Trace Id is missing
Passa a contenuti principali
Microsoft Security

Che cos'è una minaccia interna?

Scopri come difendere l'organizzazione dalle attività degli insider, tra i rischi derivanti da utenti con accesso autorizzato che possono provocare volontariamente o involontariamente un incidente relativo sicurezza dei dati.

Definizione di minaccia interna

Prima di evolversi in una minaccia effettiva, gli insider costituiscono un rischio. Questo è caratterizzato dalla possibilità che un individuo sfrutti il proprio accesso legittimo alle risorse dell'organizzazione, volutamente o accidentalmente, in un modo da influire negativamente sull'organizzazione stessa. L'accesso comprende sia l'accesso fisico che quello virtuale e le risorse includono informazioni, processi, sistemi e strutture.

Chi è un insider?

Un insider è un individuo di fiducia a cui è stato concesso l'accesso o che ha familiarità con le risorse, i dati o i sistemi aziendali non disponibili al pubblico, tra cui:

  • Persone che possiedono un badge o altro dispositivo che permette loro di accedere alla proprietà fisica dell'azienda, ad esempio un data center o la sede centrale.
  • Persone che hanno un computer aziendale con accesso alla rete.
  • Persone che hanno accesso alla rete aziendale, alle risorse cloud, alle applicazioni o ai dati aziendali.
  • Persone che sono a conoscenza della strategia aziendale e delle informazioni finanziarie.
  • Persone che contribuiscono alla realizzazione dei prodotti o servizi dell'azienda.

Tipi di minacce interne

I rischi Insider sono molto più difficili da individuare rispetto alle minacce esterne poiché gli insider hanno già accesso alle risorse dell'organizzazione e conoscono le misure di sicurezza. Conoscere i tipi di rischi Insider consente alle organizzazioni di proteggere meglio le risorse più importanti.

  • Incidente

    A volte le persone commettono errori che possono causare potenziali incidenti di sicurezza. Ad esempio, un partner aziendale invia un documento con i dati di un cliente a un collega, senza rendersi conto che questo non è autorizzato a visualizzare tali informazioni. Oppure un dipendente risponde a una campagna di phishing e installa inavvertitamente un malware.

  • Intenzionale

    In un incidente di sicurezza intenzionale causato da un insider, un dipendente o una persona fidata fa intenzionalmente qualcosa che sa che avrà un impatto negativo sull'azienda. Tali individui possono essere motivati da rimostranze personali o da altri motivi e possono cercare un beneficio finanziario o personale attraverso le loro azioni.

  • Negligenza

    La negligenza è simile a un incidente, in quanto la persona non aveva intenzione di causare un incidente di sicurezza dei dati. La differenza è che possono infrangere consapevolmente un criterio di sicurezza. Un esempio comune è quello in cui un dipendente permette a qualcuno di entrare in un edificio senza mostrare il badge. Un equivalente in termini digitali sarebbe quello di ignorare un criterio di sicurezza senza un'attenta valutazione, in nome della velocità e della convenienza, o di accedere alle risorse aziendali tramite una connessione wireless non protetta.

  • Collusione

    Alcuni incidenti di sicurezza interni derivano da una persona fidata che collabora con un'organizzazione criminale informatica per commettere azioni di spionaggio o furto. Si tratta di un altro tipo di rischio Insider dannoso.

Come si verificano gli incidenti insider dannosi?

Gli incidenti dannosi causati dagli insider possono verificarsi in diversi modi oltre a un tipico cyberattacco. Ecco alcuni modi comuni in cui gli insider possono causare incidenti di sicurezza:

  • Violenza

    Gli insider potrebbero ricorrere alla violenza o alle intimidazioni per costringere altri dipendenti o manifestare il proprio dissenso all'interno di un'organizzazione. La violenza può manifestarsi sotto forma di abusi verbali, molestie sessuali, atti di bullismo, aggressioni fisiche o altre condotte intimidatorie.

  • Spionaggio

    Lo spionaggio consiste nell'atto di sottrarre segreti aziendali, informazioni confidenziali o proprietà intellettuale di un'organizzazione con l'intento di conferire un beneficio a un'entità concorrente o a terzi. Ad esempio, un'organizzazione può essere infiltrata da un insider malintenzionato che raccoglie informazioni finanziarie o progetti di prodotti per ottenere un vantaggio competitivo sul mercato.

  • Sabotaggio

    Un insider insoddisfatto dell'organizzazione potrebbe sentirsi spinto a recare danni ai beni materiali, ai dati o ai sistemi informatici dell'organizzazione. Il sabotaggio può avvenire in vari modi, come il danneggiamento di apparecchiature o la compromissione di informazioni riservate.

  • Frode

    Gli insider possono commettere attività fraudolente a scopo di lucro personale. Ad esempio, un insider malintenzionato potrebbe utilizzare la carta di credito dell'azienda per uso personale o presentare richieste di rimborso spese false o maggiorate.

  • Furto

    Gli insider possono sottrarre risorse, dati sensibili o proprietà intellettuale di un'organizzazione a scopo di lucro. Ad esempio, un dipendente dimissionario motivato da un interesse personale può rubare informazioni riservate per il suo futuro datore di lavoro, oppure un fornitore assunto da un'organizzazione per svolgere attività specifiche può sottrarre dati sensibili a proprio vantaggio.

Sette indicatori di rischio Insider

Sia gli esseri umani che la tecnologia svolgono un ruolo nell'individuazione dei rischi insider. La chiave è stabilire dei parametri di riferimento per la normalità, in modo che sia più facile identificare le attività insolite.

  • Modifiche alle attività utente

    I colleghi, i manager e i partner possono trovarsi nella posizione migliore per sapere se qualcuno è diventato un rischio per l'organizzazione. Ad esempio, un insider a rischio, spinto dal desiderio di provocare un incidente di sicurezza dei dati, può presentare improvvisi cambiamenti di atteggiamento che costituiscono un segnale insolito.

  • Esfiltrazione di dati anomali

    I dipendenti spesso accedono e condividono dati riservati sul posto di lavoro. Tuttavia, quando un utente condivide o scarica improvvisamente un volume insolito di dati sensibili rispetto alle sue attività passate o ai suoi colleghi con un ruolo simile, potrebbe indicare un potenziale incidente di sicurezza dei dati.

  • Una sequenza di attività rischiose correlate

    Una singola azione dell'utente, come il download di dati riservati, potrebbe non rappresentare di per sé un rischio potenziale, ma una serie di azioni potrebbe indicare potenziali rischi per la sicurezza dei dati. Ad esempio, supponiamo che un utente abbia rinominato dei file riservati per farli sembrare meno sensibili, li abbia scaricati dall’archiviazione nel cloud, li abbia salvati su un dispositivo portatile e li abbia rimossi dall’archiviazione nel cloud. In questo caso, tale azione potrebbe suggerire che l'utente stava potenzialmente cercando di esfiltrare dati sensibili evitando di essere rilevato.

  • Esfiltrazione dei dati dei dipendenti in partenza

    L'esfiltrazione dei dati si verifica spesso in concomitanza con le dimissioni di un dipendente e può essere intenzionale o non intenzionale. Un incidente non intenzionale potrebbe essere rappresentato da un dipendente in partenza che copia inavvertitamente dati sensibili per tenere traccia dei risultati ottenuti nel suo ruolo, mentre un incidente intenzionale potrebbe essere rappresentato da un download consapevole da parte di un dipendente di dati sensibili a scopo di guadagno personale o per ottenere vantaggi nella sua prossima posizione. Quando le dimissioni coincidono con altre attività insolite, questo potrebbe indicare un incidente di sicurezza dei dati.

  • Accesso anomalo al sistema

    I potenziali rischi Insider possono iniziare con l'accesso da parte degli utenti a risorse di cui non hanno bisogno per lo svolgimento delle loro mansioni. Ad esempio, gli utenti che normalmente accedono solo ai sistemi di marketing improvvisamente iniziano ad accedere ai sistemi finanziari più volte al giorno.

  • Intimidazioni e molestie

    Uno dei primi indicatori di rischi interni potrebbe manifestarsi attraverso un utente che propaga messaggi minacciosi, vessatori o discriminanti. Non solo danneggia la cultura aziendale, ma potrebbe anche arrecare altri potenziali incidenti.

  • Escalation dei privilegi

    Le organizzazioni tendono a salvaguardare e gestire le risorse critiche attribuendo ruoli e privilegi di accesso a un numero ristretto di dipendenti. Se un dipendente cerca di aumentare i propri privilegi senza una chiara giustificazione aziendale, potrebbe essere un segnale di un potenziale rischio Insider.

Esempi di minacce interne

Nel corso degli anni si sono verificati episodi di minacce interne come furti di dati, spionaggio o sabotaggio in organizzazioni di tutte le dimensioni. Ecco alcuni esempi:

  • Rubare segreti commerciali e venderli a un'altra azienda.
  • L'hacking nell'infrastruttura cloud di un'azienda e l'eliminazione di migliaia di account di clienti.
  • Utilizzo dei segreti commerciali per avviare una nuova azienda.

Importanza di una gestione olistica del rischio Insider

Un programma olistico di gestione del rischio Insider che dia priorità ai rapporti tra dipendenti e datori di lavoro e integri i controlli sulla privacy può ridurre il numero di potenziali incidenti di sicurezza interni e portare a una più rapida individuazione. Un recente studio condotto da Microsoft ha rilevato che le aziende con un programma olistico di gestione del rischio Insider hanno il 33% di probabilità in più di rilevare rapidamente il rischio insider e il 16% di probabilità in più di rimediare rapidamente rispetto alle aziende con un approccio più frammentato.1

Come proteggersi dalle minacce interne

Le organizzazioni possono gestire il rischio Insider in modo olistico, concentrandosi su processi, persone, strumenti e formazione. Utilizza le seguenti procedure consigliate per sviluppare un programma di gestione del rischio Insider che crei fiducia nei dipendenti e contribuisca a rafforzare la tua sicurezza:

  • Privilegia la fiducia e la privacy dei dipendenti

    La conquista della fiducia da parte dei dipendenti inizia dando la priorità alla loro privacy. Per favorire un senso di fiducia nei programma di gestione del rischio Insider, considera l'implementazione di un processo di approvazione a più livelli per avviare le indagini sugli insider. Inoltre, è importante controllare le attività di coloro che conducono le indagini per assicurarsi che non oltrepassino i limiti. L'adozione di meccanismi di controllo degli accessi basati sui ruoli per circoscrivere l'accessibilità ai dati delle indagini all'interno del team di sicurezza può contribuire a mantenere la privacy. Anonimizzare i nomi utente durante le indagini può proteggere ulteriormente la privacy dei dipendenti. Infine, considera la possibilità di eliminare i flag degli utenti dopo un determinato periodo di tempo se l'indagine non procede.

  • Usa deterrenti positivi

    Sebbene molti programmi di rischio Insider si basino su deterrenti negativi, come criteri e strumenti che limitano le attività rischiose dei dipendenti, è fondamentale bilanciare queste misure con un approccio preventivo. I deterrenti positivi, quali iniziative volte a migliorare il morale dei dipendenti, processi di inserimento aziendale dettagliati, formazione e aggiornamento costanti sulla sicurezza dei dati, meccanismi di feedback ascendenti e programmi di equilibrio tra lavoro e vita privata, possono aiutare a diminuire il rischio di incidenti causati dagli insider. Incoraggiando un coinvolgimento proattivo e costruttivo dei dipendenti, i deterrenti positivi intervengono direttamente sulla radice del rischio e promuovono lo sviluppo di una cultura della sicurezza all'interno dell'organizzazione.

  • Ottieni il consenso di tutta l'azienda

    I team IT e di sicurezza possono avere la responsabilità principale della gestione del rischio insider, ma è essenziale coinvolgere l'intera azienda in questo sforzo. Dipartimenti come risorse umane, compliance e l'ufficio legale svolgono un ruolo fondamentale nella definizione dei criteri, nella comunicazione con gli stakeholder e nel prendere decisioni durante un'indagine. Per sviluppare un programma di gestione del rischio Insider più completo ed efficace, le organizzazioni devono cercare di coinvolgere tutte le aree dell'azienda.

  • Utilizza soluzioni di sicurezza integrate e complete

    Per proteggere efficacemente l’organizzazione dai rischi Insider non basta implementare i migliori strumenti di sicurezza, ma occorrono soluzioni integrate che offrano visibilità e protezione a livello aziendale. Quando le soluzioni per la sicurezza dei dati, la gestione delle identità e degli accessi, il rilevamento e la risposta estesa (XDR) e la gestione delle informazioni e degli eventi di sicurezza (SIEM) sono integrate, i team di sicurezza possono rilevare e prevenire efficacemente gli incidenti insider.

  • Implementa una formazione efficace

    I dipendenti rappresentano un elemento chiave nella prevenzione degli incidenti di sicurezza, costituendo di fatto la prima linea di difesa dell'organizzazione. Per proteggere le risorse della tua azienda è necessario ottenere il consenso dei dipendenti, il che a sua volta migliora la sicurezza complessiva dell'organizzazione. Uno dei metodi più efficaci per creare questo consenso è la formazione dei dipendenti. Istruendo i dipendenti, puoi ridurre il numero di eventi insider involontari. È importante spiegare come gli eventi insider possano avere un impatto sia sull'azienda che sui dipendenti. Inoltre, è fondamentale comunicare i criteri di protezione dei dati e fornire informazione ai dipendenti su come evitare potenziali fughe di dati.

  • Usa l'apprendimento automatico e l'intelligenza artificiale

    I rischi per la sicurezza nei luoghi di lavoro moderni sono dinamici, con vari fattori in costante evoluzione che possono renderli difficili da individuare e da gestire. Tuttavia, adottando tecnologie di apprendimento automatico e intelligenza artificiale, le organizzazioni hanno la possibilità di identificare e attenuare i rischi derivanti dagli insider con rapidità e precisione meccanica, favorendo così un approccio alla sicurezza che è sia adattivo che centrato sull'individuo. Questa tecnologia all'avanguardia consente alle aziende di analizzare le modalità di interazione degli utenti con i dati, di calcolare e assegnare livelli di rischio e di adeguare automaticamente i controlli di sicurezza in modo appropriato. Attraverso l'impiego di questi strumenti, le organizzazioni sono in grado di semplificare il processo di rilevamento dei rischi potenziali e di allocare in modo prioritario le loro risorse limitate per contrastare le minacce interne più pericolose. In questo modo i team di sicurezza risparmiano tempo prezioso e garantiscono una maggiore sicurezza dei dati.

Soluzioni per la gestione del rischio Insider

La difesa dalle minacce interne rappresenta una sfida notevole, in quanto è istintivo riporre fiducia nei collaboratori e nei dipendenti dell'organizzazione. È essenziale identificare con prontezza i rischi Insider più gravi e allocare con priorità le risorse per investigare e attenuare tali rischi, al fine di minimizzare l'impatto di possibili incidenti e violazioni. Fortunatamente, molti strumenti di sicurezza informatica che prevengono le minacce esterne possono identificare anche le minacce interne.

Microsoft Purview offre funzionalità di protezione delle informazioni, gestione del rischio Insider e prevenzione della perdita di dati (DLP) per aiutarti a ottenere visibilità sui dati, rilevare i rischi critici legati agli insider che possono portare a potenziali incidenti di sicurezza dei dati e prevenire efficacemente la perdita di dati.

Microsoft Entra ID permette di regolare e controllare le autorizzazioni di accesso e può fornire notifiche qualora le attività di accesso di un utente presentino potenziali rischi.

Microsoft Defender 365 è una soluzione XDR che consente di proteggere cloud, app, endpoint e posta elettronica da attività non autorizzate. Anche organizzazioni governative come la Cybersecurity and Infrastructure Security Agency forniscono indicazioni per sviluppare un programma di gestione delle minacce interne.

Adottando questi strumenti e avvalendosi di una guida esperta, le organizzazioni sono in grado di gestire in modo più efficace i rischi interni e salvaguardare le proprie risorse fondamentali.

Scopri di più su Microsoft Security

Microsoft Purview

Ottieni soluzioni di governance, protezione e conformità per i dati dell’organizzazione.

Gestione dei rischi Insider Microsoft Purview

Rileva e attenua i rischi Insider con modelli di apprendimento automatico pronti all'uso.

Protezione adattiva in Microsoft Purview

Proteggi i dati con un approccio intelligente e incentrato sulle persone.

Crea un programma olistico di gestione del rischio Insider

Scopri cinque elementi che aiutano le aziende a rafforzare la sicurezza dei dati e mantenere la fiducia degli utenti.

Prevenzione della perdita dei dati Microsoft Purview

Impedisci la condivisione, il trasferimento o l'utilizzo non autorizzato dei dati tra app, dispositivi e ambienti locali.

Conformità delle comunicazioni di Microsoft Purview

Soddisfa gli obblighi di conformità normativa e affronta potenziali violazioni della condotta aziendale.

Protezione dalle minacce di Microsoft

Proteggi dispositivi, app, posta elettronica, identità, dati e carichi di lavoro nel cloud con una protezione unificata dalle minacce.

Microsoft Entra ID

Proteggi l'accesso alle risorse e ai dati utilizzando un'autenticazione forte e criteri di accesso adattivi basati sul rischio.

Domande frequenti

  • Esistono quattro tipi di minacce interne. Una minaccia interna accidentale si verifica quando un individuo che opera per conto o in collaborazione con un'entità aziendale compie un errore che potrebbe mettere a rischio l'organizzazione, i suoi dati o le persone ad essa associate. Un rischio Insider negligente si verifica quando un individuo viola consapevolmente un criterio di sicurezza ma non intende causare danni. Una minaccia intenzionale si verifica quando un individuo sottrae deliberatamente dati, perpetra atti di sabotaggio contro l'organizzazione o si manifesta attraverso comportamenti violenti. Un'altra forma di minaccia malevola è la collusione, ovvero quando un insider collabora con qualcuno al di fuori dell'organizzazione per causare danni.

  • La gestione del rischio Insider è fondamentale in quanto questi incidenti possono infliggere danni significativi a un'organizzazione e al suo personale. Attraverso l'adozione di criteri appropriati e soluzioni efficaci, le aziende possono prevenire potenziali minacce interne e proteggere le risorse fondamentali dell'organizzazione.

  • Esistono molteplici indicatori che possono segnalare un rischio Insider, inclusi variazioni improvvise nel comportamento degli utenti, una serie di azioni rischiose interconnesse, il tentativo di accedere a risorse non pertinenti al proprio ruolo lavorativo, lo sforzo di ampliare indebitamente i propri privilegi, l'esfiltrazione insolita di dati, la sottrazione di informazioni da parte di dipendenti in procinto di lasciare l'azienda, nonché comportamenti intimidatori o molesti.

  • La prevenzione delle minacce interne può rivelarsi complessa poiché le azioni rischiose che possono sfociare in problemi di sicurezza sono spesso compiute da individui fidati, che intrattengono rapporti con l'organizzazione e dispongono di accessi legittimi. Un programma di gestione del rischio Insider olistico che privilegi le relazioni tra dipendenti e datori di lavoro e che includa misure di controllo sulla privacy è in grado di diminuire la frequenza degli incidenti di sicurezza interni e di contribuire a un'identificazione più celere di tali eventi. Oltre alla tutela della privacy e al mantenimento di un alto morale tra i lavoratori, una formazione costante, l'impegno di tutta l'organizzazione e l'impiego di strumenti di sicurezza avanzati possono essere decisivi nel mitigare il rischio di minacce interne.

  • Una minaccia interna intenzionale si verifica quando un individuo di fiducia agisce con l'intento di arrecare danno deliberato all'organizzazione e al personale che ne fa parte. Questo si distingue dai rischi Insider non intenzionali, che sorgono quando un individuo compromette involontariamente l'organizzazione o viola una normativa di sicurezza senza l'intento di provocare danno all'azienda.

[1] "In che modo l'essere olistico può aiutare un'organizzazione? I vantaggi di un programma olistico per la gestione del rischio insider", in Crea un programma olistico di gestione del rischio Insider: 5 elementi che consentono alle aziende di rafforzare la protezione e la sicurezza dei dati mantenendo la fiducia degli utenti, Microsoft Security 2022, pag. 41.

Segui Microsoft Security