Quando l'offboarding dei dipendenti diventa un gap di sicurezza

Un brusco risveglio dopo il congedo: In un caso recente, un'impiegata di una cooperativa di credito statunitense ha distrutto 21 GB di dati riservati dopo il suo licenziamento. Anche se era già percepita come una potenziale minaccia, l'IT aveva disabilitato il suo accesso alla rete troppo tardi. Per circa 40 minuti, la persona è stata in grado di accedere in remoto al file server e cancellare i dati. I danni ammontano a 10000 dollari USA. Questo non è un caso isolato, come mostra il Ponemon Institute nel suo studio "Insider Threats Report 2020". Le quasi 1000 aziende intervistate in tutto il mondo hanno dichiarato che quasi un incidente di sicurezza su quattro causato dai dipendenti era basato su motivi criminali, e il 14% ha coinvolto il furto di dati di accesso. Il fatto che un incidente su sei sia "solo" dovuto a negligenza non rende la situazione migliore. Ogni incidente alla fine costa tempo e denaro per riparare il danno.

Dal peccatuccio analogico al crimine digitale

Ovviamente, sono finiti i giorni in cui gli scontenti in uscita rubano le matite o maneggiano maliziosamente i file. Oggi, le informazioni digitali sensibili vengono copiate segretamente, i contatti di lavoro vengono portati via e, nel peggiore dei casi, i file in rete vengono manipolati o cancellati. Il peccatuccio del mondo analogico si rivela essere un crimine in quello digitale.

Questi esempi mostrano chiaramente che è necessaria la massima attenzione nell'offboarding - ed è qui che il dipartimento di sicurezza IT gioca un ruolo più grande di quanto si pensasse in precedenza. Oggi non basta più raccogliere le carte chip dei dipendenti e i dispositivi di lavoro (dai notebook agli smartphone) e disattivare la casella di posta elettronica. Piuttosto, tutti gli accessi a messaggeri, strumenti, servizi cloud o reti devono essere cambiati o chiusi. Questo non è ancora incluso nelle checklist di offboarding di molte aziende, o solo in parte.

La situazione diventa davvero critica quando i dipendenti hanno preso la loro decisione di lasciare l'azienda molto prima. In pratica, il problema della "rassegnazione interna" ha un impatto diretto sul comportamento legato alla sicurezza: Queste persone spesso non prendono più molto sul serio le politiche di sicurezza, sono meno attente quando trattano le e-mail o rivelano dati sensibili. Nel peggiore dei casi, questo comportamento rappresenta un enorme potenziale di rischio su un lungo periodo di tempo. Gli esperti confrontano questi attori con i cosiddetti perpetratori interni, che devono essere classificati come un rischio per la sicurezza a causa di un comportamento deliberatamente negligente o di intenzioni criminali. L'Agenzia dell'Unione europea per la sicurezza informatica (ENISA) ha riconosciuto il problema dei perpetratori nazionali e lo ha incluso nella sua lista delle 15 principali minacce.

Quando la conoscenza privilegiata viene sfruttata ...

Ma questa non è la fine della storia. Anche dopo aver lasciato, gli ex-impiegati rimangono una fonte di pericolo. Nel maggio 2021, Ruag ha denunciato un presunto attacco hacker ai suoi sistemi informatici. E la ricerca di indizi ha stupito gli esperti: Non c'erano prove di un attacco nei file di log. Il sospetto che gli ex dipendenti dell'azienda fossero responsabili con le loro conoscenze privilegiate è sorto rapidamente. In questo contesto, l'offboarding dei dipendenti dovrebbe assolutamente essere incluso nella gestione del rischio IT. Attualmente, questo viene fatto ancora meno frequentemente che considerare la partenza dei dipendenti dal punto di vista della sicurezza. In molte aziende, la cosiddetta gestione dei rischi si occupa principalmente della sicurezza fisica dell'IT. Questo è assolutamente giusto, perché la maggior parte dei rischi deriva dai pericoli che minacciano tutti i dispositivi digitali in uso. Sempre di più, tuttavia, i riflettori sono puntati sui "fattori morbidi" che possono causare un incidente di sicurezza. Questo si rivolge principalmente all'impiegato in generale, che influenza il livello di sicurezza dell'azienda attraverso il suo comportamento. Ma anche i supervisori e persino gli amministratori entrano in gioco come rischio se impostano i processi in modo poco pulito o comunicano in modo ambiguo. Oppure - come nel caso di dipendenti che se ne vanno - la sicurezza informatica non è pienamente considerata nel processo. Una gestione dei rischi di successo sta e cade con la valutazione di tutti i rischi.

Secure offboarding: breve lista di controllo per la sicurezza IT

I leader aziendali sono ben consigliati di rivedere rapidamente il processo di offboarding in termini di sicurezza informatica. Spesso, le liste di controllo esistenti hanno solo bisogno di essere estese o le linee guida adattate alla situazione. Gli esperti raccomandano anche che la gestione del rischio sia ampliata per includere le minacce poste dalla partenza dei dipendenti. In questo modo, i danni finanziari e la perdita di reputazione a causa di ex-colleghi in partenza possono essere efficacemente evitati.
Inoltre, i manager IT dovrebbero assolutamente usare questi processi di base:

• Revocare i diritti di accesso e resettare le password per tutte le app e i servizi
• Bloccare l'accesso all'edificio
• Recuperare tutte le attrezzature fisiche dell'azienda
• Impedire l'inoltro di e-mail e la condivisione di file
• Assegnare licenze ad altri utenti
• Condurre un'intervista in uscita per verificare se ci sono comportamenti sospetti
• Revisione finale degli strumenti di monitoraggio/registrazione per indicazioni di attività insolite
• Coinvolgimento del dipartimento delle risorse umane o di un avvocato se vengono rilevate attività sospette

Autore

Michael Klatte lavora come PR Manager per ESET Germania dal 2008. Il suo campo di attività comprende la comunicazione aziendale e B2B nella regione DACH. ESET è una società europea che sviluppa software di sicurezza che è già in uso da oltre 110 milioni di utenti.
> www.eset.ch