spiegare al proprio management/amministratori/dirigenti il tema della cybersecurity e la necessità di investimenti in merito.
Invece di inventarsi ogni volta cosa dire, potrebbe essere interessante creare e condividere una presentazione che permetta di essere uno standard su cui basarsi per portare al giusto livello queste problematiche allo scopo di creare una cultura e i giusti investimenti.
Che strumento si potrebbe utilizzare per fare una presentazione condivisa?
Cosa ne pensate?
La cultura nel campo della Sicurezza Informatica la fa solo l’incidente di sicurezza che fa tremare le poltrone…
Unisci a questo budget irrisori per problematiche che di solito, per definizione, sono (poco) probabili ed il guaio è fatto.
Se aggiungiamo infine che la Sicurezza Informatica è diventata adesso CyberQUALSIASICOSA, con una nuova buzz word, altro danno si aggiunge.
Secondo me le misure minime di sicurezza informatica emanate da Agid sono un buon punto di partenza. Obbligano il mgmt ad occuparsi di tematiche di sicurezza informatica e nello stesso tempo ad “acculturarsi”.
Trovo difficile dire al management: queste sono le misure, dobbiamo adeguarci. Anche perchè nemmeno loe capiscono.
Bisogna prima creare una cultura, arare il campo per poi seminare. Anche perchè solo forzare non aiuta in nessun modo a far crescere la pianta e la cybersicurezza è una questione di humus e sementi, non di innesti.
Ed invece, sempre secondo me, il succo è proprio questo: ci sono delle misure minime che DEVONO essere rispettate, quindi ti adegui. La cultura viene poi.
Sono decenni che si tenta di fare cultura di Sicurezza Informatica e non ci si è riusciti per i motivi che accennavo. Intendiamoci, non che sia un problema solo nostro, ma ovviamente in tempi di vacche magre, la sicurezza informatica è davvero l’ultima cosa per il mgmt, specialmente in Italia.
Si incrociano le dita e si spera che non ci sia un Data Leak che riguardi la propria azienda. Per i cinesi che fanno cyber spionaggio, capita sempre agli altri. Per i ransomware si sta zitti e si rimedia in qualche modo. Per gli insider…esiste un problema insider?
Lo struzzo difficilmente tirerà fuori la testa se non gliela tiri fuori tu…
E poi il dirigente quadratico medio della PA o di ente privato sarà in overflow da presentazioni powerpoint.
Serve cultura, ma servono anche le decisioni politiche. Le misure minime lo sono. In Italia. Quasi commovente!
Se nel 2017 un dirigente che si occupa di ICT non ha la consapevolezza dell’importanza della sicurezza informatica, non è questione di cultura, è questione che non deve fare il dirigente. Smettiamo di essere “assistenzialisti” anche in questo tipo di visione.
Posso capire gli utenti (e non tutti), ma un dirigente ICT no.
In tanti comuni non esistono i dirigenti ICT. Esiste solo il sindaco che è la massima autorità in informatica ovvero decide come spendere i soldi sui capitoli del comune tra cui l’informatica.
Oppure esiste una persona molto disponibile che è diventata nel tempo il referente informatico, pur essendo un geometra o un ragioniere.
Se ai secondi è difficile spiegare la cybersicurezza e bisogna usare la leva del “se non lo fai poi per te è un casino perchè sei il referente”, ai primi è quasi impossibile perchè confrontano la crybersicurezza con asfaltare le strade, e la seconda porta più visibilità.
Quindi, perlomeno nel nostro caso, l’impatto del tipo “devi farlo” non serve, perchè rispondono “se non lo faccio cosa succede”? Solitamente la risposta è “niente”. Quindi si conclude il tutto in “bene allora non lo faccio o lo faccio quanto potrò”.
Vedi pagopa, da completare entro fine 2016, da aderire entro fine 2015. Se ne sta ancora parlando perchè alcuni comuni aderiranno quando si sentiranno.
Serve un meccanismo di premio-punizione …
es. premio: se applichi le misure ict puoi usare il 10% del patto di stabilità
es. punizione: se non applichi le misure ict allora non puoi partecipare a certi bandi
Così si forza la mano e si aiuta a fare una cultura sulla cybersicurezza come conseguenza collaterale.
Obbligando solo normativamente, non si riesce.
Perlomeno per la mia esperienza, con sindaci (it manager ad honorem) che hanno tutt’altro da fare che pensare alla cybersicurezza, percepita nel migliore dei casi come una sorta di polizza di assicurazione da fare se ci si sente.
Capisco il punto, ma guarda che tra Sindaco-Comune-Piccolo e Dirigente-PA/Ente non è che c’è molta differenza…
Comunque, per non rischiare di fare un flame, procederei sia con un piano di Security Awareness che con una responsabilizzazione sulla normativa (vedi misure minime PA).
Più che una presentazione forse sarebbe più utile un video di 3-4 minuti orientato alla Sicurezza informatica per le PA (mi pare sia questo l’ambito) dove magari introdurre le misure minime di Agid. Video ovviamente gratuito, disponibile su Youtube e referenziato qui.
Nel video inutile sciorinare le solite ovvietà sulle password lunghe e sui meccanismi che permettono di alzare il livello di protezione (per quello ci sono le misure minime), meglio analizzare le varie minacce nelle PA di oggi: dataleak, dati sensibili, ransomware, insider…
Un video con gli argomenti di cui parli potrebbe essere molto efficace.
L’altro tema infatti è: “ma chi vuoi che attacchi un comune di 2000 abitanti … e poi per rubare cosa?”
Bisogna fare anche capire i problemi reali e specifici.
Ciao anche io penso sia necessario creare le condizioni culturali e di consapevolezza negli utenti di rete.
Con la formazione puntuale di tutti i colleghi già si può già creare consapevolezza, senza per forza partire dai sindaci o dai segretrari poi ci si arriva con incontri successivi e meno tecnici.
Per quanto riguarda il video non so chi meglio di @gvarisco possa farlo.
Gianluca spero coglierai la proposta con piacere. So che sei sempre molto impegnato, però penso che una presentazione di 3-4 minuti sia più che sufficiente, che ne pensi?
