• +39 0142 330 500
  • info@lanservice.it
Facebook Linkedin Twitter
Torna alle news

Security Awareness Training: come ridurre gli errori umani e vincere il Derby degli errori con i computer

Nel film “2001 Odissea nello spazio” di Stanley Kubrik (1968) il calcolatore HAL 9000 affermava: “Nessun calcolatore 9000 ha mai commesso un errore o alterato un’informazione. Noi siamo, senza possibili eccezioni di sorta, a prova di errore, e incapaci di sbagliare”.

Già, ma sarà proprio così? Siamo proprio sicuri che un giorno ci fideremo al 100% dei computer?
Io penso che anche se immaginassimo degli avveniristici sistemi di machine learning che progressivamente si sostituiscano agli esseri umani nello sviluppo di Robot e di sistemi di Intelligenza Artificiale, la verità è che gli errori potrebbero verificarsi ugualmente e provocare danni difficilmente calcolabili. Ma senza guardare così in avanti nel tempo bisogna riconoscere che oggi la situazione attuale degli utenti sulla tematica della sicurezza informatica è veramente desolante. 

Ecco alcuni esempi:

  • ·       Il 90% di tutti i data breach sono dovuti a phishing o social engineering per attività degli utenti (Verizon’s 2016 Data Breach Digest Report).
  • ·       L’84% delle organizzazioni che hanno avuto un attacco di spear phishing hanno riscontrato l’inefficacia delle proprie difese ed il 32% hanno anche patito perdite finanziarie.

Quindi se è vero che i collaboratori rappresentano l’ultimo baluardo delle difese di un’organizzazione, purtroppo ancora oggi sono quasi sempre l’anello debole della catena.

Senza parlare dei Dirigenti e dei Manager che pur gestendo informazioni riservate e sempre più delicate sono tra i disattenti alla protezione di queste informazioni critiche e sono spesso in movimento senza disciplinare l’accesso o la gestione in sicurezza degli strumenti e delle connessioni di lavoro.

In che modo ci sta venendo incontro la tecnologia dei CBT e quali vantaggi fornisce?

Rispetto al passato i Training Computer-Based (CBT), cioè quelli che si erogano esclusivamente attraverso un computer, hanno migliorato in diverse caratteristiche essenziali e sono diventati più semplici e coinvolgenti:

  • Sono molto più interattivi
  • Sono dotati di grafica accattivante
  • La struttura di presentazione spesso ricalca quella di un gioco
  • Spesso sono gestiti secondo sessioni di 10-15 minuti
  • Prevedono dei quiz semplici per vedere se i concetti base sono stati capiti
  • Si possono seguire su qualunque dispositivo mobile ed all’interno di un browser senza dover installare alcun programma

I benefici di un programma di Security Awareness

Le organizzazioni con un programma per la Security Awareness hanno riscontrato il 50% di probabilità in meno di incorrere in violazioni di sicurezza del personale. Il valore di un programma efficace di cybersecurity awareness può determinare, secondo uno studio di Aberdeen Group:

  • La diminuzione del numero degli incidenti fino al 90%
  • La riduzione dei termini del rischio monetario del 50-60%
  • La “traduzione” della cybersecurity dal linguaggio IT a quello aziendale e generazione del consenso della dirigenza aziendale e del personale aziendale
  • La generazione di risultati misurabili in termini di cybersecurity awareness ed il loro controllo nel tempo

Alla luce di quanto riportato, un accurato programma di sensibilizzazione e di incremento di consapevolezza sulla sicurezza delle informazioni rappresenta una priorità assoluta per le aziende di qualsiasi settore e taglia, come del resto appare da un recente studio di Gartner in cui i Training CBT sono stati indicati di gran lunga come la tematica #1 di investimento per la Cybersecurity nel corso del 2017 e degli anni a venire.

Occorre inoltre ricordare che nel corso del 2018, inoltre, verrà applicato il GDPR (Regolamento Europeo sulla Data Protection) e se già il Codice della Privacy del 2003, e le sue modifiche successive, imponeva l’adozione di idonee misure di sicurezza che includevano anche la formazione del personale, figuriamoci se questo non vale ancora di più per il GDPR che prevede sanzioni che dal 25 maggio 2018 possono raggiungere i 20 milioni di Euro o il 4% del fatturato mondiale annuo dell’organizzazione sanzionata.

Si possono inoltre utilizzare fino a fine 2017 dei fondi previsti alla normativa “Industria 4.0” perché nell’Allegato B è prevista la voce degli investimenti in “Cybersecurity”.

I corsi CBT si sviluppano in base ad un percorso articolato che tocca i principi di base della sicurezza, ovvero la protezione del proprio computer e dei propri device mobili (notebook, smartphone, tablet, altro), la scelta di password robuste e la protezione delle proprie credenziali d’accesso, la gestione di memorie USB o simili, la gestione attenta delle proprie informazioni personali, la gestione di Public WIFI e il riconoscimento dei tentativi di intrusione e truffa (spam, APT, phishing, social engineering, ecc.), fino a indicazioni più avanzate, come le politiche di sicurezza per il Cloud, le soluzioni di per il lavoro da remoto fino alla nuova frontiera dell’Internet of Things (IoT).

Lo scopo principale di questi CBT è quello di favorire la presa di coscienza degli utenti e dei dipendenti della necessità di prevenire il più possibile gli incidenti di sicurezza e di insegnare le principali competenze, le tecniche e i metodi fondamentali per affrontare eventuali problemi. 

Non solo i dipendenti, ma anche dirigenti e manager

Mediante la formazione i Line Manager ed i Business Manager sono motivati:

  • A comprendere “perché dovrebbero preoccuparsi della sicurezza”
  • A distinguere un comportamento sicuro da uno non sicuro (competenze tecniche e di vigilanza)
  • A seguire gli esempi positivi su come procedere, non solo di cosa non fare.

Inoltre, consente ai partecipanti di comprendere il loro aspetto dal punto di vista dei cybercriminali. Valore: è stato riscontrato il 93% di probabilità che le conoscenze acquisite durante la formazione vengano applicate nel lavoro quotidiano, secondo Kaspersky.

In questo caso i corsi CBT sono orientati a:

  • Strategy simulation per i decision maker
  • Team-work
  • Competizioni
  • Strategia e verifica errori

Conclusioni

Sembra inverosimile, ma la realtà è quella che ridurre gli errori umani nell’ambito della sicurezza informatica è molto più raggiungibile e realizzabile rispetto alle difficoltà, a volte insormontabili, di ridurre gli errori commessi da apparati e sistemi fisici o logici legati alla sicurezza. Si può raggiungere questo obiettivo se si impostano dei piani formativi sulla sicurezza e si educa alla cultura della sicurezza anche grazie ai Training di Security Awareness.

Uomo vs. HAL 9000 = 1 a 0!

LSlogo30
  • CASALE MONFERRATO

Via G. Brodolini, 80
(Zona Industriale)
Tel. +39 0142 330 500

  • MILANO

Via Caldera, 21 – Caldera Park
Tel. +39 02 334 310 58

  • LUGANO

Via S. Balestra, 18
Tel. +41 91 21 04 634

ls-logo.png
  • CASALE MONFERRATO

Via G. Brodolini, 80
(Zona Industriale)
Tel. +39 0142 330 500

  • MILANO

Via Caldera, 21 – Caldera Park
Tel. +39 02 334 310 58

  • LUGANO

Via S. Balestra, 18
Tel. +41 91 21 04 634

ls-logo.png
  • CASALE MONFERRATO

Via G. Brodolini, 80
(Zona Industriale)
Tel. +39 0142 330 500

  • MILANO

Via Caldera, 21 – Caldera Park
Tel. +39 02 334 310 58

  • LUGANO

Via S. Balestra, 18
Tel. +41 91 21 04 634

Facebook Linkedin Twitter

Certificazione ISO 9001:2015
"Progettazione, realizzazione di infrastrutture"

LAN Service Group | Company profileResponsabile protezione dati personali | Credits
Dati fiscali

|

Privacy Policy

|

Cookie Policy

Lan Service srl

Sede Legale e operativa

Via G. Brodolini, 80 . 15033 Casale M.to (AL)
Tel. +39 0142 330 500 . Fax +39 0142 330 600
P.Iva e C.F. 01562820066
Iscr. Reg. Imp. AL-01562820066 . Cap. Soc. € 80.645,00

POLITICA PER LA PROTEZIONE DEI DATI

In coerenza con la Missione e i Valori aziendali ed in linea con la propria politica, Lan Service Group, nelle sue attività pone in evidenza alcuni principi, in materia di protezione dei dati personali, ai quali le sue strategie e i suoi obiettivi devono far riferimento:

  • Impegno alla protezione dei dati personali di ogni individuo (Protezione);
  • Garanzia del rispetto della sfera personale e della vita privata di ogni persona (Riservatezza);
  • Rispetto dell’identità e della personalità, della dignità di ogni persona (Individualità e Dignità);
  • Rispetto delle libertà fondamentali garantite dalla Costituzione (Tutela). Questi principi, conformandosi alla normativa vigente, sono declinati in modo che i dati personali siano:
  • raccolti e trattati solo per finalità determinate, esplicite e legittime;
  • utilizzati limitatamente e in maniera proporzionale alle finalità per le quali sono trattati;
  • raccolti e trattati solo se attinenti al raggiungimento delle finalità esplicitate;
  • trattati con modalità e strumenti proporzionali alle finalità da raggiungere;
  • sempre verificati, una volta raccolti e trattati, per garantirne la loro correttezza e affidabilità;
  • una volta raccolti e trattati siano periodicamente aggiornati;
  • conservati per un periodo di tempo limitato al raggiungimento delle finalità dichiarate;
  • sempre raccolti e trattati ponendo in essere adeguate misure tecniche ed organizzative di al fine di salvaguardare la loro integrità e riservatezza;
  • trattati per finalità diverse da quelle dichiarate quando si sono raccolti oppure violando quanto previsto dalla disciplina in materia di protezione dei dati personali.

 

OBIETTIVI

Miglioramento continuo della Tutela dei dati personali mediante:

  • l’adozione di un adeguato sistema documentale integrato (procedure, istruzioni operative, modelli documentali standard);
  • l’identificazione di delegati dotati di adeguati requisiti e poteri per garantire il corretto funzionamento del sistema di gestione privacy;
  • la definizione di un modello organizzativo adeguato al presidio del trattamento dei dati personali inerenti ad ogni processo di trattamento;
  • l’adozione di pareri di conformità normativa nella definizione, integrazione, modifica e/o revisione di processi aziendali che prevedano un trattamento di dati personali;
  • l’adozione di misure di sicurezza idonee a prevenire e ridurre al minimo i rischi inerenti il trattamento di dati personali;
  • l’adozione delle migliori tecniche disponibili ed economicamente sostenibili per limitare i danni in caso di incidenti o eventi negativi in materia di trattamento di dati personali;
  • l’adozione di opportuni criteri e modalità di ripristino dei dati in caso di danneggiamento e perdita accidentale. Coinvolgimento degli stakeholder e protezione dei dati personali con azioni mirate a:
  • sensibilizzare dipendenti, fornitori, allievi e famiglie su obiettivi e impegni assunti in materia di protezione dei dati personali;
  • motivare e coinvolgere il personale dipendente affinché vengano raggiunti gli obiettivi prefissati e sviluppato, ad ogni livello, il senso di responsabilità verso la tutela dei dati personali e la sicurezza delle informazioni;
  • formare informare ad un lecito e corretto trattamento dei dati personali e sicurezza delle informazioni;
  • promuovere il dialogo e il confronto con tutti i portatori d’interesse (P.A., Autorità , clienti, fornitori, Associazioni, lavoratori, ecc.), tenendo conto delle loro istanze, in materia di trattamento di dati personali, in coerenza con gli strumenti di partecipazione e comunicazione adottati da Lan Service Group .

 

Aggiornata al 18.12.2019

Gestione Cookies

Questo documento spiega “cosa sono i cookie” e come vengono usati si siti web di LANSERVICE S.r.l., ACKTEL S.r.l. e E-EVOLUTION S.r.l. (contitolari del trattamento).

Cosa sono i cookie?

Un “cookie” è un file di testo che il sito invia al computer o altro dispositivo connesso a internet per identificare in modo univoco il browser dell´utente o per salvare informazioni o configurazioni nel browser.

Usate cookie su questo sito?

Sì, vengono usati cookie per migliorare il sito e fornire servizi e funzionalità ai suoi utilizzatori.

è possibile limitare o disabilitare l´uso dei cookie tramite il browser web; tuttavia, senza alcuni cookie o tutte le funzionalità del sito potrebbero essere inutilizzabili.

 

Che tipo di cookie sono presenti su questo sito?

Cookie strettamente necessari

Questi cookie sono essenziali per portare a termine attività richieste dall´utente. Per esempio, per memorizzare informazioni fornite dall´utente mentre naviga nel sito o per gestire lo stato di “login” durante la visita.

Cookie funzionali

Questi cookie permettono al sito di memorizzare scelte effettuate dall´utente, successivamente riutilizzabili. Per esempio permettono al sito di memorizzare le impostazioni di ricerca, l´autenticazione e altre funzioni personalizzate.

Cookie di Google Analytics

Questi cookie permettono di raccogliere dati relativi all´uso del sito, come i contenuti visitati e le funzionalità utilizzate, con l´obbiettivo di migliorare le performance e il layout del sito. Questi cookie possono essere inviati dal fornitore dello strumento di Analytics, ma sono utilizzati solo per scopi legati al sito.

Cookie pubblicitari e di terze parti

Questi cookie memorizzano informazioni legate all´uso del sito per fornire informazioni personalizzate a scopo promozionale, sia all´interno che all´esterno del sito. Tali cookie sono disabilitabili dall´apposito banner o dalla sezione apposti del proprio browser .