Spike Information Security Awareness Program. Daniele Vitali Senior Security Consultant

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Spike Information Security Awareness Program. Daniele Vitali Senior Security Consultant"

Baldassare Luciani
8 anni fa
Visualizzazioni

1 Spike Information Security Awareness Program Daniele Vitali Senior Security Consultant

2 Information Security Awareness NIST Special Publication Awareness is not training. The purpose of awareness presentations is simply to focus attention on security and understand why security is important. t Awareness presentation ti are intended d to allow individuals to recognize IT security concerns and respond accordingly. 2

The purpose of awareness presentations is simply to focus attention on security and

3 Perché costruire un programma di I.S. Awareness I Principali driver dell Information Security Awareness Legali Industriali Business -Garanzie di Compliance -Data protection -PCI DSS -ISO ISO Miglioramento dei processi -Resistenza agli attacchi -Efficienza ed efficacia -Protezioni interne Obiettivi di Business per l Information Security Awareness Miglioramento dei processi Sviluppo e deployment di linee guida e policy di sicurezza e formazione di sicurezza Resistenza agli attacchi Capacità di riconoscere un attacco e resistenza allo stesso Efficienza ed efficacia Per la gestione degli incidenti di sicurezza Protezioni interne Quanto gli individuali sono protetti da minacce potenziali Programma strutturato di Information Security Awareness -Sostenibile -Consistente -Efficiente -Trasparente Standard Industriali che prevedono esplicitamente la costruzione di un programma di Security Awareness PCI DSS ISO 27001, ISO 27002, ISO

-Resistenza agli attacchi -Efficienza ed efficacia -Protezioni interne Obiettivi di Business per l Information Security Awareness Miglioramento dei processi Sviluppo e deployment di linee guida e

4 La metodologia Spike Reply Preparazione: Assessment Vengono valutati tutte le iniziative pregresse Fase 1: Plan & Design Identificazione dei Driver specifici Identificazione dei requisiti e necessità Definizione degli obiettivi Definizione delle metriche di valutazione Design della soluzione Approvazione del Top Management Assessment PLAN Plan & Design Fase 2: Implementazione Costruzione piattaforma per il delivery Assegnazione delle risorse per il programma Pianificazione ed esecuzione del programma ACT Miglioramento DO Implementazione Fase 3: Monitoraggio Valutazione in base alle metriche qualitative definite Fase 4: Improvement Si riattiva il processo al fine di migliorare l erogazione del programma CHECK Monitoraggio 4 La metodologia Spike Reply è conforme alle Good Practices Guidelines di ENISA

piattaforma per il delivery Assegnazione delle risorse per il programma Pianificazione ed esecuzione del programma ACT Miglioramento DO Implementazione Fase 3: Monitoraggio Valutazione in base alle

5 La Security Awareness come opportunità di Business Per assicurare la fiducia, le istituzioni finanziarie devono dimostrare sforzi proattivi per educare i clienti riguardo la sicurezza del banking online e sui rischi dei furti di identità. [State of Banking Information Security Survey, 2008] Un programma completo per l Information Security Awareness deve essere condotto internamente ed esternamente all organizzazione Dipendenti, Clienti, Fornitori e Partner devono essere considerati come audience del programma Il programma può diventare una occasione di Business: collaborando con le funzioni Marketing e Comunicazione, Security può arrivare ai clienti con messaggi di Safety & Stability. 5

[State of Banking Information Security Survey, 2008] Un programma completo per l Information Security Awareness deve essere condotto internamente ed esternamente all

6 Definizione i i dell Audience di Segmentazione dell Audience e Macro Temi Una corretta segmentazione dell Audience è una delle chiavi del successo del Programma. Tipicamente è composta da: INTERNI Diverse categorie di dipendenti A esempio: con accesso / senza accesso a dati di clienti locati / non locati in filiale MACRO TEMI con accesso / senza accesso ad informazioni classificate di business Information Protection Area aziendale di appartenenza Social Engineering i IT Staff Remote Worker Security Security Staff Web Usage Guidelines Executives / Management Social Networking safe usage Instant t Messaging safe usage ESTERNI Password Security Partners (es: dipendenti / collaboratori dei call centers) Web Browser Security Clienti Security Collaboratori Instant Messaging Security Telephone Security Mobile Security Physical Security 6

informazioni classificate di business Information Protection Area aziendale di appartenenza Social Engineering i IT Staff Remote Worker Security Security Staff Web Usage Guidelines Executives /

7 L Audience Una corretta segmantazione dell Audience permette la definizione di iniziative di Information Security Awareness efficaci Ogni target è ben disposto a recepire le informazioni utili per il proprio p business Sicurezza del posto di lavoro Classificazione delle informazioni Riconoscimento di un incidente di sicurezza Gestione dei dati dei clienti Utilizzo di strumenti Mobile. Esempio di tabella Audience / Temi Executives Dipendente Partner 7

Sicurezza del posto di lavoro Classificazione delle informazioni Riconoscimento di un incidente di sicurezza

8 I canali mediatici di delivery utilizzati devono essere credibili quanto il messaggio veicolato. Il migliore approccio combina: Le modalità di delivery Training modulare specifico per il segmento di Audience Il programma deve essere costruito utilizzando moduli individuali. Questo permette la costruzione di materiale aggregato ad-hoc per ogni segmento Utilizzo di Workshop / e-learning Workshop dipartimentali sono il modo più efficace per Altrettanto importante in contesti distribuiti è l e-learning, effettuato tramite piattaforme create secondo gli standard nazionali (SCORM Compliant LMS Learning Management Systems) Social Networking Nulla può sostituire l efficacia di un workshop basato su scambio di idee e confronto. Tuttavia per poter rendere effettivamente sostenibile il programma nei tempi e nei costi è necessario identificare luoghi virtuali di discussione e confronto. Per questo motivo l utilizzo di Social Networks (SN) dedicati o l integrazione con SN esistenti è consigliato. Diversificare la delivery E stato provato il successo di iniziative di Awareness che riescono ad attrarre l audience diversificando le modalità di delivery: Parti di Film, scenari giusto/sbagliato, materiale di formazione, giochi, questionari di self-assessment, Quiz, premi. 8

Questo permette la costruzione di materiale aggregato ad-hoc per ogni segmento Utilizzo di Workshop / e-learning Workshop dipartimentali sono il modo più efficace per Altrettanto importante in

9 Contatti Daniele Vitali 9

Documenti analoghi

QUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE

QUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE Step 1 - Decidere come organizzare e pianificare l autovalutazione (AV) 1.1. Assicurare l impegno e il governo del management per avviare il processo. 1.2. Assicurare