Security awareness, consigli

Buongiorno a tutti, nell’amministrazione per cui lavoro vorremmo organizzare corsi di formazione o strutturare guide o video sulla sicurezza delle informazioni.
Per quanto riguarda la sensibilizzazione, potreste consigliarmi qualche Libro da leggere, oppure qualche sito web che può indirizzarmi nella realizzazione di quanto detto, o anche software se esistenti?

Grazie :pray:

Anche nel nostro ente siamo interessati ad una maggiore diffusione delle competenze in tema di sicurezza digitale. Un buon punto di partenza potrebbero essere i contenuti sviluppati dal Team per la Trasformazione digitale e disponibili qui https://teamdigitale.github.io/security-awareness/ Purtroppo test e quiz di autovalutazione non funzionano (cosa che ovviamente limita parecchio l’efficacia) e non riesco a trovare un riferimento a cui segnalare la cosa

2 Mi Piace

Ciao Marco, molto interessante. Ti ringrazio

Ciao Valerio,
in merito alla sensibilizzazione e alla consapevolezza, ti segnalo questo link dove puoi trovare strumenti gratuiti utili al rilevamento di eventuali minacce e in generale al controllo della bontà delle librerie utilizzate: Free Tools For Developers | Sonatype

Qui trovi di tutto e di più: https://clusit.it/

Personalmente considero la divulgazione da remoto molto comoda, ma molto poco efficace: gli eventi in presenza sono molto più proficui, in quanto facilitano il rapporto discente-docente e l’approfondimento di tematiche sentite dalla platea.
L’autoformazione purtroppo tende a scaricare sulle foglie dell’albero della gestione della sicurezza la responsabilità della gestione della stessa.
È poco efficace delegare la protezione dei dati della PA (anzi: dei cittadini, gestiti dalla PA) ai singoli utenti, ove i più motivati presteranno la massima attenzione, mentre la massa non modificherà i propri comportamenti ormai consolidati in ambienti social.
Senza un’organizzazione della gestione della sicurezza, con responsabilizzazione dei dirigenti, punti di riferimento per gli utenti e misurazione dell’efficacia, ci si continuerà a muovere allo stato brado.
Ritengo che sarebbe estremamente interessante ed utile creare una struttura preposta alla formazione strutturata di tutto il personale, di ogni livello, con un percorso progressivo, invece che one-shot.
E questa struttura dovrebbe essere misurata in relazione all’efficacia della propria azione.
Esistono standard appositi da prendere come linee guida, come la ISO21001.

Ed aggiungo che ogni anno entrano nella PA nuove persone, giovani, appena uscite dal liceo e dalle università, senza che abbiano già ricevuto un’adeguata formazione sulla protezione dei dati che la PA gestisce per conto dei cittadini.
Parlare di una formazione strutturata nelle scuole sulla sicurezza delle informazioni, e non soltanto concentrarsi soltanto sul cyberbullismo (che è un effetto, e non una causa) eleverebbe la consapevolezza nella PA in una sola generazione.

1 Mi Piace