La tua formazione sulla sicurezza informatica raggiunge le persone giuste?
Si parla molto di consapevolezza sulla sicurezza informatica. Ma quante organizzazioni sanno cosa dovrebbe raggiungere la loro formazione sulla sicurezza informatica, figuriamoci se funziona?
Caratteristica speciale
Una strategia vincente per la sicurezza informatica
Le aziende più intelligenti ora si avvicinano alla sicurezza informatica con una strategia di gestione del rischio. Scopri come creare policy per proteggere le tue risorse digitali più importanti.
Per saperne di più
Shane Moffitt è assistente responsabile della sicurezza delle informazioni (CISO) per il governo dello stato del Victoria, un’organizzazione con circa 311.000 dipendenti. È responsabile dell’attuazione della strategia di sicurezza informatica dello stato.
Togliere le persone dal lavoro per la formazione è costoso, molto più costoso del costo dello sviluppo della formazione stessa, quindi voleva il miglior ritorno sull’investimento. Ciò significava adottare un approccio strategico.
Quali comportamenti dovevano essere modificati per ridurre il numero di incidenti registrati e misurati nel registro centrale degli incidenti del governo?
Un esempio ovvio è stato il patching.
“Il governo del Victoria, come molte grandi imprese, ha un problema con la gestione e la valuta delle risorse ICT e l’aggiornamento su quello che chiamiamo kit legacy”, ha detto Moffitt all’AusCERT Cyber Security Conference sulla Gold Coast australiana la scorsa settimana.
“Sappiamo che causerà danni. Quindi vogliamo essere proattivi su questo e convincere le persone ad affrontarlo effettivamente prima che il danno sia causato”.
Moffitt ha ribadito l’importanza dell’applicazione di patch ai suoi dipendenti tecnologici e prevede di promuovere alla fine tutte le strategie di sicurezza informatica Essential Eight dell’Australian Signals Directorate (ASD) attraverso l’intero servizio pubblico vittoriano.
“E poi abbiamo capito che avevamo scelto i cambiamenti di comportamento sbagliati”, ha detto.
“Abbiamo parlato con i nostri operatori ICT e abbiamo detto ‘Patch. Sai che devi patchare’. E loro dicono ‘Sì, so che abbiamo bisogno di patch, ma non posso. L’attrezzatura non è aggiornata. E perché l’attrezzatura è scaduto? Perché il mio dirigente non mi darà i soldi per aggiornarlo.'”
Dal punto di vista di un dirigente, sostituire le apparecchiature legacy può sembrare una mossa sbagliata. Dovrebbero spendere parte del loro budget di capitale per il nuovo kit, oltre a più budget operativo perché ora dovrebbero applicare di nuovo le patch, ma non ci sarebbero cambiamenti nei risultati operativi.
Quindi la strategia di allenamento è stata cambiata. I dirigenti sono stati formati su una migliore valutazione del rischio e su come bilanciare i rischi informatici con la necessità di fornire servizi governativi migliori.
Il governo ha collaborato con l’Australian Institute of Company Directors (AICD), che già organizza corsi di formazione sui rischi informatici. L’AICD potrebbe farlo in modo più efficiente e i tirocinanti otterrebbero un elemento riconoscibile per il loro CV.
Il governo ha anche sviluppato un video di sensibilizzazione per i dirigenti, drammatizzando uno scenario in cui il rifiuto del budget per sostituire un sistema legacy ha portato a una violazione dei dati e, infine, a un disastro mediatico per il premier statale.
Stanno anche sviluppando un “quadro delle risorse ICT” per tenere traccia della valuta delle risorse e dare quella visibilità.
La formazione è stata mirata anche a dirigenti e dipendenti pubblici più in generale per ridurre l’impatto del phishing.
“Il registro mostra che circa il 56% di tutti i nostri incidenti sarebbe stato evitato se qualcuno non avesse ceduto a una truffa di pesca. È ridicolo”, ha detto Moffitt.
“Non arriveremo mai a zero. Non ci aspettiamo di arrivare a zero. [But] siamo fiduciosi di poterlo ridurre del 10%, 20% o 50%. Vale la pena investire sia negli incidenti stessi che nel costo di gestione di quegli incidenti”.
Il prossimo ciclo di materiali di formazione rappresenterà una gamma più ampia di dipendenti, non solo impiegati.
“Le persone che indossano uniformi si identificano separatamente dalle persone che indossano abiti. Quando abbiamo pubblicato un video di un impiegato, un’infermiera o un agente di polizia, si sono immediatamente disimpegnati e dissociati da loro, quindi non funziona in modo efficace”, Moffitt disse.
Copertura correlata
L’audit definisce il sistema sanitario pubblico del Victoria “altamente vulnerabile” agli attacchi informatici
L’ufficio del revisore generale del Victoria ritiene che il sistema sanitario potrebbe subire la stessa sorte del servizio sanitario nazionale del Regno Unito e del SingHealth di Singapore.
Victoria stanzia 53 milioni di dollari australiani per la fornitura di servizi digitali e il coinvolgimento dei cittadini
Il bilancio statale sta anche dando la priorità agli aggiornamenti delle radio delle ambulanze, all’assistenza sanitaria acuta attraverso iniziative come un sistema di cartelle cliniche digitali e una manciata di progetti relativi alla tecnologia nelle scuole.
Victoria cerca di rendere disponibili le informazioni sui trasporti pubblici in tempo reale
L’autorità statale dei trasporti ha indetto una gara d’appalto per la fornitura di un’app mobile che contenga funzionalità di pianificazione del viaggio, informazioni in tempo reale, notifiche di interruzione e gestione della carta myki.
Il Digital Council riferisce che il NSW e il Victoria hanno le iniziative digitali più basate sui dati
Un rapporto dell’Australian Digital Council ha rivelato che in Australia sono attualmente in corso poco meno di 100 iniziative relative ai dati e al governo digitale.
Gli studenti di Melbourne sono cavie per la tecnologia di frode del riconoscimento facciale di NEC
Il software di riconoscimento facciale NeoFace di NEC sarà utilizzato da Cambridge Boxhill Language Assessments con sede a Melbourne nel tentativo di garantire che i test di seduta siano quelli iscritti.
