Consapevolezza della sicurezza delle informazioni

La consapevolezza della sicurezza delle informazioni è una parte in evoluzione della sicurezza delle informazioni che si concentra sull’aumento della consapevolezza riguardo ai potenziali rischi delle forme di informazione inrapida evoluzionee le minacce in rapida evoluzione a quelle informazioni che mirano al comportamento umano. Man mano che le minacce sono maturate e le informazioni sono aumentate di valore, gli hacker hanno aumentato le loro capacità e ampliato a più ampie intenzioni, sviluppato più metodi e metodologie di attacco e agendo su motivazioni più diverse. Con la maturazione dei controlli e dei processi di sicurezza delle informazioni, gli attacchi sono maturati per aggirare i controlli e i processi. Gli aggressori hanno preso di mira e sfruttato con successo i comportamenti umani individuali per violare le reti aziendali e i sistemi di infrastrutture critiche. Individui mirati che non sono a conoscenza di informazioni e minacce potrebbero eludere inconsapevolmente i tradizionali controlli e processi di sicurezza e consentire una violazione dell’organizzazione. In risposta, la consapevolezza della sicurezza delle informazioni sta maturando.Chief Information Officer (CIO) s, esponendo la necessità di contromisure al panorama delle minacce informatiche odierne. [1] L’obiettivo della consapevolezza della sicurezza delle informazioni è di rendere tutti consapevoli di essere sensibili alle opportunità e alle sfide del panorama delle minacce odierne, modificare i comportamenti a rischio umano e creare o migliorare una cultura organizzativa sicura.

Sfondo

La consapevolezza della sicurezza delle informazioni è uno dei molti principi chiave della sicurezza delle informazioni. La consapevolezza della sicurezza delle informazioni cerca di comprendere e migliorare i comportamenti, le convinzioni e le percezioni del rischio umano sulla sicurezza delle informazioni e delle informazioni, oltre a comprendere e migliorare la cultura organizzativa come contromisura alle minacce in rapida evoluzione. Ad esempio, l’ OCSE s’ Linee guida per la sicurezza dei sistemi e delle reti [2] comprendono nove principi generalmente accettati: la consapevolezza, la responsabilità, la risposta, l’etica, la democrazia, la valutazione del rischio, progettazione e implementazione della sicurezza, la gestione della sicurezza, e rivalutazione. Nel contesto di Internet , questo tipo di consapevolezza viene a volte indicato come sicurezza informaticaconsapevolezza, che è al centro di molteplici iniziative, tra cui il National Cyber ​​Security Awareness Month del Dipartimento della Sicurezza Nazionale degli Stati Uniti [3] e il Vertice della Casa Bianca del Presidente Obama del 2015 sulla cibersicurezza e la protezione dei consumatori . [4]

I crimini informatici non sono qualcosa di nuovo per noi. I virus sono stati con noi per oltre 20 anni; lo spyware è cronometrato più di un decennio dai primi incidenti; e l’uso su larga scala del phishing può essere fatto risalire almeno al 2003. Uno dei motivi per cui i ricercatori hanno concordato sul fatto che il ritmo del sistema informativo si sta evolvendo e si sta espandendo, il programma di sensibilizzazione alla sicurezza tra i dipendenti è in ritardo. Sfortunatamente, tuttavia, sembra che la rapida adozione dei servizi online non sia stata accompagnata da un corrispondente abbraccio della cultura della sicurezza. [5]

Evolution

La consapevolezza della sicurezza delle informazioni si sta evolvendo in risposta all’evoluzione della natura degli attacchi informatici, all’aumento del targeting delle informazioni personali e al costo e alla portata delle violazioni della sicurezza delle informazioni. Inoltre, molte persone pensano alla sicurezza in termini di controlli tecnici, non rendendosi conto che sono individui come obiettivi e che il loro comportamento può aumentare i rischi o fornire contromisure a rischi e minacce.

Determinare e misurare la consapevolezza della sicurezza delle informazioni ha evidenziato la necessità di metriche accurate. In risposta a questa esigenza, le metriche sulla consapevolezza della sicurezza delle informazioni si stanno evolvendo rapidamente per comprendere e misurare il panorama delle minacce umane, misurare e modificare la comprensione e il comportamento umano, misurare e ridurre il rischio organizzativo e misurare l’efficacia e il costo della consapevolezza della sicurezza delle informazioni come contromisura. [6]

La maggior parte delle organizzazioni non vuole investire denaro nella sicurezza delle informazioni. Un’indagine condotta da PricewaterhouseCoopers (2014) ha rilevato che gli attuali dipendenti (31%) e ex dipendenti (27%) continuano a contribuire a incidenti di sicurezza delle informazioni. È interessante notare che i risultati dell’indagine hanno indicato che il numero di incidenti reali imputabili ai dipendenti era aumentato del 25% dall’indagine del 2013. [7]

La necessità del programma di sensibilizzazione sulla sicurezza

Un programma di sensibilizzazione alla sicurezza è la soluzione migliore che un’organizzazione può adottare per ridurre le minacce alla sicurezza causate dai dipendenti interni. Un programma di sensibilizzazione alla sicurezza aiuta i dipendenti a capire che la sicurezza delle informazioni non è una responsabilità individuale; è responsabilità di tutti. Il programma menziona anche esplicitamente che i dipendenti sono responsabili di tutte le attività svolte sotto le loro identificazioni. Inoltre, il programma applica le modalità standard di gestione dei computer aziendali. Sebbene le organizzazioni non abbiano adottato un metodo standard per fornire il programma di sensibilizzazione sulla sicurezza, un buon programma dovrebbe includere la consapevolezza dei dati, della rete, della condotta degli utenti, dei social media, dell’uso di dispositivi mobili e WiFi, e-mail di phishing, ingegneria sociale e diversi tipi di virus e malware. Un efficace programma di sensibilizzazione alla sicurezza dei dipendenti dovrebbe chiarire che tutti i membri dell’organizzazione sono responsabili della sicurezza IT. Gli auditor dovrebbero prestare particolare attenzione a sei aree coperte dal programma: dati, reti, condotta degli utenti, social media, dispositivi mobili e ingegneria sociale.[8] Molte organizzazioni rendono le loro politiche sulla privacy molto complicate che i diversi dipendenti non riescano sempre a comprendere tali regolamenti. L’informativa sulla privacy è qualcosa che dovrebbe essere ricordata ai dipendenti ogni volta che accedono al computer aziendale. Le politiche sulla privacy dovrebbero essere più chiare, più brevi e più standardizzate per consentire una migliore comprensione e un confronto delle pratiche sulla privacy. [9]Le organizzazioni possono creare sessioni interattive per tutti i dipendenti che partecipano ogni settimana per parlare di sicurezza e minacce. Le sessioni interattive possono includere la consapevolezza sulle nuove minacce, le migliori pratiche e domande e risposte. Un programma di sensibilizzazione alla sicurezza potrebbe non essere vantaggioso se l’organizzazione non penalizza i trasgressori. I dipendenti che si sono resi colpevoli di aver violato il programma dovrebbero essere segnalati ai dirigenti superiori per ulteriori azioni, altrimenti il ​​programma non sarà efficace. Le autorità per la sicurezza delle informazioni possono eseguire un’analisi delle lacune per individuare eventuali carenze nel programma.

Stato attuale

All’inizio del 2015, i CIO hanno valutato le problematiche relative alla consapevolezza della sicurezza delle informazioni come priorità strategiche. Ad esempio, in occasione di un evento di rete CIO del Wall Street Journal delfebbraio 2015 convocato per creare una serie di raccomandazioni prioritarie per guidare business e policy nel prossimo anno, sembrava essersi formato un consenso intorno alla sicurezza informatica e al cambiamento attraverso una comunicazione efficace con il resto dell’azienda. [10]

Mentre la consapevolezza della sicurezza delle informazioni e le violazioni di alto profilo sono in prima linea nell’agenda della maggior parte delle organizzazioni, un recente studio condotto da Lance Spritzner su 220 funzionari di sensibilizzazione alla sicurezza ha scoperto tre risultati chiave correlati. In primo luogo, sono necessari supporto esecutivo e finanziario per un programma di sensibilizzazione sulla sicurezza di successo. In secondo luogo, a causa della natura tecnica dei tradizionali controlli di sicurezza e contromisure, mancano le competenze trasversali necessarie per comprendere e modificare il comportamento umano e infine, in termini di un modello di maturità, la consapevolezza della sicurezza è ancora agli inizi. [11]

La sfida della misurazione

Misurare efficacemente il comportamento a rischio umano è difficile perché comportamenti, credenze e percezioni rischiose sono spesso sconosciuti. Inoltre, attacchi come phishing , ingegneria sociale , incidenti come perdita di dati e dati sensibili pubblicati sui social media e persino violazioni non rilevati e sconosciuti rendono difficile determinare e misurare i punti di errore. Spesso attacchi, incidenti e violazioni vengono fatti reagire o segnalati al di fuori dell’organizzazione compromessa dopo che gli aggressori hanno coperto le loro tracce, e quindi non possono essere ricercati e misurati in modo proattivo. Inoltre, il traffico dannoso spesso passa inosservato perché gli aggressori spesso spiano e imitano comportamenti noti al fine di impedire qualsiasi rilevamento di intrusioni o avvisi di monitoraggio dell’accesso.

Uno studio del 2016 ha sviluppato un metodo per misurare la consapevolezza della sicurezza [12] . Nello specifico, hanno misurato “la comprensione dell’elusione dei protocolli di sicurezza, dell’interruzione delle funzioni previste dei sistemi o della raccolta di informazioni preziose e di non essere scoperti” (pagina 38). I ricercatori hanno creato un metodo in grado di distinguere tra esperti e novizi facendo in modo che le persone organizzino diversi scenari di sicurezza in gruppi. Gli esperti organizzeranno questi scenari sulla base di temi di sicurezza centralizzati in cui i novizi organizzeranno gli scenari sulla base di temi superficiali.

Vedi anche

  • Consapevolezza della situazione
  • Abilità nell’usare il computer
  • Alfabetizzazione digitale

Riferimenti

  1. Salta su^ “I CIO chiamano le loro prime 5 priorità strategiche Il download mattutino: la sicurezza domina l’agenda del CIO nell’era del rischio e del cambiamento” .
  2. Salta su^ “oecd.org” (PDF) . Estratto il 2015-02-14 .
  3. Saltate^ “US Department of Homeland Security” . Estratto il 2015-02-14 .
  4. Salta su^ “Il presidente Obama parla al vertice della Casa Bianca sulla cibersicurezza e la protezione dei consumatori” .
  5. Salta su^ “Cultura della sicurezza dell’utente finale: una lezione che non verrà mai appresa?” . doi.org . Estratto il 25-04-2015 .
  6. Salta su^ “https://scadahacker.com/library/Documents/Insider_Threats/DHS%20-%20Risks%20to%20US%20Critical%20Infrastructure%20from%20Insider%20Threat%20-%2023%20Dec%2013.pdf” (PDF) . scadahacker.com . Estratto il 25-04-2015 . Collegamento esterno in( aiuto ) |title=
  7. Salta su^ “Migliorare la cultura della sicurezza delle informazioni attraverso azioni di monitoraggio e implementazione illustrate attraverso un case study” . doi.org . Estratto il 25-04-2015 .
  8. Salta su^ “Valutazione del programma di consapevolezza della sicurezza dei dipendenti” . iaonline.theiia.org . Estratto il 25-04-2015 .
  9. Salta su^ “La struttura per la privacy dei consumatori dell’FTC e i passaggi successivi. – Libreria online gratuita” . www.thefreelibrary.com . Estratto il 25-04-2015 .
  10. Salta su^ “I CIO chiamano le loro prime 5 priorità strategiche” .
  11. Salta su^ “SANS che assicura il rapporto di consapevolezza di sicurezza umana” .
  12. Salta su^ Giboney, Justin Scott; Proudfoot, Jeffrey Gainer; Goel, Sanjay; Valacich, Joseph S (2016). “The Security Expertise Measure Measure (SEAM): sviluppare una scala per la competenza degli hacker”. Computer e sicurezza . 60 : 37-51. doi : 10.1016 / j.cose.2016.04.001 .