Home

ENISA Quarterly - Come innalzare la Information Security Awareness

Inserito da Redazione il Gio, 2006-08-31 09:59 Agosto 2006 | Education | ENISA | Security
060831-Enisa-Awareness Traduzione in italiano a cura di IsacaRoma dell’articolo “A Users' Guide: How to Raise Information Security Awareness" di Isabella Santa, pubblicato da ENISA in "ENISA Quarterly" num. 5, giugno 2006 (pdf, 1.4 M, pagg. 9-10)


Come parte del Work Programme del 2006 di ENISA, l’Awareness Raising Unit di ENISA  ha realizzato una “Users' Guide: How to Raise Information Security Awareness” (Pdf, 3,8 M).
La guida fornisce consigli pratici per aiutare gli stati membri a preparare ed implementare iniziative formative per innalzare il livello di sensibilizzazione e consapevolezza (awareness) in ambito information security, in quanto la corretta conoscenza dei rischi e delle relative contromisure disponibili rappresenta la prima linea di difesa per la sicurezza dei sistemi di informazione e delle reti.
Il documento fornisce dettagliati consigli per organizzare una attività di sensibilizzazione sulla sicurezza rivolta a differenti audience sia nelle organizzazioni private sia in quelle pubbliche.
Nello specifico, la guida si pone i seguenti obiettivi:
  • illustrare una semplice strategia per pianificare, organizzare e mettere in pratica una iniziativa volta ad innalzare il livello di consapevolezza sulla sicurezza delle informazioni;
  • evidenziare i rischi potenziali associati con tali iniziative di sensibilizzazione onde evitare tali problematiche nei programmi futuri;
  • proporre un framework per valutare l’efficacia del programma di sensibilizzazione;
  • offrire un framework per la comunicazione dell’iniziativa;
  • contribuire, negli stati membri, allo sviluppo della cultura in ambito information security incoraggiando gli utilizzatori ad agire responsabilmente e così operare in modo più sicuro.

Una strategia per iniziative e programmi di sensibilizzazione

La guida identifica i principali processi e le attività necessarie per realizzare una campagna di awareness.
I processi sono stati definiti come segue:
  • pianificazione ed assessment (plan and assess);
  • esecuzione e gestione (execute and manage);
  • valutazione e correzioni (evaluate and adjust).
Per ogni processo, inoltre, sono state identificate un numero minimo di attività da compiere includendo una serie di passi e raccomandazioni per aiutare il lettore ad implementare le iniziative ed i programmi di awareness.
In particolare, la guida enfatizza l’importanza di:
  • la pianificazione efficace della comunicazione: una strategia di comunicazione deve essere al centro di ogni programma efficace di awareness ma la strategia deve essere adattata al contesto specifico cioè deve:
    • essere basata su obiettivi e principi di comunicazione
    • essere allineata con le necessità dei gruppi target
    • prendere in considerazione diversi gruppi target
    • coprire le necessità di comunicazioni sia regolari che dipendenti da particolari situazioni
    • essere modificate sulla base del feedback dei gruppi target
  • Approccio Change Management: è fondamentale applicare un approccio “change management” all’iniziativa awareness dato che ciò aiuta a colmare il gap tra il tema che si affronta e la risposta umana alle necessità del cambiamento che tale tema comporta, anche nel caso che ciò richieda un cambiamento culturale. Usare i principi più importanti del change management (comunicazioni finalizzate, coinvolgimento, training e valutazione) aiuta a raggiungere gli obiettivi e fornisce un punto di partenza affidabile per i programmi futuri ed il follow-up.
  • Misurazione del valore dei programmi di awareness: la necessità della security awareness è riconosciuta da tutti; tuttavia non sono numerose le organizzazioni (pubbliche o private) che hanno cercato di quantificare formalmente il valore di tali programmi. La valutazione delle attività e dei programmi è viceversa essenziale per comprenderne l’efficacia e per effettuare gli aggiustamenti sulla base dei quali migliorare ed aggiornare gli stessi programmi. Le metriche di valutazione non possono essere applicate in modo generalizzato a tutti i gruppi target dato che le necessità e le situazioni possono essere molto differenti. Però sono stati identificati quattro caposaldi per mezzo dei quali la security awareness può essere misurata:
    • Miglioramento del processo
    • Resistenza agli attacchi
    • Efficienza ed efficacia
    • Protezione interna

Conclusione

Ad oggi le attività di awareness sono state condotte in modo differente da ogni stato membro; questa guida offe un prodotto unico per aiutare gli stati membri sia a far partire nuovi programmi di security awareness sia a migliorare quelli già esistenti.
La guida sarà presto disponibile sia in formato cartaceo che on line attraverso il sito ENISA. (nota: la guida è disponibile dal 10 agosto 2006)  

Altri argomenti affrontati dalla guida

Ostacoli al successo

Implementare un programma di security awareness di successo può diventare complicato in certi casi. È quindi utile conoscere alcuni ostacoli comuni ed effettuare i passi necessari per superarli durante la fase di pianificazione e di implementazione dell’iniziativa.
La Guida identifica le barriere potenziali e suggerisce come trattarle.

Fattori critici di successo

I fattori di successo per le attività di awareness sono identificate e descritte in dettaglio nella guida.

Template ed esempi

Per aiutare il lettore a pianificare, gestire e rendere operativo una campagna di awareness, la Guida suggerisce l’uso di un certo numero di strumenti per i quali sono forniti template ed esempi (ad esempio: un template per le esperienze maturate e gli insegnamenti avuti; un esempio di work plan; un form per raccogliere i dati relativi ai diversi gruppi target eccetera).

Chi è Isabella Santa?

Isabella Santa è un Senior Expert nell’ Awareness Raising Unit di ENISA.

IsacaRoma link

ENISA Quarterly

ENISA


» email this story | printer friendly version | 1990 reads