Per proteggere il business bisogna rivalutare i rischi aziendali interni

Gli incidenti di sicurezza provocati accidentalmente da personale interno all’azienda sono in aumento. E possono avere un impatto ben più negativo degli attacchi perpetrati in malafede. Ecco cosa emerge dall’ultima ricerca di mercato di RSA, la divisione sicurezza di EMC, commissionata ad IDC.

Il white paper IDC “Insider risk management: a frame work approach to internal security” affronta il tema dei rischi interni, ovvero le potenziali minacce a cui le aziende sono esposte a causa del personale interno che ha accesso a sistemi critici e informazioni confidenziali.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Per quanto vi sia consapevolezza dei rischi derivanti dall’interno, le minacce esterne continuano ad avere un peso maggiore nella prevenzione del rischio. Esiste infatti un’evidente incongruenza tra le priorità di sicurezza dei CXO e il crescente numero di violazioni interne, di minacce alla sicurezza aziendale causate da azioni accidentali, di accessi inappropriati e di usi non corretti delle informazione da parte dei dipendenti.

Per la maggior parte degli IT decision maker intervistati non è ben chiaro come vengono generati i rischi interni né quale sia la loro intenzionalità e si sforzano di quantificare il possibile impatto economico e lavorativo. Delle aziende partecipanti all’indagine, il 52% definisce/considera i propri incidenti interni come accidentali, il 19% li reputa intenzionali, il 26% afferma che c’è un’eguale concomitanza di fattori, mentre il 3% è insicuro.

Eppure, quando è stato richiesto di classificare le principale minacce, l’82% dei CXO ha risposto di non essere sicuro se gli incidenti causati dai liberi professionisti o dallo staff temporaneo fossero accidentali o intenzionali.

“I datori di lavoro ritengono di avere una relazione con i dipendenti basata sulla fiducia e li considerano come il bene aziendale più prezioso” ha dichiarato Chris Christiansen, Program VP, Security Products di IDC “Ma la natura estesa dell’infrastruttura aziendale, unitamente a una base impiegatizia allargata, spesso globale e complessa nella struttura – impiegati, consulenti, partner e collaboratori – rende il rischio interno una delle principali sfide che i CXO si trovano a dover affrontare: indipendentemente dal fatto che tale rischio sia intenzionale o meno, c’è. Ed è reale.”

Leggi anche:  Il malware Qbot continua la scalata in Italia

A proposito del numero di incidenti di sicurezza interni alle aziende, dall’analisi emerge che, negli ultimi 12 mesi, gli intervistati hanno ammesso di aver subito 6.244 casi di perdita accidentale dei dati, 5.830 attacchi di malware/spyware provenienti dall’interno e 5.794 problemi dovuti a privilegi e diritti di accesso eccessivi. In base a quanto dichiarato dai partecipanti, il numero degli incidenti di sicurezza interna ammonta a 57.485, negli ultimi dodici mesi.

Dall’analisi emerge che il 40% delle aziende ha intenzione di incrementare la spesa legata alla sicurezza interna, in modo da ridurre i rischi nell’arco del prossimo anno, contro un “debole” 6% che in controtendenza diminuirà tale investimento.

I dati elencati marcano che non esiste una singola soluzione che mitighi le minacce interne ma che si rende piuttosto necessario un approccio complessivo alla gestione del rischio che soddisfi al meglio il profilo di rischio dell’azienda e garantisca un controllo su tutti i fronti.

“La sicurezza è responsabilità di tutti, non solo degli addetti ai lavori” ha commentato Massimo Vulpiani, Country Manager RSA Italy (evitare l’acronimo CISSP) “I rischi interni stanno aumentando e questo richiede ulteriori sforzi alle aziende. Per essere competitivi i CXO devono cambiare il modo di difendere il proprio business e ampliare le priorità di sicurezza per rispondere alle crescenti esigenze di protezione dai rischi interni, siano essi intenzionali o accidentali.

I CXO devono adottare una strategia olistica per mitigare le minacce interne e concentrarsi sulla protezione delle informazioni critiche dall’uso poco corretto, dalla fuga e dalla perdita provocata dagli utenti interni, in modo accidentale o meno”.

Sebbene le violazioni delle informazioni sensibili da parte di determinati frodatori siano sempre più sofisticate e in sostanziale aumento, i dati della ricerca evidenziano che incidenti involontari, errata definizione della configurazione e scarsa attenzione nelle pratiche IT influiscono sull’integrità operativa delle aziende in modo molto più decisivo rispetto ad attacchi malevoli e intenzionali.

Leggi anche:  I dati dei pazienti italiani non sono completamente al sicuro

Altri spunti interessanti della ricerca:

Rischi intenzionali contro rischi non intenzionali: le minacce interne malevole, come ad esempio l’accesso non autorizzato a dati sensibili e la diffusione di malware e spyware dall’interno dell’azienda, sono fra le principali preoccupazioni dei CXO. Nonostante ciò, i rischi interni che sono stati causa del più elevato numero di eventi (perdita di dati accidentali dovuta alla negligenza dei dipendenti) e del maggior impatto finanziario (privilegi e diritti di accesso scaduti o eccessivi) sono stati accidentali.

L’origine della minaccia: collaboratori e impiegati a tempo determinato ne sono stati la fonte principale lo scorso anno.

Perdite finanziarie: in un anno, la perdita media finanziaria derivante dai rischi interni si è aggirata intorno agli 800.00 dollari nel segmento dell’IT outsorcing.

L’incertezza dei decision-maker: per quanto il 93% degli intervistati sia responsabile delle decisioni riguardanti la sicurezza all’interno della propria azienda, per l’82% non è ben chiaro dove abbiano origine le minacce e non è in grado di determinare con precisione o quantificarne l’impatto finanziario.