Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Sicurezza informatica

SPIKE INFORMATION SECURITY AWARENESS PROGRAM (italiano)

Spike Information Security Awareness
Program
g
Daniele Vitali
Senior Security Consultant
Information Security Awareness
NIST Special Publication 800-16
Awareness is not training. The purpose of awareness presentations is
simply to focus attention on security and understand why security
i important.
is
i
t t Awareness
A
presentation
t ti
are intended
i t d d to
t allow
ll
individuals to recognize IT security concerns and respond
accordingly.
2
Perché costruire un programma di I.S. Awareness
I Principali driver dell’Information Security Awareness
Legali
-Garanzie di
Compliance
-Data
Data protection
Industriali
-PCI DSS
-ISO 27001
-ISO
ISO 27005
Business
-Miglioramento dei
processi
-Resistenza
Resistenza agli
attacchi
-Efficienza ed
efficacia
-Protezioni interne
Obiettivi di Business per l’Information Security
Awareness
– Miglioramento dei processi
Sviluppo e deployment di linee guida e policy di
sicurezza e formazione di sicurezza
– Resistenza agli attacchi
Capacità di riconoscere un attacco e resistenza allo
stesso
– Efficienza ed efficacia
Per la gestione degli incidenti di sic
sicurezza
re a
– Protezioni interne
Quanto gli individuali sono protetti da minacce
potenziali
Standard Industriali che prevedono esplicitamente
Programma strutturato di
Information Security Awareness
la costruzione di un programma di Security
Awareness
A
– PCI DSS
-Sostenibile
-Consistente
3
-Efficiente
-Trasparente
p
– ISO 27001, ISO 27002, ISO 27005
La metodologia Spike Reply
– Preparazione: Assessment
– Vengono valutati tutte le iniziative pregresse
Assessment
– Fase 1: Plan & Design
g
–
–
–
–
–
–
Identificazione dei Driver specifici
Identificazione dei requisiti e necessità
Definizione degli obiettivi
Definizione delle metriche di valutazione
Design della soluzione
Approvazione del Top Management
PLAN
Plan & Design
g
– Fase 2: Implementazione
– Costruzione piattaforma per il delivery
– Assegnazione delle risorse per il programma
– Pianificazione ed esecuzione del programma
ACT
Miglioramento
DO
Implementazione
– Fase 3: Monitoraggio
– Valutazione in base alle metriche qualitative
definite
– Fase 4: Improvement
p
CHECK
Monitoraggio
– Si riattiva il processo al fine di migliorare
l’erogazione del programma
La metodologia Spike Reply è conforme alle
“Good Practices Guidelines” di ENISA
4
La Security Awareness come opportunità di Business
“Per assicurare la fiducia, le istituzioni finanziarie devono
dimostrare sforzi proattivi per educare i clienti riguardo la
sicurezza
i
d
dell b
banking
ki online
li e suii rischi
i hi d
deii ffurti
ti di id
identità.”
tità ”
[State of Banking Information Security Survey, 2008]
– Un programma completo per l’Information Security Awareness deve
essere condotto internamente ed esternamente all’organizzazione
– Dipendenti, Clienti, Fornitori e Partner devono essere considerati come
audience del programma
– Il programma può diventare una occasione di Business: collaborando
con le funzioni Marketing e Comunicazione, Security può ‘arrivare’ ai
clienti con messaggi di “Safety & Stability”.
5
Segmentazione dell’Audience e Macro Temi
– Definizione
D fi i i
d ll’A di
dell’Audience
Una corretta segmentazione dell’Audience è una delle chiavi del
successo del Programma. Tipicamente è composta da:
INTERNI
ƒ
– Diverse categorie di dipendenti
A esempio:
• con accesso / senza accesso a dati di clienti
• locati / non locati in filiale
MACRO TEMI
• con accesso / senza accesso ad informazioni classificate di
business
Information Protection
• Area aziendale di appartenenza
S i lE
Social
Engineering
i
i
– IT Staff
Remote Worker Security
– Security Staff
Web Usage Guidelines
– Executives / Management
Social Networking safe usage
I t t Messaging
Instant
M
i safe
f usage
ESTERNI
Password Security
– Partners (es: dipendenti / collaboratori dei call centers)
Web Browser Security
– Clienti
Email Security
– Collaboratori
Instant Messaging Security
Telephone Security
Mobile Security
y
Securityy
Physical
ƒ
6
L’Audience
– Una corretta segmantazione dell’Audience permette la definizione di
iniziative di Information Security Awareness efficaci
Ogni
g target
g è ben disposto
p
a recepire
p le informazioni utili p
per il p
proprio
p business
Executives
Sicurezza del
posto di lavoro
Classificazione
delle informazioni
Riconoscimento di
un incidente di
sicurezza
Gestione dei dati
dei clienti
Utilizzo di strumenti
Mobile
….
Esempio di tabella Audience / Temi
7
Dipendente
Partner
…
Le modalità di delivery
I canali mediatici di delivery utilizzati devono essere
credibili quanto il messaggio veicolato.
Il migliore approccio combina:
– Training modulare specifico per il segmento di Audience
Il programma deve essere costruito utilizzando moduli individuali. Questo permette la costruzione di
materiale aggregato ad-hoc per ogni segmento
– Utilizzo di Workshop / e-learning
Workshop
p dipartimentali
p
sono il modo p
più efficace p
per
Altrettanto importante in contesti distribuiti è l’e-learning, effettuato tramite piattaforme create secondo gli
standard nazionali (SCORM Compliant LMS – Learning Management Systems)
– Social Networking
Nulla può sostituire l’efficacia
l efficacia di un workshop basato su scambio di idee e confronto
confronto. Tuttavia per poter
rendere effettivamente sostenibile il programma nei tempi e nei costi è necessario identificare luoghi virtuali
di discussione e confronto. Per questo motivo l’utilizzo di Social Networks (SN) dedicati o l’integrazione con
SN esistenti è consigliato.
– Diversificare la delivery
E’ stato provato il successo di iniziative di Awareness che riescono ad attrarre l’audience diversificando le
modalità di delivery:
Parti di Film, scenari giusto/sbagliato, materiale di formazione, giochi, questionari di self-assessment, Quiz,
premi.
p
8
Contatti
Daniele Vitali
[email protected]
www.reply.eu
[email protected]
9
Documenti correlati
Giorgio Medina
Giorgio Medina
Corso “Gestire la sicurezza della rete informatica
Corso “Gestire la sicurezza della rete informatica
programma dettagliato - ODCEC di Cuneo
programma dettagliato - ODCEC di Cuneo
Aggiungi informazioni - Dipartimento di Matematica e Informatica
Aggiungi informazioni - Dipartimento di Matematica e Informatica
locandina
locandina
Nasce AETP: la prima Accademia per la formazione professionale di
Nasce AETP: la prima Accademia per la formazione professionale di
Nasce AETP: la prima Accademia per la formazione professionale di
Nasce AETP: la prima Accademia per la formazione professionale di
DATA INTEGRITY E SICUREZZA
DATA INTEGRITY E SICUREZZA
KPMG - Unipd
KPMG - Unipd
Microsoft Security Essentials
Microsoft Security Essentials
Scarica