Che cos'è il rischio insider?

"Il rischio insider si verifica quando qualsiasi esposizione di dati (indipendentemente dal valore percepito dei dati o dall'intento dell'utente) mette a rischio il benessere di un'organizzazione e dei suoi dipendenti, clienti o partner".

Il rischio insider si concentra sui problemi dei dati di un'organizzazione, piuttosto che su quelli delle persone. La gestione delle minacce interne comporta il tentativo di individuare gli utenti che rappresentano una minaccia per i dati di un'organizzazione e di agire per gestire queste minacce. Tuttavia, questo approccio è spesso inefficace perché la maggior parte delle violazioni dei dati avviene per negligenza, il che significa che concentrarsi sulle "minacce ovvie" le farà trascurare completamente.

Al contrario, la gestione del rischio insider si concentra sui dati a rischio di compromissione. Monitorando le attività che mettono a rischio questi dati, l'Insider Risk Management prepara un'organizzazione a rispondere a qualsiasi potenziale violazione dei dati, indipendentemente dall'intento che la sottende.

Perché i rischi insider sono così pericolosi?

I rischi insider sono pericolosi perché ogni rischio insider è una potenziale violazione dei dati che aspetta di verificarsi. I rischi insider si verificano quando vengono esposti dati preziosi e potenzialmente dannosi per un'organizzazione. Ciò può verificarsi con o senza intento malevolo da parte dell'insider che ha causato l'esposizione.

I dipendenti e gli altri insider hanno bisogno di accedere a dati sensibili per svolgere il proprio lavoro; tuttavia, esiste una linea sottile tra l'uso "sicuro" e legittimo dei dati e i rischi insider. La gestione efficace del pericolo dei rischi insider richiede la capacità di distinguere tra le normali operazioni e i rischi insider. Ciò consente all'azienda di gestire questi rischi, riducendo al minimo l'impatto sulle attività legittime e sulla produttività dei dipendenti.

I rischi insider causano sfide per l'esposizione, la fuga e il furto di dati.

I nostri rapporti annuali sull'esposizione dei dati intervistano 700 dirigenti aziendali, responsabili della sicurezza e professionisti di aziende negli Stati Uniti. Scopra di più sui fattori che portano ad un aumento del rischio insider. Legga il Rapporto sull'esposizione dei dati del 2022.

60% delle violazioni di dati coinvolge gli insider.

Il 96% delle aziende incontra difficoltà nel proteggere i dati aziendali dai rischi insider.

10% dei budget aziendali sono dedicati alla gestione dei rischi insider.

Come si identificano i rischi insider?

Una parte fondamentale della gestione del rischio insider consiste nel distinguere accuratamente tra l'uso legittimo e sicuro dei dati e le azioni che mettono a rischio l'azienda. Per aiutare a distinguere questi due casi, consigliamo di utilizzare l'approccio File-Vector-Utente, ponendo le seguenti domande:

• File: quali sono i file più preziosi per la sua azienda?
• Vettore: Quando, dove e come si muove la sua proprietà intellettuale (IP)?
• Utente: Chi lo sta spostando? È normale o anormale?

Queste domande aiutano a distillare la vasta raccolta di dati della sua organizzazione e le azioni eseguite utilizzando tali dati fino ai veri eventi di interesse. Ognuna di queste domande aiuta a eliminare parte del "rumore" che può essere tranquillamente trascurato:

File

Anche se la sua organizzazione può avere molti dati, non tutti sono sensibili o critici per le operazioni. Capire quali dati sono importanti o potenzialmente dannosi per la sua organizzazione le permette di ignorare in gran parte il resto.

Vettore

I dati si muovono costantemente attraverso le reti della sua organizzazione, e la maggior parte di questo movimento fa parte di operazioni commerciali legittime. È delle anomalie che deve preoccuparsi.

Utente

Non tutti gli utenti della sua organizzazione sono uguali. Qualcosa che è normale per un amministratore di database (come l'eliminazione di una tabella del database) è una grande bandiera rossa per uno dei dipendenti del dipartimento finanziario. Questo contenuto è essenziale per individuare i rischi insider.

Qual è il segno più probabile di un rischio insider?

Tentare di considerare individualmente ogni dato e attività nel suo ambiente per individuare una potenziale minaccia insider non è un approccio scalabile. Fortunatamente, esistono alcuni strumenti che possono aiutare a distinguere i rischi dalle attività normali.

Gli indicatori di rischio insider (IRI) sono anomalie che evidenziano un potenziale rischio insider.

Quattro esempi di indicatori di rischio insider

1. Accesso ai file in orari insoliti

La maggior parte dei dipendenti ha un orario di lavoro abbastanza costante. Se l'account di un dipendente accede ai dati al di fuori di questi orari standard, potrebbe indicare un tentativo di nascondere il download di file o un account compromesso.

2. Pietre miliari del ciclo di vita

Molti dipendenti cercano di portare con sé i dati quando lasciano un'azienda (volontariamente o meno). L'accesso ai file da parte di un dipendente in partenza o cessato può indicare un rischio insider.

3. Estensioni di file ingannevoli

Molte soluzioni di protezione dei dati si concentrano sul blocco dell'esfiltrazione di alcuni tipi di file in base alle loro estensioni (.docx, .pdf), ecc.). I tentativi di trasferimento di file il cui contenuto non corrisponde all'estensione sono probabilmente un rischio insider.

4. Utilizzo di domini non attendibili

I trasferimenti di dati all'interno della rete e dei domini di un'azienda sono probabilmente legittimi e necessari per le normali operazioni. Tuttavia, i trasferimenti a domini esterni e non approvati - come un cloud drive personale - possono essere un segnale di un rischio insider.

Questi sono alcuni esempi di IRI che un'azienda può utilizzare per il rilevamento del rischio insider.