Het risico van interne dreigingen is relevanter geworden binnen de beveiligingsprioriteiten van bedrijven, waardoor het een van de grootste zorgen is geworden voor zowel CISO’s als, in toenemende mate, het hoger management. Deze verandering is positief, want de steun van het management maakt het mogelijk om interne risicobeheersplannen te ontwerpen en te implementeren die aangepast zijn aan de specifieke beschermingsbehoeften van de organisatie.
Voorvallen van dit type zijn niet onwaarschijnlijk. Bijvoorbeeld, een werknemer die wordt ingehuurd door de concurrentie zou gevoelige strategische informatie kunnen downloaden voordat hij het bedrijf verlaat. Dit soort acties kan klanten- of leverancierslijsten, vertrouwelijke gegevens of zelfs intellectuele eigendom in gevaar brengen, waardoor de concurrentiepositie en de integriteit van de organisatie worden bedreigd.
Volgens Proofpoint zullen in 2024 46% van de beveiligingsverantwoordelijken hebben moeten omgaan met een verlies van vertrouwelijke gegevens in de afgelopen 12 maanden; en daarvan was 70% het ermee eens dat het vertrek van werknemers uit de organisatie heeft bijgedragen aan dat verlies. Toch gelooft 82% van de CISO’s dat ze over adequate controles beschikken om hun gegevens te beschermen.
Een effectief beheer van interne risico’s betekent overgaan op een proactieve aanpak, waarmee incidenten kunnen worden voorkomen in plaats van erop te reageren; een helderder beeld hebben van de gebruikers en de gegevens die risico lopen, om ervoor te zorgen dat er voldoende bestaande beveiligingscontroles zijn om ze te beschermen; en de responstijden verbeteren met gedefinieerde procedures.
Het starten van een nieuw intern risicobeheerprogramma, of het verbeteren van een bestaand programma, vereist een benadering van het interne risicobeheer die strategisch, preventief is en geïntegreerd in de bedrijfsvisie, niet alleen om adequaat te kunnen reageren op een bedreiging, al dan niet expliciet, maar ook om bij te dragen aan het efficiënter en productiever maken van het bedrijf, door eventuele onderbrekingen te verminderen.
Het bedreigingsonderzoeksteam van Proofpoint heeft deze vijf aanbevelingen gedefinieerd om een effectief plan te bepalen:
- Formeer een interfunctioneel team met de benoeming van een uitvoerend verantwoordelijke en een stuurcomité. Het beheer van het risico van insiderinformatie moet worden beschouwd als een verantwoordelijkheid van het hele bedrijf, inclusief de juridische, human resources, regelgevende compliance, verantwoordelijke uitvoerders en zelfs de raad van bestuur. Iedereen moet samenwerken om het gemeenschappelijk doel te bereiken om het organisatorisch risico te verminderen, en het is cruciaal om interne uitvoerende steun te hebben die het programma bevordert en helpt bij het overwinnen van obstakels.
- Definieer doelen om te zien wat de organisatie kwetsbaar maakt en voorkomen dat een intern risico een echte bedreiging wordt. Dit betekent het identificeren van interne mensen in risicosituaties en gevoelige gegevens. Totdat deze zaken duidelijk zijn, kunnen ze niet worden beschermd. Zorg ook voor naleving van de compliance-eisen, en probeer een evenwicht te vinden tussen zakelijke behoeften, beveiligingscontroles en productiviteit van de gebruikers.
- Begrijp vanuit welke situatie de organisatie vertrekt voordat enig programma tegen het risico van insiderinformatie wordt gepland. Evalueer de huidige capaciteiten voor detectie, respons, analyse en preventie; de bestaande investeringen en het effectiviteitsniveau van het programma tegen het risico van insiderinformatie.
- Kom in actie met een operationeel beveiligingsproces dat analisten in staat stelt te reageren, een echte risicobeoordeling uit te voeren en vervolgens op te schalen, volgens vooraf gedefinieerde kanalen. Duidelijk gedefinieerde operationele richtlijnen kunnen helpen bij het sturen van onderzoeken en mitigerende acties. Het is ook essentieel om het escalatieproces te definiëren in samenwerking met human resources, juridische afdelingen, compliance, uitvoerend leiderschap en het bedrijf zelf; en dat de relevante gebruikersbasis de monitoring van risicogedragingen accepteert.
- Herhaal periodiek de processen van het interne risicoprogramma en laat het evolueren volgens de behoeften van de organisatie: ontwikkel doelstellingen intentioneel in plaats van reactief, identificeer metrieken gebaseerd op de overeengekomen stappen en de groei van het programma, werk samen met belanghebbenden om te voldoen aan en uit te breiden van het programma, en automatiseer preventie en correctie zodat analisten efficiënter kunnen worden en tijd besparen.