3 Schritte zur Durchführung einer modernen Insiderrisiko-Untersuchung

Als Experten für Insider-Risiken ist es unser Ziel, stets um Verständnis zu werben. Wir müssen frühere Erfahrungen nutzen, um wichtige Informationen aus einer Reihe von Fakten herauszufiltern.

Während technische Quellen unschätzbare Daten über ein Ereignis liefern, erfordern die menschlichen Aspekte eines Ereignisses sehr oft Gespräche, um sie vollständig zu verstehen.

Wenn ein Analyst außerhalb der technischen Datenquellen mit jemandem spricht, wird die Grenze zwischen dem normalen Geschäft und einer formellen Anfrage überschritten. Diese Interaktionen mit Betroffenen, Managern, Dateneigentümern, Führungskräften oder vertrauenswürdigen Partnern sind entscheidend, um den Kontext zu liefern, wenn wir versuchen zu verstehen, was passiert ist, warum es passiert ist und welche Auswirkungen es hat.

Wie man eine Insiderrisiko-Untersuchung durchführt

Schritt 1: Sammeln von Kontext

Der Ausgangspunkt für so ziemlich jede Arbeit im IRM ist ein Stück Daten. Vielleicht ist es eine Warnung von einem Sicherheitstool, die besagt, dass eine Datei von einem Endpunkt entfernt wurde, oder eine Benachrichtigung von einem Geschäftspartner, dass ein Benutzer seine zweiwöchige Kündigung eingereicht hat. Wir müssen unsere Datenquellen zusammenstellen, den Heuhaufen, aus dem wir versuchen werden, die Nadeln zu finden.

Das Insider-Risikomanagement unterscheidet sich von anderen Sicherheitsbereichen dadurch, dass die Datenquellen ebenso oft Menschen wie Werkzeuge sind.

Ziehen Sie die folgenden Datenquellen in Betracht, wenn Sie Ihren speziellen Heuhaufen aufbauen:

Jetzt, da wir die Daten haben, müssen wir den Kontext erfassen, um zu entscheiden, wie wir weiter vorgehen. An dieser Stelle fügen wir zusätzlich zu den oben beschriebenen wichtigen Interessengruppen und technischen Datenquellen eine dritte Kategorie hinzu: Menschlicher Kontext

Schritt 2: "Das Gespräch" führen

Wir müssen diese Interaktionen mit Takt, Einfühlungsvermögen und Vorsicht angehen. Dies schützt nicht nur den Benutzer vor irreparablen Rufschädigungen, wenn das Ereignis nicht so ist, wie es scheint, sondern hilft Ihnen auch in Fällen, die wirklich bösartig sind. Die moderne, hybride Belegschaft bietet ebenso viele Möglichkeiten wie Herausforderungen für diese Gespräche, daher ist es wichtig, dass Sie sich überlegen, wie Sie den Kontakt herstellen. Wenn wir unvorsichtig sind in dem, was wir wem sagen, riskieren wir einen irreparablen Imageschaden für unser Thema.

Bedenken Sie Folgendes:

• Ziele für eine Interaktion (was erhoffen wir uns von dem Gespräch zu lernen)
• Arbeitsablauf (mit wem wir sprechen und in welcher Reihenfolge)
• Wie wir Kontakt aufnehmen werden (persönliches Treffen, Telefonanruf, Chatnachricht usw.) 

Die Festlegung spezifischer Ziele im Vorfeld eines jeden Gesprächs hilft, die Dinge auf Kurs zu halten und sicherzustellen, dass wir das bekommen, was wir brauchen, um unsere Risikobestimmung zu verfeinern und dabei nicht die Zeit der Testpersonen zu verschwenden. Die Reihenfolge der Abläufe hilft zu vermeiden, dass ein Gespräch mit einem Mitarbeiter falsch gehandhabt wird, was dazu führen könnte, dass die betreffende Person von Ihren Ermittlungen erfährt, bevor Sie dazu bereit sind.

Schritt 3: Dokumentation und Ermittlung der Ergebnisse

Sobald wir unsere Fragen beantwortet haben und wir mit unserem Verständnis des Ereignisses zufrieden sind, gehen wir zur letzten Phase der Untersuchung über: Dokumentation und nächste Schritte. 

Ermittlungsprotokolle

Während des gesamten Ermittlungsprozesses ist es eine gute Idee, die wichtigsten Beteiligten auf dem Laufenden zu halten. Bei Mimecast benachrichtigen wir zu Beginn der Untersuchung einen privaten Slack-Channel. In diesem Kanal sind Vertreter der Sicherheit, der Personalabteilung und der Rechtsabteilung vertreten. Er ist eine gute Möglichkeit für diese Beteiligten, sich über die Fortschritte zu informieren, Fragen zu stellen und Kommentare zu den laufenden Ermittlungen abzugeben. 

Das Ergebnis bestimmen

Nach Abschluss einer Untersuchung müssen wir den Ausgang des Ereignisses bestimmen, um Fragen wie "Hat die Person diese riskante Handlung absichtlich vorgenommen?" zu beantworten. und "Stellen sie ein dauerhaftes Risiko für mein Unternehmen und meine Daten dar?" So sehr wir uns auch bemühen, für einen IRM-Analysten ist es nahezu unmöglich, die Absicht einer Person wirklich zu erkennen - und das ist es ja, was diese Bestimmung zu erfassen versucht - ob diese Person mit dieser Handlung Schaden anrichten wollte.