SICUREZZA AZIENDALE: LE MINACCE DEGLI INSIDER

Chi sono gli insider? Per molti anni le aziende hanno considerato che i problemi di sicurezza aziendale, ed in particolare per quanto afferisce all’ambito informatico, fossero prevalentemente di origine esterna. Per questo motivo hanno orientato la maggior parte degli investimenti in sicurezza verso prodotti hardware e software progettati per salvaguardare le infrastrutture informatiche da attacchi provenienti dall’esterno (virus, hacker, ecc.).

Oggigiorno, per qualunque organizzazione è altresì di importanza capitale contemplare i rischi derivanti dai comportamenti di tutti quei soggetti che operano all’interno del perimetro aziendale e cioè dipendenti, dirigenti, collaboratori, partner, fornitori, outsourcer di processi e/o servizi, consulenti, ecc.: ossia i cosiddetti Insider.

I recenti fatti di cronaca confermano quanto già da tempo evidenziato dagli analisti, da importanti società di consulenza e da associazioni di categoria, cioè che la maggior parte delle minacce al patrimonio aziendale arrivano dall’interno e possono causare enormi perdite in termini economici, legali, reputazionali e di immagine.

Il problema reale assume dimensioni ben più ampie se si considera che quanto emerge dalle statistiche è un quadro estremamente parziale.

Molto spesso le imprese vittime non rendono pubblici i rapporti degli attacchi subiti (salvo quando la cosa scappa loro di mano o ne sono costretti), sia se si tratta di cybercrime che di danni subiti da Insider.

Uno dei motivi più gravi, oltre la ritrosia (di cui abbiamo parlato qui) è che spesso le imprese vittime non sono a conoscenza delle frodi subite, o se ne accorgono molto tempo dopo. Insomma, quello che si conosce è solo la punta dell’iceberg, e ciò che si vede è già molto preoccupante.

L’Insider rappresenta la più grande sfida per chi deve garantire la sicurezza dell’impresa e del patrimonio, in quanto questi è autorizzato all’accesso delle risorse e gli è garantito un certo livello di fiducia (Trust).

L’insider può diventare una minaccia se è:

1. Automotivato
   • risentimento nei confronti dell’azienda o di un superiore
   • ne ottiene o crede di ottenerne un beneficio economico (le c.d. frodi interne)
2. Reclutato direttamente o indirettamente
   • con promesse di ritorni economici
   • attraverso minacce o ricatti
   • assunzione da parte della concorrenza
3. Inconsapevolmente reso partecipe
   • attraverso l’utilizzo di malware (keylogger, spyware, trojan horse, ecc.)
   • a causa di scarsa conoscenza o consapevolezza sulla sicurezza
   • attraverso tecniche di social engineering

Le azioni involontarie sono – nella maggior parte dei casi – frutto della mancanza di una formazione adeguata del personale, tale da rendere i soggetti inconsapevoli non solo delle modalità di utilizzo corretto degli strumenti informativi, ma anche dei comportamenti che sono necessari al fine di ridurre i rischi per l’azienda.

Le tecniche di ingegneria sociale (Social Engineering) sono lo strumento più utilizzato da Cybercriminali, in quanto estremamente efficaci perché fanno leva sulle debolezze psicologiche tipiche dell’essere umano e sulla scarsa competenza e/o conoscenza dei suddetti fenomeni criminali da parte della stragrande maggioranza delle persone, con lo scopo di carpire informazioni riservate, accedere abusivamente a sistemi e servizi informativi, o indurre la vittima a compiere determinate azioni. Ne sono un esempio la c.d. truffa del CEO, o le truffe finanziarie effettuate “dirottando” pagamenti di fatture, spesso anche di importi molto consistenti, verso conti correnti che niente hanno a che fare con i legittimi creditori.

LA PUNTA DELL’ICEBERG

Le imprese devono quindi prendere coscienza dei suddetti fenomeni e affrontarli attraverso un approccio “risk based” che coinvolga l’impresa nel suo complesso (a partire dal vertice), con l’obiettivo di minimizzare gli impatti finanziari e reputazionali, e raggiungere un adeguato livello di “resilienza” che possa consentire loro di riprendere l’operatività normale anche a seguito di eventi avversi.

In questi casi, la prevenzione è la migliore arma di difesa: l’adozione di strumenti informatici adeguati (es. firewall, antivirus, sistemi di rilevazione delle intrusioni, ecc.), così come di regole e procedure operative e di gestione e di controllo specifiche sono fondamentali, ma non sufficienti.

Non si può prescindere dall’adottare programmi di formazione e aggiornamento continuo su queste tematiche, per tutti i soggetti che fanno capo all’azienda. L’esigenza di un’attenta formazione/sensibilizzazione in termini di Sicurezza Aziendale va dal top management a chi gestisce i sistemi informativi, fino all’ultimo collaboratore arrivato in azienda, al fine di accrescere la consapevolezza e prevenire comportamenti volontari o involontari che possano mettere a repentaglio la sicurezza dell’impresa.

ERIS CONSULTING, grazie alle competenze pluridecennali dei suoi consulenti, è in grado di affiancare l’MGMT con servizi ad alto valore aggiunto, per la protezione del patrimonio e del business aziendale.

Immagine: Elaborazione di “Giovane che si dondola, fotodinamica” di Anton Giulio Bragaglia (1912)

Potrebbe interessarti anche...