200 likes | 372 Views
AISIC. PREVENZIONE DEL CRIMINE SICUREZZA E PSICOLOGIA. dI Marco Strano International Crime Analysis Association. ASSOCIAZIONE ITALIANA PER LA SICUREZZA INFORMATICA E NELLE COMUNICAZIONI. AISIC. TIPOLOGIA DI WORKPLACE CRIME (INSIDE). VITTIMA. MOLESTIE SESSUALI MOBBING SICUREZZA SUL LAVORO
E N D
AISIC PREVENZIONE DEL CRIMINE SICUREZZA E PSICOLOGIA dI Marco Strano International Crime Analysis Association ICAA 2005
ASSOCIAZIONE ITALIANA PER LA SICUREZZA INFORMATICA E NELLE COMUNICAZIONI AISIC ICAA 2005
TIPOLOGIA DI WORKPLACE CRIME (INSIDE) VITTIMA MOLESTIE SESSUALI MOBBING SICUREZZA SUL LAVORO VIOLAZIONE PRIVACY CLIENTI PERSONA REATI FISCALI REATI FINANZIARI ECOCRIMINI SPAMMING FRODI AMBIENTE ESTERNO FURTI COMPUTER CRIME FRODI SABOTAGGI AZIENDA ICAA 2005
Obbiettivo dell’attacco inside INSIDER TARGET INTERNO TARGET ESTERNO ICAA 2005
Danni conseguenti ad attacchi inside DANNO PRIMARIO DIVULGAZIONE DATI SENSIBILI RIPRISTINO SISTEMA VIOLATO Attacco inside RISARCIMENTI DANNO SECONDARIO PERDITA DI IMMAGINE ICAA 2005
Il computer crime inside e la consapevolezza del crimine MEDIA CONSAPEVOLEZZA ALTA CONSAPEVOLEZZA SCARSA CONSAPEVOLEZZA Professionisti del crimine Criminali di basso profilo Soggetti inconsapevoli HIGH PROFILE INSIDERS LOW PROFILE INSIDERS ICAA 2005
L’ORIGINE DEL RISCHIO E DELL’ATTACCO organizzazione OPERATORI CHE NON RISPETTANO LE PROCEDURE DI SICUREZZA LOWPROFILEINSIDERS HIGH PROFILE INSIDERS HACKERS ICAA 2005
La dinamica psicologica dell’inserimento di nuove procedure di sicurezza FASE CRITICA FASE CRITICA (RIFIUTO) FASE A Convincersi della necessità della nuova procedura e cominciare ad eseguirla FASE B Mantenere stabile l’applicazione della procedura in tutti i processi che la richiedono FASE C L’abitudine e la verifica dell’assenza di incidenti riducono la percentuale di applicazione FASE D Si consolida l’automatismo nell’applicazione della procedura anche in assenza di incidenti che la legittimano Nuova procedura Livello di sicurezza sufficiente FORMAZIONE FOCUS GROUP ICAA 2005
CRIME BENEFITS Uso personale di beni aziendali tollerato per compensare il disagio sul lavoro Applicazione a singhiozzo della policy aziendale Risoluzione extragiudiziaria del problema Per tutelare l’immagine dell’azienda Perdono dei reati ai soggetti produttivi ICAA 2005
Danni provocabili da normal user e critical user DANNI PROVOCABILI DANNI PROVOCABILI PERCEZIONE DEL RISCHIO PRIVILEGI DI ACCESSO PERCEZIONE DEL RISCHIO PRIVILEGI DI ACCESSO NORMAL USER CRITICAL USER Amministratore di sistema ICAA 2005
L’efficacia della policy di sicurezzanelle organizzazioni è legata a: Livello di percezione del rischio Condivisione degli obbiettivi aziendali Conoscenza della policy di sicurezza Conoscenza tecnologie di sicurezza Conoscenza responsabilità e sanzioni Questi fattori si possono misurare e incrementare ICAA 2005
Alcune ricerche dell’ICAA sugli aspetti psicologici della sicurezza informatica STRUMENTI UTILIZZATI PSYCHOLOGICAL RISK ASSESSMENT (ICAA) Workplace Computer Crime Psychology Questionnaire (W.C.P.Q.) Computer crime Risk Perception Questionnaire (C.R.P.Q) B.I.P.Q. (Biometrics Impact Perception Questionnaire) ICAA 2005
IL CRIMINAL DECISION MAKING PROCESS: GLI INSIDERS PRIMA DI COMMETTERE UN ILLECITO, VALUTANO I PRO, I CONTRO E LE CONSEGUENZE. Atteggiamento dei colleghi (il gruppo) Valutazione delle conseguenze sociali Conoscenza e valutazione delle norme Moral disengagement valutazione delle conseguenze penali Stima dei danni provocati Stima delle possibilità che il crimine venga scoperto Stima della propensione alla denuncia da parte dell’azienda Acting-out ICAA 2005
L’andamento delle aree critiche utilizzando il W.C.P. questionnaire ICAA 2005
L’andamento delle aree critiche CRPQ in un campione di soggetti ICAA 2005
USERPSYCHOLOGY E BIOMETRIA ERRORI COGNITIVI INTERVENTO PSICOLOGICO USO MALDESTRO ANXIETY VARIABLES TRAUMATIC VARIABLES CATTIVO FUNZIONAMENTO ICAA 2005
B.I.P.Q. (Biometrics Impact Perception Questionnaire) • strumento a misurare la percezione dell’impatto della biometria nell’organizzazione MISURARE IMPATTO ANXIETY E TRAUMATIC VARIABLES Intervento di formazione mirata e focus-group ICAA 2005
La cultura della sicurezza e della legalità nelle organizzazioni Riduzione dei crimini informatici aziendali outside ed inside Aumento della cultura della sicurezza Analisi e valutazione del rischio RISK ASSESSMENT Modifica della percezione del crimine Formazione mirata Riduzione dei crimini informatici aziendali inside Adattamento alle nuove tecnologie di sicurezza Riduzione dei costi ICAA 2005
INSIDE ATTACK DATABASE INFORMAZIONI SULL’ATTACCO NNPCP ELECTRONIC CRIME SCENE IAD INPUT OUTPUT DATI BIOGRAFICI MOTIVAZIONE PROFILO OFFENDER ICAA 2005
Una moderna consulenza per la sicurezza informatica dovrebbe quindi suggerire: • Quale tecnologia acquistare • Quale policy di sicurezza attuare e diffondere • Quale intervento di prevenzione psicologica attuare ICAA 2005