Mimecast Logo
Richiedi un preventivo

    Gestione del rischio umano

    Mitigare le minacce interne attraverso una gestione proattiva dell'Human Risk nella cybersecurity.
    Secure Human Risk
    Gestione del rischio umano
    Secure Human Risk
    Punti principali

    Cosa imparerai in questo articolo

    Scopra come la Gestione del Human Risk (HRM) riduce in modo proattivo le minacce insider e rafforza la cybersecurity, concentrandosi sul comportamento degli utenti e su interventi mirati:

    • La gestione del Human Risk identifica, quantifica e monitora continuamente i comportamenti rischiosi degli utenti, consentendo alle organizzazioni di dare priorità alla formazione e alle risorse per i dipendenti che hanno maggiori probabilità di causare incidenti di sicurezza.
    • Un HRM efficace combina la formazione sulla consapevolezza della sicurezza, l'applicazione delle policy, le simulazioni di phishing e la valutazione continua per creare una cultura positiva per la sicurezza e ridurre l'impatto dell'errore umano sulla cybersecurity.
    • Le piattaforme HRM avanzate, come quelle di Mimecast, forniscono visibilità sui profili di rischio dell'organizzazione, sfruttano l'analitica e il risk scoring, e supportano strategie come l'azzeramento della fiducia e la risposta potenziata agli incidenti per proteggere dalle minacce in evoluzione.

    Che cos'è la gestione del rischio umano?

    La gestione del rischio umano (HRM) è un approccio olistico alla sicurezza informatica incentrato sull'identificazione, la quantificazione, la gestione e, infine, la riduzione del rischio umano che le organizzazioni devono affrontare. Questo rischio umano può provenire da fonti esterne, ma l'attenzione principale dell'HRM è rivolta alle minacce interne. L'HRM dà priorità all'identificazione e al monitoraggio del comportamento degli utenti che rappresentano il rischio maggiore. Con questo approccio, i team di sicurezza possono dare priorità agli utenti che hanno bisogno di maggiore formazione e monitoraggio, poiché i programmi di sensibilizzazione alla sicurezza non possono avere un approccio unico per tutti. L'HRM cerca di creare una cultura positiva per la sicurezza, dove il comportamento sicuro diventa una seconda natura.

    Comprendere il rischio umano

    Il rischio umano è definito come il potenziale delle azioni di un individuo di interrompere o causare danni a un'organizzazione, che siano intenzionali o meno, che abbiano origine internamente o esternamente. Conosciuto anche come errore umano, il rischio umano rappresenta un'area di rinnovata attenzione per un settore della sicurezza informatica che lavora continuamente per stare davanti agli avversari. Con gli attacchi di ampia portata fermati più facilmente e frequentemente dagli strumenti di sicurezza basati sull'AI, i criminali informatici hanno spostato l'attenzione su targeted attack, progettati per sfruttare l'errore umano. Le organizzazioni devono adattarsi per fermare questo crescente rischio umano.

    Perché le organizzazioni devono gestire il rischio umano?

    Le organizzazioni devono gestire il rischio umano per rimanere sicure di fronte ai cyberattacchi odierni, che cercano di colpire i dipendenti più vulnerabili all'interno di un'organizzazione - quelli per i quali la formazione sulla sicurezza non è stata altrettanto efficace - che sono più propensi a cliccare su link non sicuri, a scaricare file non sicuri o a cadere vittima di una compromissione delle business email.

    Le organizzazioni che non gestiscono il rischio umano si rendono vulnerabili agli errori dei dipendenti, ai problemi etici, alle pratiche di sicurezza informatica inadeguate e alla formazione sulla sicurezza informatica scarsa o inefficace.

    Perché la gestione del rischio umano è importante per la sicurezza informatica?

    HRM sfrutta le ultime tecnologie disponibili nel settore della sicurezza informatica. Concentra le risorse sugli utenti più vulnerabili che tendono a causare il maggior numero di incidenti di sicurezza. Consente alle organizzazioni di utilizzare nel modo più efficace i propri strumenti di sicurezza. L'HRM fornisce ai team di sicurezza gli strumenti necessari per misurare, prevedere e gestire il rischio presentato dai loro utenti. Con l'HRM, le organizzazioni possono identificare i primi indicatori di compromissione, le vulnerabilità future e i risultati del rischio.

    Vantaggi della gestione del rischio umano

    L'HRM è progettato per prevenire le minacce in evoluzione e sofisticate che mirano all'errore umano all'interno delle organizzazioni. L'HRM offre controlli preventivi e la possibilità di intraprendere azioni dirette che mitigano il rischio associato al comportamento umano, come cliccare su un link che scarica malware, aprire allegati dannosi o visitare un sito web con contenuti dannosi. L'HRM segna un'importante e attesa pietra miliare nel progresso verso la prossima generazione di cybersicurezza. A causa dei continui errori dei dipendenti e degli utenti, l'HRM fornirà una visibilità senza precedenti sul profilo di rischio di un'organizzazione, assegnando un punteggio agli utenti in base al rischio e consentendo ai CISO di educare e proteggere la parte più rischiosa della loro base di dipendenti. Con la visibilità che l'HRM offre sul profilo di rischio di un'organizzazione, i team di sicurezza sono in grado di proteggere gli utenti più vulnerabili.

    Collegare i punti tra gli esseri umani & Tecnologia

    Protegga la sua organizzazione in modo più efficace con la piattaforma unified Human Risk Management di Mimecast.

    La nostra piattaforma

    Componenti chiave di un programma efficace di gestione del rischio umano

    • Formazione sulla sicurezza

      Mentre le organizzazioni evolvono la loro strategia di formazione alla consapevolezza della sicurezza per considerare tutti gli aspetti del rischio umano, è importante essere consapevoli che la formazione alla consapevolezza e la gestione del rischio umano non sono in opposizione l'una all'altra, ma al contrario, sono migliori insieme. La formazione di sensibilizzazione alla sicurezza si concentra su ciò che i dipendenti sanno sulla sicurezza, una parte importante ma incompleta dell'equazione. La gestione del rischio umano colma le lacune, ma fornisce una comprensione di ciò che i dipendenti fanno in relazione alla sicurezza: quali decisioni buone e cattive in materia di sicurezza prendono regolarmente? Sono recidivi? Con quale frequenza vengono attaccati? Quale punteggio di rischio deve essere assegnato a questo utente a rischio? Grazie a questa comprensione, i professionisti della sicurezza sono in grado di ottenere un quadro della distribuzione dei dipendenti a rischio all'interno della loro organizzazione. Le analisi mostrano che l'otto per cento degli utenti causa l'80 per cento degli incidenti. Non tutti gli utenti sono uguali per quanto riguarda la consapevolezza della sicurezza e il rischio umano che rappresentano.

    • Implementazione e applicazione delle politiche

      Lo sviluppo e l'applicazione delle politiche che guidano il comportamento accettabile all'interno dell'organizzazione sono una parte importante dell'HRM. Questo si estende oltre le politiche di sicurezza per includere considerazioni più ampie di gestione del rischio e di conformità. Rendere i dipendenti consapevoli delle politiche di sicurezza dell'organizzazione, di come vengono implementate e di come vengono applicate è un buon inizio per garantire un comportamento sicuro. Insieme alla formazione di sensibilizzazione alla sicurezza, questo fornisce agli utenti una comprensione ampia ed efficace di ciò che ci si aspetta da loro quando si tratta di mantenere la sicurezza delle loro organizzazioni.

    • Monitoraggio e valutazione continui

      La piattaforma HRM segna un'importante e attesa pietra miliare nel progresso verso la prossima generazione di cybersecurity. In risposta alla domanda dei clienti e del mercato di un mezzo più efficace per mitigare il rischio causato dall'errore umano, la piattaforma HRM fornirà una visibilità senza precedenti sul profilo di rischio di un'organizzazione, assegnando un punteggio agli utenti in base al rischio e consentendo ai CISO di educare e proteggere la parte più rischiosa della loro base di dipendenti. Ciò avviene attraverso il monitoraggio e la valutazione continui del comportamento dei dipendenti.

    Con una piattaforma HRM, i team di sicurezza possono far emergere e centralizzare i segnali di rischio sotto forma di un cruscotto dei rischi umani. Questo fornisce ai team di sicurezza un punteggio di rischio umano e una visibilità basata su dati di eventi provenienti sia da metriche native sia da dati di strumenti di terze parti. Una funzione chiave della piattaforma HRM e del dashboard dei rischi umani è quella di integrare i risultati nel programma di formazione sulla sicurezza di un'organizzazione. Questo ridefinisce il modo in cui i leader della sicurezza possono gestire il rischio umano.

     

    L'infografica evidenzia i componenti chiave di un programma efficace di gestione dei rischi umani.

     

    Strategie efficaci per la mitigazione del rischio umano

    • Effettuare regolarmente simulazioni di phishing

      I programmi di simulazione di phishing possono aiutare a proteggere le organizzazioni da attacchi di phishing che potrebbero portare a costose violazioni di dati o ad attacchi ransomware. I programmi di simulazione di phishing possono aiutare a capire quanto le organizzazioni siano preparate a gestire i tentativi di attacco di phishing e dare ai dipendenti un'esperienza tattile che li preparerà a rispondere in modo appropriato a qualsiasi attacco di phishing del mondo reale.

      Durante un attacco di phishing simulato, i dipendenti ricevono un'e-mail che imita da vicino ciò che potrebbero vedere in un vero attacco di phishing, ma qualsiasi errore o inazione sarà irrilevante, poiché le e-mail di phishing simulato non contengono malware reale. Le e-mail di phishing simulate, tuttavia, saranno in grado di tracciare e registrare le azioni e le risposte dei dipendenti, e questo aiuterà a valutare l'efficacia della formazione e quali lacune devono ancora essere colmate per rafforzare la consapevolezza della sicurezza.

    • Implementare un modello di sicurezza a fiducia zero

      Piuttosto che stabilire un perimetro di sicurezza intorno a una rete e fidarsi di qualsiasi utente che possa accedervi, un modello a fiducia zero presuppone che qualsiasi identità utente possa essere compromessa. Utilizza l'autenticazione multifattoriale (MFA) per migliorare la sicurezza al di là della combinazione di nome utente e password e applica il principio del "minimo privilegio", concedendo all'utente il minor accesso possibile in ogni momento e richiedendo un'ulteriore convalida prima di aumentare i privilegi di accesso.

      La sicurezza a fiducia zero stabilisce la fiducia ogni volta che un utente cerca di accedere a un asset del sistema, verificando l'asset rispetto al profilo dell'utente, alla sensibilità dell'asset a cui si sta accedendo e al contesto dell'attività, come la posizione dell'utente o il dispositivo elettronico, o se il lavoro dell'utente debba richiedere quel livello di accesso. Se le indicazioni del contesto non corrispondono, all'utente può essere chiesto di riconfermare la propria identità prima di procedere.

    • Migliorare i protocolli di risposta agli incidenti

      Un piano di risposta agli incidenti delinea le azioni necessarie per prepararsi, rispondere e riprendersi da un attacco informatico. Può essere un elemento di differenziazione cruciale nel modo in cui le organizzazioni contengono un attacco, limitano i danni, rispondono alla supervisione normativa e garantiscono la fiducia dei dipendenti e dei clienti. In termini di HRM, i protocolli di risposta agli incidenti dovrebbero riflettere la conoscenza degli utenti acquisita attraverso il monitoraggio e la valutazione.

    Come Mimecast può aiutarla nella gestione del rischio umano

    La gestione del rischio umano offre alle organizzazioni la visibilità e il contesto di cui hanno bisogno per ridurre i loro profili di rischio e proteggere i loro utenti da sofisticate minacce informatiche. La piattaforma HRM connessa di Mimecast è progettata per prevenire le minacce evolutive e sofisticate che mirano all'errore umano all'interno delle organizzazioni. La piattaforma HRM di Mimecast offre controlli preventivi e la possibilità di intraprendere azioni dirette per mitigare il rischio. Con questa piattaforma HRM connessa, i team di sicurezza riceveranno visibilità sul profilo di rischio della loro organizzazione, assegnando un punteggio agli utenti in base al rischio e consentendo ai CISO di educare e proteggere la parte più rischiosa della loro base di dipendenti.

    Domande frequenti sulla gestione del Human Risk

    Le organizzazioni stanno spostando sempre più la loro attenzione verso l'HRM. Il rischio umano è una delle minacce più gravi che le organizzazioni devono affrontare oggi. Dando priorità all'identificazione, alla gestione e al monitoraggio degli utenti più rischiosi della propria forza lavoro, le organizzazioni possono prevenire le minacce interne prima che si presentino e identificare gli utenti più rischiosi della propria forza lavoro.

    Promuovere una cultura attenta alla sicurezza è il passo più importante per mitigare il rischio umano, così come implementare una soluzione completa di gestione del rischio umano che consenta il monitoraggio continuo e l'analisi dei dati del comportamento degli utenti, in modo che i team di sicurezza possano identificare quali sono gli utenti più rischiosi.

    Indicatori precoci di compromissione
    		 Comportamenti che possono essere identificati precocemente durante il monitoraggio degli utenti, che indicano quali utenti hanno maggiori probabilità di essere suscettibili di cyberattacchi come la compromissione delle business email, il phishing, il whaling, ecc.
    Human Risk
    		  Il potenziale delle azioni di un individuo, intenzionali o meno, provenienti dall'interno o dall'esterno, di interrompere o danneggiare un'organizzazione.
     
    Gestione del rischio umano

    Un approccio olistico alla sicurezza informatica incentrato sull'identificazione, la quantificazione, la gestione e, infine, la riduzione del rischio umano che le organizzazioni devono affrontare.
     
    Phishing
    		 Una forma di crimine informatico in cui gli aggressori ingannano i bersagli e li inducono a rivelare dati sensibili come numeri di conti bancari, informazioni sulle carte di credito, credenziali di accesso, numeri di previdenza sociale e altre informazioni di identificazione personale.
    Security Awareness Training

    Insegna agli utenti come proteggere i loro beni, i loro dati e le loro risorse finanziarie, riducendo la probabilità di incidenti e violazioni della sicurezza.
    Fiducia zero
    		  Un modello di architettura di sicurezza che prevede che ogni utente sia controllato e convalidato rispetto all'accesso consentito nel sistema e al rischio legato alle funzioni e ai dati a cui sta cercando di accedere.

     

    L'HRM rappresenta un importante progresso per la sicurezza informatica e sta diventando una componente sempre più importante delle strategie di sicurezza di molte organizzazioni. Le tendenze dell'HRM riflettono la crescente attenzione al comportamento umano nella sicurezza informatica, in particolare il modo in cui l'errore umano è responsabile di un numero significativo di incidenti di sicurezza informatica. Le tendenze future includono:

    • AI e apprendimento automatico: I sistemi di gestione del rischio umano incorporeranno sempre più l'intelligenza artificiale e l'apprendimento automatico, rendendo più facile per le organizzazioni identificare i modelli e prevedere le minacce future.
    • Analisi dei big data: Con l'avvento della big data analytics, le organizzazioni saranno in grado di raccogliere e analizzare più dati da più fonti, migliorando la loro capacità di rilevare gli indicatori di rischio umano.
    • Efficace governance del rischio: Le organizzazioni adotteranno sempre più spesso dei quadri di governance del rischio che integrino l'HRM nella loro più ampia strategia di sicurezza informatica.

    Risorse correlate per la gestione del rischio umano

    Resources_24.jpg
    Security Awareness Training

    Onda delle soluzioni di gestione Human Risk di Forrester

    Analyst Report
    Resources_34.jpg
    Security Awareness Training

    Human Risk Command Center 

    Datasheet
    Resources_04.jpg
    Security Awareness Training

    Exposing Human Risk

    Ebook
    Back to Top