Come parte del Work Programme del 2006 di ENISA, l’Awareness Raising Unit [4] di ENISA ha realizzato una “Users' Guide: How to Raise Information Security Awareness” (Pdf [5], 3,8 M).
La guida fornisce consigli pratici per aiutare gli stati membri a preparare ed implementare iniziative formative per innalzare il livello di sensibilizzazione e consapevolezza (awareness) in ambito information security, in quanto la corretta conoscenza dei rischi e delle relative contromisure disponibili rappresenta la prima linea di difesa per la sicurezza dei sistemi di informazione e delle reti.
Il documento fornisce dettagliati consigli per organizzare una attività di sensibilizzazione sulla sicurezza rivolta a differenti audience sia nelle organizzazioni private sia in quelle pubbliche.
Nello specifico, la guida si pone i seguenti obiettivi:
- illustrare una semplice strategia per pianificare, organizzare e mettere in pratica una iniziativa volta ad innalzare il livello di consapevolezza sulla sicurezza delle informazioni;
- evidenziare i rischi potenziali associati con tali iniziative di sensibilizzazione onde evitare tali problematiche nei programmi futuri;
- proporre un framework per valutare l’efficacia del programma di sensibilizzazione;
- offrire un framework per la comunicazione dell’iniziativa;
- contribuire, negli stati membri, allo sviluppo della cultura in ambito information security incoraggiando gli utilizzatori ad agire responsabilmente e così operare in modo più sicuro.
Una strategia per iniziative e programmi di sensibilizzazione
La guida identifica i principali processi e le attività necessarie per realizzare una campagna di awareness.I processi sono stati definiti come segue:
- pianificazione ed assessment (plan and assess);
- esecuzione e gestione (execute and manage);
- valutazione e correzioni (evaluate and adjust).
In particolare, la guida enfatizza l’importanza di:
- la pianificazione efficace della comunicazione: una strategia di comunicazione deve essere al centro di ogni programma efficace di awareness ma la strategia deve essere adattata al contesto specifico cioè deve:
- essere basata su obiettivi e principi di comunicazione
- essere allineata con le necessità dei gruppi target
- prendere in considerazione diversi gruppi target
- coprire le necessità di comunicazioni sia regolari che dipendenti da particolari situazioni
- essere modificate sulla base del feedback dei gruppi target
- Approccio Change Management: è fondamentale applicare un approccio “change management” all’iniziativa awareness dato che ciò aiuta a colmare il gap tra il tema che si affronta e la risposta umana alle necessità del cambiamento che tale tema comporta, anche nel caso che ciò richieda un cambiamento culturale. Usare i principi più importanti del change management (comunicazioni finalizzate, coinvolgimento, training e valutazione) aiuta a raggiungere gli obiettivi e fornisce un punto di partenza affidabile per i programmi futuri ed il follow-up.
- Misurazione del valore dei programmi di awareness: la necessità della security awareness è riconosciuta da tutti; tuttavia non sono numerose le organizzazioni (pubbliche o private) che hanno cercato di quantificare formalmente il valore di tali programmi. La valutazione delle attività e dei programmi è viceversa essenziale per comprenderne l’efficacia e per effettuare gli aggiustamenti sulla base dei quali migliorare ed aggiornare gli stessi programmi. Le metriche di valutazione non possono essere applicate in modo generalizzato a tutti i gruppi target dato che le necessità e le situazioni possono essere molto differenti. Però sono stati identificati quattro caposaldi per mezzo dei quali la security awareness può essere misurata:
- Miglioramento del processo
- Resistenza agli attacchi
- Efficienza ed efficacia
- Protezione interna
Conclusione
Ad oggi le attività di awareness sono state condotte in modo differente da ogni stato membro; questa guida offe un prodotto unico per aiutare gli stati membri sia a far partire nuovi programmi di security awareness sia a migliorare quelli già esistenti.La guida sarà presto disponibile sia in formato cartaceo che on line attraverso il sito ENISA. (nota: la guida è disponibile dal 10 agosto 2006 [6])
Altri argomenti affrontati dalla guida
Ostacoli al successo
Implementare un programma di security awareness di successo può diventare complicato in certi casi. È quindi utile conoscere alcuni ostacoli comuni ed effettuare i passi necessari per superarli durante la fase di pianificazione e di implementazione dell’iniziativa.La Guida identifica le barriere potenziali e suggerisce come trattarle.
Fattori critici di successo
I fattori di successo per le attività di awareness sono identificate e descritte in dettaglio nella guida.Template ed esempi
Per aiutare il lettore a pianificare, gestire e rendere operativo una campagna di awareness, la Guida suggerisce l’uso di un certo numero di strumenti per i quali sono forniti template ed esempi (ad esempio: un template per le esperienze maturate e gli insegnamenti avuti; un esempio di work plan; un form per raccogliere i dati relativi ai diversi gruppi target eccetera).Chi è Isabella Santa?
Isabella Santa è un Senior Expert nell’ Awareness Raising Unit di ENISA.IsacaRoma link
ENISA Quarterly
- ENISA Quarterly – Messaggio dal Direttore Esecutivo [7]
- Guida internazionale per la protezione delle infrastrutture critiche informatizzate [8]
ENISA
- ENISA: nuovi rischi e minacce per la sicurezza delle reti e delle informazioni e piano di azione per il 2008 [9]
- ENISA, l’agenzia di sicurezza europea [10]
- Intervista ad Andrea Pirotti, Executive Director di ENISA [11]
- La visione di ENISA [12]
- ENISA: raccolta di informazioni sulle certificazioni di sicurezza – invito a collaborare [13]