La consapevolezza della sicurezza delle informazioni è una parte in evoluzione della sicurezza delle informazioni che si concentra sull’aumentare la consapevolezza dei rischi potenziali delle forme di informazione in rapida evoluzione e delle minacce in rapida evoluzione a quelle informazioni che mirano al comportamento umano. Man mano che le minacce sono maturate e le informazioni sono aumentate di valore, gli hacker hanno aumentato le loro capacità e ampliato a più ampie intenzioni, sviluppato più metodi e metodologie di attacco e agendo su motivazioni più diverse. Con la maturazione dei controlli e dei processi di sicurezza delle informazioni, gli attacchi sono maturati per aggirare i controlli e i processi. Gli aggressori hanno preso di mira e sfruttato con successo il comportamento umano degli individui per violare le reti aziendali e i sistemi di infrastrutture critiche. Individui mirati che non sono a conoscenza di informazioni e minacce potrebbero eludere inconsapevolmente i tradizionali controlli e processi di sicurezza e consentire una violazione dell’organizzazione. In risposta, la consapevolezza della sicurezza delle informazioni sta maturando. La sicurezza informatica come problema aziendale ha dominato l’agenda della maggior parte dei Chief Information Officer (CIO), esponendo la necessità di contromisure all’attuale panorama delle minacce informatiche. L’obiettivo della consapevolezza della sicurezza delle informazioni è di rendere tutti consapevoli di essere sensibili alle opportunità e alle sfide nel panorama delle minacce odierne, modificare i comportamenti a rischio umano e creare o migliorare una cultura organizzativa sicura.
La consapevolezza della sicurezza delle informazioni è uno dei molti principi chiave della sicurezza delle informazioni. La consapevolezza della sicurezza delle informazioni cerca di comprendere e migliorare i comportamenti, le convinzioni e le percezioni del rischio umano sulla sicurezza delle informazioni e delle informazioni, oltre a comprendere e migliorare la cultura organizzativa come contromisura alle minacce in rapida evoluzione. Ad esempio, le linee guida dell’OCSE per la sicurezza dei sistemi e delle reti di informazione comprendono nove principi generalmente accettati: consapevolezza, responsabilità, risposta, etica, democrazia, valutazione del rischio, progettazione e implementazione della sicurezza, gestione della sicurezza e rivalutazione. Nel contesto di Internet, questo tipo di consapevolezza viene a volte indicato come consapevolezza della sicurezza informatica, che è al centro di molteplici iniziative, tra cui il Mese nazionale di sensibilizzazione sulla sicurezza informatica del Dipartimento degli Stati Uniti e il Summit della Casa Bianca del Presidente Obama sulla sicurezza informatica e Protezione del consumatore. I crimini informatici non sono qualcosa di nuovo per noi. I virus sono stati con noi per oltre 20 anni; lo spyware è cronometrato più di un decennio dai primi incidenti; e l’uso su larga scala del phishing può essere fatto risalire almeno al 2003. Uno dei motivi per cui i ricercatori hanno concordato sul fatto che il ritmo del sistema informativo si sta evolvendo e si sta espandendo, il programma di sensibilizzazione alla sicurezza tra i dipendenti è in ritardo. Sfortunatamente, tuttavia, sembra che la rapida adozione dei servizi online non sia stata accompagnata da un corrispondente abbraccio della cultura della sicurezza.
La consapevolezza della sicurezza delle informazioni si sta evolvendo in risposta all’evoluzione della natura degli attacchi informatici, all’aumento del targeting delle informazioni personali e al costo e alla portata delle violazioni della sicurezza delle informazioni. Inoltre, molte persone pensano alla sicurezza in termini di controlli tecnici, senza rendersi conto che sono individui come obiettivi e che il loro comportamento può aumentare i rischi o fornire contromisure a rischi e minacce. Determinare e misurare la consapevolezza della sicurezza delle informazioni ha evidenziato la necessità di metriche accurate. In risposta a questa esigenza, le metriche sulla consapevolezza della sicurezza delle informazioni si stanno evolvendo rapidamente per comprendere e misurare il panorama delle minacce umane, misurare e modificare la comprensione e il comportamento umano, misurare e ridurre il rischio organizzativo e misurare l’efficacia e il costo della consapevolezza della sicurezza delle informazioni come contromisura. La maggior parte delle organizzazioni non vuole investire denaro nella sicurezza delle informazioni. Un’indagine condotta da PricewaterhouseCoopers (2014) ha rilevato che gli attuali dipendenti (31%) e ex dipendenti (27%) contribuiscono ancora a incidenti di sicurezza delle informazioni. È interessante notare che i risultati dell’indagine hanno indicato che il numero di incidenti reali imputabili ai dipendenti era aumentato del 25% dall’indagine del 2013.
Un programma di sensibilizzazione alla sicurezza è la soluzione migliore che un’organizzazione può adottare per ridurre le minacce alla sicurezza causate dai dipendenti interni. Un programma di sensibilizzazione alla sicurezza aiuta i dipendenti a capire che la sicurezza delle informazioni non è una responsabilità individuale; è responsabilità di tutti. Il programma menziona anche esplicitamente che i dipendenti sono responsabili di tutte le attività svolte sotto le loro identificazioni. Inoltre, il programma applica le modalità standard di gestione dei computer aziendali. Sebbene le organizzazioni non abbiano adottato un metodo standard per fornire il programma di sensibilizzazione sulla sicurezza, un buon programma dovrebbe comprendere la consapevolezza dei dati, della rete, della condotta degli utenti, dei social media, dell’utilizzo di dispositivi mobili e WiFi, e-mail di phishing, ingegneria sociale e diversi tipi di