Autore: Matt Middleton-Leal
La proprietà intellettuale (IP) è spesso il bene più importante di un’azienda, perché lo sviluppo di soluzioni innovative è il modo più efficiente per le aziende di competere in un mondo interamente tecnologico. A differenza dei brevetti, che possono garantire il diritto di esclusiva in cambio di divulgazione al pubblico, IP include segreti commerciali e know-how che il proprietario non può rivelare e che richiedono una protezione particolarmente rigorosa.
Sfortunatamente, alcuni dipendenti che hanno accesso a IP potrebbero avere un atteggiamento negligente nei confronti della sicurezza. Secondo uno studio basato su un feedback di 1.700 leader aziendali provenienti da Regno Unito, Stati Uniti e Germania, il 72% dei CEO ha confessato di aver preso l’IP da un precedente datore di lavoro. Questo è supportato dal Report sui rischi IT 2018 di Netwrix , che ha rilevato che il 39% delle aziende considera i dipendenti in partenza e in scadenza il maggior rischio per il loro IP. Se una società non ha rilevato un membro in tempo, l’individuo può ritirare i dati a un concorrente. È difficile prevenire il furto di IP, perché tutti i dipendenti che entrano in contatto con dati riservati potrebbero essere complici di ciò. Ecco alcuni semplici suggerimenti che possono aiutare le organizzazioni a mitigare questo rischio.
Passaggio 1. Individuare dove risiedono i propri dati riservati e chi può accedervi
Oggi molte aziende archiviano l’IP nel cloud o lo diffondono su più sistemi e applicazioni. Esempi di tali informazioni riservate possono includere codice sorgente, formulazioni, metodi e processi. Inoltre, gli utenti spesso copiano i dati sui loro dispositivi personali quando lavorano in remoto sui loro laptop, il che rende molto difficile eliminare il rischio di una violazione dei dati.
Per essere in grado di proteggere tali risorse informative, un’azienda deve determinare quali dati sensibili sono in possesso e classificarli dal meno al più sensibile. Una volta completato questo passaggio, è necessario identificare tutti gli utenti, gli appaltatori e i partner che vi hanno accesso e definire potenziali punti di compromesso. Ad esempio, se un dipendente ha accesso alle informazioni aziendali sullo sviluppo di nuovi prodotti, appartiene a un gruppo ad alto rischio.
Passaggio 2. Stabilire le politiche di sicurezza dei dati per l’intera organizzazione
Un passo fondamentale per proteggere l’IP di un’azienda è garantire che le informazioni sensibili siano disponibili solo per il personale autorizzato, il cui accesso è strettamente limitato sulla base della necessità di sapere. Proprio come nell’esempio sopra, i diritti di accesso ai file con dati sullo sviluppo di nuovi prodotti dovrebbero essere limitati solo ai dipendenti che sono coinvolti in ricerca e sviluppo. È inoltre necessario aggiornare regolarmente i diritti di accesso e disattivare a livello operativo tutti gli account utente nell’ultimo giorno di un dipendente . Un altro passo importante è garantire che tutti i dipendenti che lavorano con IP siano informati sulle politiche di sicurezza e sulle sanzioni per ignorarle.
Passaggio 3. Controllare che tutti gli utenti aderiscano alle politiche
Nella vita reale, i dipendenti sono suscettibili di dimenticare o ignorare le politiche di sicurezza. La ricerca di Kaspersky Lab ha rilevato che solo il 12% dei dipendenti è a conoscenza delle politiche di sicurezza IT della propria organizzazione. Questo si riferisce a società di tutte le dimensioni: anche le imprese non possono dire che il loro IP sia protetto al 100% dalla minaccia interna. Ad esempio, le autorità statunitensi hanno recentemente arrestato un ex dipendente di Apple quando stava per volare in Cina con informazioni riservate relative al progetto di auto a guida autonoma di Apple.
Pertanto, le organizzazioni dovrebbero fare tutto il possibile per garantire l’applicazione delle politiche di sicurezza. In particolare, è necessario implementare metodi specifici per il monitoraggio del comportamento degli utenti e il tracciamento di tentativi di accesso non autorizzati o non necessari. Questi metodi dovrebbero consentire ai professionisti della sicurezza IT di intervenire se necessario per interrompere una sessione sospetta.
Alcuni esempi di segni che qualcuno sta cercando di violare la politica di sicurezza e di rubare IP sono:
- Picchi di attività. Ad esempio, se qualcuno ha copiato una grande quantità di dati sensibili, il team di sicurezza cibernetica dovrebbe ricevere un avviso su questo incidente e indagare immediatamente
- Attività al di fuori dell’orario di lavoro
- Accesso VPN anomalo
Passaggio 4. Coinvolgere il CEO nella creazione della cultura della sicurezza informatica
Per eliminare il rischio che i dipendenti disonesti rubino IP e interrompano le operazioni, un responsabile della sicurezza delle informazioni dovrebbe collaborare con un amministratore delegato per sviluppare una strategia di sicurezza informatica. L’amministratore delegato dovrebbe stabilire obiettivi per il team di gestione e il reparto risorse umane per aumentare la consapevolezza della sicurezza informatica all’interno dell’intera organizzazione.
Questo obiettivo dovrebbe includere determinate attività specificate. Il ruolo dei team di gestione è garantire che i loro subordinati seguano le politiche di sicurezza. Il ruolo delle risorse umane è di condurre corsi di formazione sulla sicurezza informatica per i dipendenti per ricordare loro come trattare i dati riservati e incoraggiare le persone a riferire sugli incidenti. Le risorse umane dovrebbero anche stabilire una serie di regole al momento dell’assunzione. Questo include porre domande specifiche durante il colloquio di lavoro per scoprire l’atteggiamento di un individuo nei confronti dell’etica. È consigliabile richiedere ai dipendenti di autocertificare di aver letto e compreso le politiche di sicurezza dell’organizzazione – relative all’IP o ad altre risorse di dati – e di garantire che questo processo venga condotto annualmente.
Ogni azienda dovrebbe avere una strategia per mitigare le minacce interne al proprio IP, poiché ogni azienda ha punti di compromissione dei dati individuali e si trova ad affrontare specifici operatori di minacce. È impossibile esternalizzare la soluzione di questo problema. Non esiste alcun algoritmo esterno alla politica di sicurezza di un’azienda per minimizzare questo rischio. Il senior management dovrebbe collaborare con i responsabili della sicurezza informatica per identificare la strategia più efficiente che protegge entrambi i dati e i sistemi ed è in linea con i processi aziendali.