Essere responsabile dell'IT non è il lavoro più semplice al momento. Se, oltre al costante avvertimento sugli attacchi esterni e all’esigenza dei principi Zero Trust, c’è anche l’avvertimento sulle minacce interne interne, come CISO puoi chiederti di chi altro dovresti fidarti.
Le minacce interne sono un vero problema per le aziende di ogni tipo e dimensione. Un esempio attuale è il produttore di auto elettriche Tesla: l’anno scorso presso la Gigafactory di Berlino-Brandeburgo sono stati raccolti oltre 100 gigabyte di dati sensibili e informazioni salariali di decine di migliaia di dipendenti in tutta Europa, nonché segnalazioni di malfunzionamenti e problemi con i prodotti, sono stati resi pubblici: due erano presunti ex dipendenti Tesla. Non lo hanno fatto per arricchirsi di dati, ma piuttosto per segnalare lamentele e problemi di sicurezza all'interno dell'azienda. Tuttavia, la denuncia di irregolarità è una violazione dei dati in cui le informazioni dei dipendenti potrebbero essere utilizzate in modo improprio per impersonificazione o peggio.
Le fughe di dati sono una minaccia per la tua esistenza
Tali casi sono sempre legati alle precauzioni di sicurezza esistenti e possono essere prevenuti attraverso una gestione attenta dei diritti di accesso. Altrimenti basterebbe un dipendente alienato con un pizzico di energia criminale e disposto a vendere informazioni sensibili o i suoi dati di accesso ai criminali informatici per mettere in pericolo i segreti aziendali, i dati dei clienti ed eventualmente l’esistenza dell’intera azienda. A peggiorare le cose, le strategie delle menti includono anche il reclutamento di complici nel dark web. Offrono ingenti somme di denaro a dipendenti disonesti o frivoli in cambio di informazioni di accesso sensibili.
Se i pericoli non bastano, le fughe di dati possono anche essere incredibilmente costose. Non c’è solo il rischio di un’infiltrazione nella rete aziendale e di un successivo attacco ransomware con orrende richieste di riscatto. In caso di violazione della protezione dei dati interviene anche il legislatore. Alle autorità non importa se il responsabile del danno è un insider, un dipendente negligente o un'altra fuga di dati: chi perde i dati dovrà pagare. Secondo il GDPR dell’UE, ciò può costare alle aziende fino a 20 milioni di euro o fino al XNUMX% del loro fatturato annuo globale. Anche l'Ufficio federale per la protezione della Costituzione mette in guardia esplicitamente dalla minaccia di perpetratori interni. Non tutte le minacce interne sono il risultato di azioni intenzionali e dannose, e non tutti i dipendenti che commettono un passo falso ne sono direttamente autori. Spesso sono gli errori involontari o la mancanza di conoscenza a causare incidenti. Le soluzioni a questo problema richiedono approcci non solo tecnici ma anche interpersonali.
Controllo degli accessi basato sui ruoli
Una parte fondamentale della gestione delle identità: quando i dipendenti arrivano al loro nuovo lavoro o a una nuova posizione, ricevono automaticamente i diritti di accesso di cui hanno bisogno in base al loro ruolo e alla loro attività in azienda. Ciò garantisce che tutti i dipendenti e i manager possano accedere solo alle informazioni e ai sistemi di cui hanno bisogno per il loro lavoro. Riducendo i diritti di accesso dei dipendenti allo stretto necessario in base ai ruoli, la libertà di movimento dell'aggressore - il cosiddetto raggio d'azione - viene notevolmente limitata in caso di accesso non autorizzato. Ciò limita i dipendenti disonesti in ogni scenario, indipendentemente dal fatto che stiano tentando di abusare delle proprie credenziali all'interno o all'esterno dell'azienda. Le soluzioni basate sull'intelligenza artificiale possono portare i sistemi RBAC a nuovi livelli e gestirli in modo efficiente con un'allocazione e un'automazione intelligenti e basate sul contesto.
Gestione degli accessi privilegiati (PAM)
Similmente a RBAC, PAM aiuta a controllare l'accesso a sistemi e dati critici. L'assegnazione, la gestione e il monitoraggio delle autorizzazioni privilegiate garantisce che solo le persone autorizzate, come amministratori delegati, sviluppatori e amministratori di rete, abbiano accesso a informazioni altamente sensibili. Con PAM e RBAC è inoltre possibile verificare immediatamente se i diritti di accesso di più utenti sono stati improvvisamente aumentati, ad esempio perché un hacker vuole utilizzare un account utente rubato per consentire ai suoi complici l'accesso alla rete dell'organizzazione presa di mira.
Sistemi giuntatore-muovi-lascia
Questo sistema controlla il ciclo di vita delle identità dei dipendenti nell'azienda. Garantisce che i diritti di accesso siano adeguati di conseguenza quando un dipendente entra, si trasferisce o lascia l'azienda, al fine di evitare inutili rischi per la sicurezza. Il clou: come con RBAC e PAM, ti proteggi sia dagli attacchi esterni che interni. Da un lato si evitano i cosiddetti conti orfani. Si tratta di account utente che non sono più effettivamente assegnati a un dipendente, ma cadono nel dimenticatoio e hanno ancora diritti di accesso, a volte di alto livello. Questi sono popolari tra gli hacker perché possono così volare sotto il radar delle difese IT con un account utente legittimo e ben attrezzato. Le soluzioni IGA (Identity Governance and Administration) automatizzano le personalizzazioni importanti e forniscono anche funzioni RBAC e PAM che garantiscono la conformità e riducono il carico sui team IT. D'altra parte si evita così la situazione in cui un dipendente scontento, dopo aver lasciato l'azienda, abusa dei suoi dati di accesso a scapito del vecchio datore di lavoro o li vende addirittura a scopo di lucro alla criminalità organizzata nella Darknet.
Elenco in bianco e nero del software
Specificando il software approvato (lista bianca) e quello indesiderato (lista nera) si riduce la probabilità che venga introdotto malware o che vengano utilizzate applicazioni non autorizzate nella rete aziendale. In questo modo si mette fine al cosiddetto Shadow IT e alla creazione incontrollata di account utente. Tuttavia, i dipendenti dovrebbero essere invitati a presentare suggerimenti per l’acquisto di nuovi strumenti per facilitare il loro lavoro quotidiano. Chi sensibilizza i propri dipendenti sul fatto che un software scaricato di propria iniziativa potrebbe contenere codici dannosi impedisce che si compiano attacchi interni involontari.
Formazione e workshop
Per stroncare sul nascere i pericoli bisogna conoscerli ed essere in grado di riconoscerli. Le tattiche dei criminali informatici si stanno evolvendo così rapidamente che non ci si può aspettare che nessun dipendente sia al corrente delle ultime truffe. Grazie anche alle possibilità di GenKI, le e-mail di phishing sono ormai diventate imitazioni così autentiche delle e-mail di grandi marchi affidabili che è molto facile cliccare accidentalmente su un link contaminato e diventare così inavvertitamente complice di un hacker. Una formazione regolare sui moderni metodi di phishing e di ingegneria sociale, come il voice phishing che utilizza la replicazione delle voci tramite intelligenza artificiale e il rilevamento di indicatori di minaccia, rafforza la consapevolezza dei dipendenti su questi rischi e insegna loro a riconoscerli. Sono un'utile misura di team building che può rafforzare la fiducia tra i dipendenti.
Monitoraggio dell'attività degli utenti e zero trust
L’approccio Zero Trust è diventato il principio fondamentale di ogni moderna soluzione di sicurezza informatica e con buona ragione: è l’antitesi di qualsiasi tipo di abuso di accesso. "Non fidatevi di nessuno e se lo fate, solo dopo un esame approfondito", questo è il motto. Tuttavia, può essere difficile distinguere tra comportamenti di utilizzo normali e sospetti. Il monitoraggio del comportamento di accesso e l’utilizzo di sistemi di gestione dell’accesso alle identità (IAM) e di autenticazione a più fattori (MFA) sono quindi cruciali per rilevare tempestivamente tentativi di accesso insoliti o non autorizzati. Tali sistemi aiutano a identificare le minacce interne prima che possano causare danni e ridurre drasticamente la superficie di attacco di qualsiasi organizzazione.
Benessere dei dipendenti
Un aspetto spesso trascurato della cultura della sicurezza è il benessere dei dipendenti. Check-in regolari e far sì che i dipendenti abbiano la sensazione che le loro opinioni e preoccupazioni vengano prese sul serio possono aiutare a ridurre il rischio che i dipendenti diventino, consapevolmente o inconsapevolmente, una minaccia alla sicurezza. Allo stesso tempo, ciò aumenta la motivazione tra la forza lavoro a prendere sul serio le misure di sicurezza e a prestare attenzione a proteggere se stessi e il proprio ambiente di lavoro. Anche i conflitti interni tra i dipendenti possono essere un fattore decisivo negli atti di sabotaggio. Prevenire ciò attraverso la comunicazione aperta, la mediazione e l'arbitrato, in definitiva, non solo aiuta l'atmosfera lavorativa, ma anche la conformità. Perché perché i dipendenti dovrebbero rivoltarsi contro il datore di lavoro se vengono trattati con rispetto e ascoltati?
Umanità e tecnologia contro le minacce interne
Le minacce interne sono una minaccia crescente, ma ciò non significa che una cultura aziendale basata sulla fiducia debba trasformarsi in un thriller di spionaggio in cui tutti lavorano insieme per trovare la talpa e nessuno si fida più di nessuno. La prevenzione delle minacce interne richiede semplicemente un approccio globale che includa sia misure tecniche di gestione degli accessi sia la promozione di una cultura aziendale positiva. L'ombrello di Identity Management riunisce inoltre tutti gli strumenti di cui i CISO e i manager IT hanno bisogno per identificare ed eliminare rapidamente le fonti interne di rischio. Tuttavia, il mezzo più efficace per combattere le minacce interne involontarie o pianificate resta comunque quello dei dipendenti che sono ben disposti nei confronti del loro datore di lavoro e che hanno anche un occhio allenato per le frodi.
Maggiori informazioni su Omada.com
A proposito di Omada
Fondata nel 2000, Omada fornisce una gestione innovativa delle identità per ambienti ibridi complessi basata sul nostro comprovato quadro di processi di best practice e sul nostro approccio di implementazione.
Articoli relativi all'argomento