Securitate — November 23, 2020 at 9:35 am

Cum să construiești un program pentru amenințări interne

by

Un program bine planificat poate ajuta la prevenirea incidentelor. Amenințările din interior sunt unele dintre cele mai mari provocări de securitate cu care se confruntă organizațiile și, odată ce se întâmplă un incident, recuperarea poate fi costisitoare pentru companii.

Un raport recent al Institutului Ponemon a constatat că cheltuielile pentru amenințările din interior au crescut cu 60% în ultimii trei ani și cu 25% din 2018. Luând în considerare cantitatea de curățare necesară – incidentele legate de informații privilegiate care durează mai mult de 90 de zile până la curățare pot costa mult mai mult – existența unei singure strategii de răsouns să nu fie cea mai bună abordare.

Crearea unui program de combatere a amenințărilor din interior este privită din ce în ce mai mult ca o mișcare inteligentă pentru organizațiile mari care doresc să-și atenueze riscul. Este important să înțelegem amenințările posibile și să luăm măsuri pentru a face ceva despre ele înainte să se întâmple. Acest lucru poate economisi timp și bani pentru companii și instituții.

Scopul unui program de Insider Threat

Având în vedere tehnologia și interacțiunile umane implicate, amenințările din interior trebuie gestionate diferit față de cele externe.
Este necesar un program de amenințare din interior, deoarece cei din interiorul unei organizații pot avea acces la mecanismele interne ale companiei.

„Cred că principalul motiv este într-adevăr cantitatea de expunere la care are acces cineva din interior”, spune Pam Nigro, directorul consiliului de administrație al grupului de guvernanță IT ISACA. „Cineva din exterior își aranjează drumul și încearcă să-și dea seama cum să ajungă la informații. Dar cineva care se află deja în interior poate avea acces.”

Ryan Kalember, vicepreședinte executiv al strategiei de securitate cibernetică pentru Proofpoint, adaugă că există mai multe aspecte în prevenirea apariției unei amenințări din interior și, împreună, pot construi o strategie preventivă. „Cred că atât tehnologia, cât și înțelegerea modului în care oamenii și procesele își pot juca rolurile în reducerea amenințărilor din interior au parcurs un drum lung în ultimii ani”, spune el.

Nigro, care este și ofițer de securitate și vicepreședinte al tehnologiei informației la Home Access Health, subliniază faptul că natura muncii de la distanță schimbă imperativul. „Este foarte bine să începeți aceste programe pentru a ajuta pe toată lumea să recunoască semnele”, spune ea, fiind important și pentru cei care fac rău fără să își dea seama.

Conștientizarea amenințărilor din interior: evaluarea riscurilor

Înțelegerea necesității unui program de amenințare din interior necesită înțelegerea tipurilor de riscuri pe care le poate întâmpina o organizație, indiferent dacă aceste riscuri se datorează neglijenței sau atacurilor active. Resursele umane pot juca, de asemenea, un rol în evaluările amenințărilor din interior. Intelligence and National Security Alliance a lansat recent o carte albă despre rolul pe care îl pot juca departamentele de resurse umane în descoperireadin timp a potențialelor amenințări.

„Provocarea în atenuarea amenințării din interior este de a elabora o strategie de avertizare timpurie pentru a alinia mai bine resursele organizaționale cu angajatul aflat în dificultate, astfel încât să poată fi luate măsuri adecvate de sprijin sau atenuare de reducere sau eliminare a riscului”, notează raportul.

„Din perspectivă IT”, spune Nigro, „merită să analizăm accesul la securitate din punct de vedere organizațional pentru a ajuta la dezvăluirea potențialelor probleme. Începe cu adevărat să arunce o privire asupra nivelurilor de securitate și a nivelurilor de acces pe care le au diferiții indivizi”, spune ea. „Cine are informații privilegiate? Cine are ce nivel de acces la informații sensibile? Revizuim verificările lor de fond în fiecare an?”

Kalember adaugă că, atunci când încercăm să evaluăm amenințările din interior, este important să înțelegem ce se întâmplă pe teren. Adesea, cele mai mari amenințări nu pot fi chiar intenționate. „Dacă, de exemplu, vedeți pe cineva care pare să preia un fișier sensibil care ar putea să conțină informațiile despre clienți și să le pună pe un stick USB, poate doriți să îi solicitați un pic de instruire de conștientizare și să-i învățați de fapt riscurile asociate cu acest lucru, mai degrabă decât să sune o grămadă de clopote de alarmă și fie luat la întrebări de departamentul de securitate”, a spus el.

Cum să construiești un program pentru amenințări privilegiate

Departamentul de securitate cibernetică (CISA) al Homeland oferă un plan în cinci pași pentru construirea unui program cuprinzător de amenințări din interior:
Desemnați un manager senior care să conducă programul. CISA remarcă faptul că acest lider ar trebui să contribuie la furnizarea unei perspective mai largi, să pledeze pentru resurse și să reprezinte programul într-un rol de lider.
Formați un grup de lucru interdisciplinar. Acest program ar trebui să includă persoane care se concentrează pe resurse umane, securitate fizică, securitate IT, date, continuitate a activității și consiliere juridică. Grupul ar trebui să contribuie la dezvoltarea programului și să identifice sursele de date pentru a ajuta la gestionarea programului.
Creați documente pentru a stabili guvernanța și politica. Aceste documente, deși nu împiedică protecția denunțătorilor, ar trebui aprobate de un consilier juridic și urmărite în întreaga organizație.
Creați un program formal de formare și conștientizare. Acest program ar trebui să fie inclus în programele de angajare, ca și în cele de concediere, și revizuit anual. În plus, programul trebuie adaptat fiecărui rol și nivel de vechime.
Deschideți un birou de programe pentru amenințări privilegiate. Acest birou, care ar fi supus supravegherii legale și etice, ar sublinia colectarea și analiza datelor de la angajați, cu un proces definit pentru gestionarea potențialelor amenințări din interior – inclusiv asistența autorităților de anchetă.

Programele de comnbatere a amenințării din interior pot veni în tandem cu un program de prevenire a pierderii de date. Ea spune că, indiferent de modelul pe care îl alege o organizație, trebuie să se asigure că instruirea și conștientizarea sunt o parte cheie a programului – mai ales într-un moment în care oamenii lucrează la distanță și opțiunile de acces sunt mai fluide.

„Fii foarte transparent atunci când folosești aceste sisteme. Acestea sunt sisteme de lucru. Acestea nu sunt sistemele dvs. personale”, a adăugat Nigro. „Aceasta este cu adevărat o mare parte a programului nostru de formare și a campaniei de conștientizare – mai ales în cazul persoanelor care lucrează de acasă, acest lucru nu este un lucru cu care copiii tăi se pot juca. Acestea nu sunt lucruri cu care poți naviga pe internet”.

Luați în considerare șablonul programului NITTF Insider Threat

Există multe ghiduri și șabloane pe care companiile le pot urma, adesea create de grupuri comerciale și agenții federale. Centrul Național de Contrainformații și Securitate, care operează Forța Națională pentru Insider Threat, oferă șabloane axate pe ceea ce organizația consideră „standardele minime”.
Grupurile comerciale oferă adesea instrumente similare, specifice industriei. Asociația pentru industria valorilor mobiliare și piețele financiare, de exemplu, oferă cele mai bune practici care pot fi duse dincolo de industria serviciilor financiare. Nigro spune că, indiferent de modelul pe care îl alegeți pentru nevoile dvs., este important să cercetați temeinic programul.
„Asigurați-vă că vă faceți diligența în programul dvs. de control și asigurați-vă că monitorizați lucrurile în mod corespunzător”, spune Nigro.