Mimecast Logo
Richiedi un preventivo
    Approfondimenti sulla Cyber Resilience
    Tutti gli argomenti
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Insider Risk Management Data Protection

    3 passi per condurre un'indagine moderna sul rischio insider

    by Christian Wimpelmann

    Key Points

    • Questo blog è stato originariamente pubblicato sul sito web di Code42, ma con l'acquisizione di Code42 da parte di Mimecast, ci assicuriamo che sia disponibile anche per i visitatori del sito web di Mimecast.

    Come esperti di Insider Risk, il nostro obiettivo è sempre quello di cercare la comprensione. Dobbiamo usare l'esperienza passata per filtrare le informazioni importanti da una serie di fatti.

    Mentre le fonti tecniche forniscono dati preziosi su un evento, molto spesso gli aspetti umani di un evento richiedono conversazioni per essere compresi appieno.

    Quando un analista va al di fuori delle fonti di dati tecnici per parlare con qualcuno, la linea di demarcazione tra il business-as-usual passa a una richiesta formale. Queste interazioni con i soggetti, i manager, i proprietari dei dati, i dirigenti o i partner fidati sono fondamentali per fornire un contesto nel tentativo di capire cosa è successo, perché è successo e qual è l'impatto.

    Come condurre un'indagine sul rischio insider

    Passo 1: raccogliere il contesto

    Il punto di partenza di circa ogni stringa di lavoro nell'IRM è un dato. Forse si tratta di un avviso da parte di uno strumento di sicurezza che dichiara che un file è stato rimosso da un endpoint o di una notifica da parte di un partner commerciale che comunica che un utente ha dato il suo preavviso di due settimane. Dobbiamo assemblare le nostre fonti di dati, il pagliaio dal quale cercheremo di trovare gli aghi.

    La gestione del rischio insider si differenzia da altri settori della sicurezza perché le fonti dei dati sono spesso persone e strumenti.

    Prenda in considerazione le seguenti fonti di dati per costruire il suo particolare pagliaio:

    Immagine con 6 stakeholder chiave e i loro punti dati corrispondenti

     

     

    Ora che abbiamo i dati, dobbiamo raccogliere il contesto per decidere come procedere. A questo punto, oltre alle parti interessate chiave e alle fonti di dati tecnici descritte sopra, aggiungeremo una terza categoria: Contesto umano

     

    Passo 2: fare la 'chiacchierata'

    Dobbiamo affrontare queste interazioni con tatto, empatia e cautela. Questo non solo protegge l'utente da un danno reputazionale irreparabile nei casi in cui l'evento non è come potrebbe sembrare, ma la aiuterà anche nei casi veramente dolosi. La forza lavoro moderna e ibrida presenta tante opportunità quante sfide per queste conversazioni, quindi è importante pensare a come stabilire un contatto. Se non siamo attenti a ciò che diciamo a chi, rischiamo un danno irreparabile alla reputazione del nostro soggetto.

    Consideri quanto segue:

    • Obiettivi di un'interazione (cosa speriamo di imparare dalla conversazione)
    • Ordine delle operazioni (con chi parleremo e in quale ordine)
    • Come ci metteremo in contatto (incontro di persona, telefonata, messaggio in chat, ecc.). 

    Stabilire obiettivi specifici prima di qualsiasi conversazione aiuterà a mantenere le cose in carreggiata e a garantire che otteniamo ciò che ci serve per perfezionare la nostra determinazione del rischio, senza sprecare il tempo dei soggetti. L'ordine delle operazioni aiuta ad evitare una gestione impropria di una conversazione con un collega che potrebbe portare il soggetto a venire a conoscenza della sua indagine prima che lei sia pronto.

    Fase 3: Documentazione e determinazione dei risultati

    Una volta che abbiamo ottenuto le risposte alle nostre domande e siamo soddisfatti della nostra comprensione dell'evento, passiamo alla fase finale dell'indagine: la documentazione e i passi successivi. 

    Registri delle indagini

    Durante il processo di indagine, è bene tenere informati i principali stakeholder. In Mimecast, comunichiamo un canale Slack privato all'inizio dell'indagine. Questo canale ha rappresentanti della Sicurezza, delle Risorse Umane e dell'Ufficio Legale ed è un buon modo per consentire a questi stakeholder di tenersi informati sui progressi, di porre eventuali domande e di fornire commenti sull'indagine in corso. 

    Determinare il risultato

    Dopo il completamento di un'indagine, dovremo fornire una determinazione dell'esito dell'evento per soddisfare domande come "Il soggetto ha intrapreso questa azione rischiosa deliberatamente?". e "Presentano un rischio continuo per la mia organizzazione e i miei dati?". Per quanto ci si possa sforzare, è quasi impossibile per un analista IRM conoscere veramente l'intenzione di qualcuno - ed è proprio questo che la determinazione cerca di catturare - questo soggetto aveva intenzione di causare un danno con questa azione. 

     

    16BLOG_1.jpg
    Up Next
    Insider Risk Management Data Protection |
    Affrontare le Informazioni Controllate Non Classificate (CUI) con il suo Programma Rischio Insider

    Related Articles

    Insider Risk Management Data Protection
    Gli account compromessi sono oggetto di armi - Fermare subito la compromissione delle credenziali
    Insider Risk Management Data Protection
    Il recupero da ransomware fatto bene: Una guida in 6 passi
    Insider Risk Management Data Protection
    5 modi per rafforzare la cultura della cybersecurity

    Si abboni a Cyber Resilience Insights per altri articoli come questi.

    Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.

    Iscriviti con successo

    Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog

    Ci terremo in contatto!

    Back to Top