sabato 4 giugno 2016

Awareness nella cybersecurity

di Isabella Corradini


Per parlare di awareness nell’ambito della cybersecurity bisogna partire da un principio fondamentale: si tratta innanzitutto di un tema che non riguarda pochi eletti o solo gli specialisti della sicurezza. La cybersecurity riguarda da vicino tutti i cittadini, utilizzatori quotidiani delle tecnologie dell’informazione. Per questo la sicurezza delle informazioni e della Rete non può essere delegata solo a chi, per lavoro, si occupa di strategie di difesa.

D’altro canto, sia a livello europeo che italiano, sempre più si sottolinea l’importanza del ruolo della sensibilizzazione e della formazione su queste tematiche.
Il Piano Nazionale per la protezione cibernetica e la sicurezza informatica del 2013 individua gli indirizzi operativi e le linee d'azione per dare concreta attuazione al Quadro strategico Nazionale per la sicurezza dello spazio cibernetico. E' necessario, infatti, sviluppare le capacità di risposta del Paese alle minacce cibernetiche, in continua evoluzione.

Le risposte, pur nella loro complessità, debbono essere tra loro integrate, se si vogliono ottenere risultati efficaci. Si va dall’attenzione al singolo cittadino, alla cooperazione tra il settore pubblico e privato, alla comunicazione strategica, alla formazione e addestramento.

Il punto della formazione appare di particolare rilevanza in quanto il fattore umano continua ad essere il punto debole della sicurezza (pur potendone costituire il punto di forza), ed è su questo che bisogna investire in modo determinante. Non è un caso che, di qualsiasi tipo di sicurezza parliamo, le misure perdono efficacia se non si presta attenzione anche alle persone che quotidianamente ne fanno uso, contribuendo in modo attivo alla costruzione della sicurezza.

Ma come agire sul fattore umano? E, soprattutto, con quali modalità?

Prima di tutto l'intervento deve andare nella giusta direzione: sviluppare cultura della sicurezza in ambito informatico non può consistere nella sola erogazione di corsi formativi, se l'obiettivo che ci si prefigge è quello di raggiungere una consapevolezza dei rischi cyber e della propria capacità di prevenirli e/o di gestirli.

Nella pratica quotidiana assistiamo all’utilizzo di parole sicuramente attrattive dal punto di vista tecnico, come quella di awareness, ma che poi devono tradursi in efficaci programmi di informazione, formazione e addestramento.

La consapevolezza, infatti, va ben oltre la conoscenza: possiamo conoscere, ma non per questo essere consapevoli. E’ necessario integrare conoscenza ed esperienza. Attraverso metodologie interattive, case analysis, role playing, simulazioni, è possibile, ad esempio, far comprendere gli impatti di un attacco informatico, di una perdita di dati. E, nel contempo, l'importanza del proprio comportamento per la prevenzione.

Nella progettazione di questi interventi didattici è altrettanto necessario coinvolgere figure professionali con esperienza soprattutto nel campo delle metodologie formative. Pena la perdita dell’efficacia di questo tipo di formazione.
Va da sé che l’efficacia delle attività formative e informative si raggiunge solo se si adottano criteri di qualità: adeguata progettazione degli interventi, metodologie appropriate in funzione degli obiettivi, selezione di docenti qualificati.

L’awareness si costruisce con e sul fattore umano.



Estratto rielaborato dalla rivista ICT Security: Le buone pratiche nella cybersecurity, ICT Security.

Nessun commento:

Posta un commento

Sono pubblicati solo i commenti che rispettano le norme di legge, le regole della buona educazione e sono attinenti agli argomenti trattati: siamo aperti alla discussione, non alla polemica.