Insider threat

Insider threat: un pericolo per la sicurezza aziendale

Insider threat: cos’è

Con insider threat – in italiano, letteralmente: minaccia interna – s’intende il rischio di compromissione della sicurezza informatica aziendale da parte di chi, per ragioni di cooperazione o dipendenza lavorativa, possiede le chiavi d’acceso ai sistemi.

Il dolo o la colpa

Il sabotaggio dei sistemi di cybersecurity può essere messo in atto con colpa, ovvero inconsapevolmente, per disattenzione, negligenza, o con dolo, cioè con la piena consapevolezza di commettere un illecito e, quindi, con il preciso scopo di ledere. Si distinguono, dunque:

  • minacce involontarie, quelle accidentali, conseguenti, ad esempio, allo smarrimento di un device contenente dati sensibili, alla mancata installazione di nuovi aggiornamenti e patch di sicurezza, ecc.;
  • minacce intenzionali, quelle realizzate volontariamente sfruttando i privilegi di log in (come password, autenticazioni biometriche, badge) per commettere frodi, sottrazioni di informazioni riservate, violazioni della proprietà intellettuale, ecc.; in questa categoria rientrano le cosiddette minacce collusive, le quali prevedono il reclutamento di un attore esterno.

Insider: chi sono

L’insider, l’“interno”, può essere chiunque abbia accesso a rete, server, dispositivi e spazi aziendali, tra cui:

  • un dipendente imprudente;
  • un dipendente infedele;
  • un ex-dipendente con credenziali ancora funzionanti;
  • un socio infedele;
  • un collaboratore esterno;
  • un fornitore;
  • un partner d’impresa.

La classificazione di Gartner

Gartner Inc., società per azioni multinazionale che si occupa di consulenza strategica, ricerca di mercato e analisi nel campo della tecnologia dell’informazione, ha definito 4 diverse tipologie di insider:

  • le pedine, comprende i dipendenti inconsapevolmente manipolati attraverso attacchi phishing o strategie di social engineering;
  • i pivelli, comprende il personale incompetente o negligente; si stima cheil 95% delle aziende abbia al suo interno utenti che aggirano i controlli di sicurezza mediante, ad esempio, la sospensione dei programmi antivirus o l’archiviazione di dati sensibili in archivi cloud non approvati;
  • i collaboratori, sono i dipendenti colpevoli di slealtà e scorrettezza professionale, solitamente in combutta con i concorrenti dell’impresa per cui lavorano;
  • i lupi solitari, sono coloro che si muovono in modo totalmente autonomo, alla ricerca di vantaggi puramente personali.

Insider threat: come proteggersi

È fondamentale, per le aziende e le organizzazioni, essere dotati di sistemi e protocolli di sicurezza informatica volti a bloccare e/o arginare non solo i potenziali attacchi esterni, ma altresì quelli interni. Ecco cosa occorre per difendersi da abusi o compromissioni:

  • sensibilizzazione e formazione del personale, assicurarsi che tutti i dipendenti comprendano i rischi associati alle minacce interne e siano consapevoli delle politiche e delle procedure di prevenzione e risposta rapida agli incidenti;
  • accesso basato sul principio del bisogno minimo, il che significa regolare gli accessi in base al ruolo, alle mansioni e all’orario di lavoro dei dipendenti;
  • revisione regolare dei privilegi degli utenti, per assicurarsi che siano sempre compatibili con funzioni e responsabilità;
  • monitoraggio delle attività degli utenti, per rilevare comportamenti sospetti o anomalie nell’utilizzo dei dati o dei sistemi, come i tentativi di accesso da dispositivi o account sconosciuti o non autorizzati o in orari non convenzionali e allertare gli amministratori;
  • politiche di sicurezza rigorose, come l’autenticazione multi-fattore le reti zero-trust (che eliminano l’idea di una rete interna “sicura” e richiedono una costante autenticazione e autorizzazione per ogni transazione o accesso ai dati) associate a soluzioni diData Loss Prevention – DLP (strumenti progettati per identificare, sorvegliare e proteggere i dati sensibili dalle violazioni, dalla perdita o dalla divulgazione non consentita).

Insider threat: il contributo dell’investigatore privato

In un caso di sospetto insider threat, l’ingaggio di un’agenzia investigativa specializzata in indagini aziendali può essere la soluzione, perché garantisce:

  • prove concrete e inconfutabili, in merito ad attività sospette da parte di dipendenti o contractor, ammissibili in sede di giudizio;
  • controlli difensivi occulti, ossia quel tipo di sorveglianza discreta che – in materia di controllo dei dipendenti – può essere impiegata daenti esterni all’organizzazione aziendale per l’accertamento di illeciti;
  • intelligence gathering, raccolta dettagliata e approfondita sul sospetto insider, che includa informazioni commerciali e personali utili a rivelare moventi e opportunità per attività malevole;
  • consulenza sulla sicurezza, quale prevede la scansione delle vulnerabilità e la divulgazione delle misure di prevenzione e difesa.