico modus operandi adottato dai pirati informatici: una volta compromesso l’account della vittima, i cyber criminali utilizzano le credenziali rubate per “muoversi” nella rete aziendale e raggiungere i loro obiettivi.
In entrambi i casi, le contromisure disponibili si basano sull’uso di strumenti di monitoraggio (SIEM) e di controllo degli accessi che consentono ai responsabili della cyber security di individuare tempestivamente eventuali comportamenti anomali degli utenti. A questi si affiancano strumenti specifici come l’analisi dello user behaviour, che utilizza sistemi di intelligenza artificiale per incrociare dati come la geolocalizzazione e la conformità a livello di comportamenti nelle attività sul network.
