ENISA: formazione e sensibilizzazione sulla sicurezza delle informazioni presso istituzioni finanziarie

Il 28 novembre 2008 ENISA, l’agenzia europea per la sicurezza delle informazioni e delle reti, ha pubblicato il rapporto "Information security awareness in financial organisations" (qui in pdf, 49 pp, 2.2 M, lingua inglese) una guida per la progettazione e l’erogazione di cosi di formazione e sensibilizzazione sulla sicurezza delle informazioni presso aziende ed istituzioni finanziarie.
Di seguito pubblichiamo la traduzione in italiano dell’Executive Summary del rapporto, l’indice completo del documento e i riferimenti per approfondimenti ed ulteriori letture.
Per ulteriori informazioni sul rapporto si possono contattare

  • Ulf Bergström, Press and Communications Officer, ENISA
  • Isabella Santa, Awareness Raising Senior Expert, ENISA

Con le modalità indicate in questa pagina del sito ENISA 

La traduzione dall’inglese si deve ad Agatino Grillo.

Executive Summary

Questo report si rivolge ai decision-maker ed al personale di staff impegnato nella realizzazione di programmi di formazione e sensibilizzazione (awareness) sulla sicurezza delle informazioni presso aziende, istituzioni ed organismi finanziari, un settore sempre più esposto alle minacce e vulnerabilità relative alla sicurezza informatica. Le perdite medie causate dal furto di informazioni personali sono in grande crescita così come il costo per la gestione e la risposta agli incidenti di sicurezza. Le vulnerabilità di sicurezza breaches nelle istituzioni finanziarie non solo danneggiano la reputazione ma causano anche pesanti perdite finanziarie, che assai difficilmente possono essere poi recuperate. Secondo il "Rapporto 2008" dell’UK Financial Services Authority (FSA), le istituzioni di servizi finanziari potrebbero migliorare in modo significativo i propri sistemi di controllo per prevenire le perdite ed i furti di dati. Inoltre gli impiegati sono ormai considerati la singola maggior causa di incidenti di sicurezza come è stato confermato da molte indagini internazionali compresa la "2007 Global State of Security" ed il "2008 BERR survey". Le soluzioni tecnologiche non sono ormai più una panacea come lo sono state nel passato. Lo sforzo di mitigare i rischi di sicurezza  si sta spostando sempre più verso l’elemento umano e costituisce un impegno finanziario rilevante per qualsiasi azienda.
Gli obiettivi di questa pubblicazione sono di spiegare l’importanza dell’information security awareness nelle aziende finanziarie, di analizzare il contesto ed i business driver che possono avere impatto su tali programmi formativi e di fornire un "framework comunicativo" per meglio organizzare una iniziativa di awareness. Sono forniti "case study”e raccomandazioni per aiutare il punto di partenza per i piani di awareness di professionisti e team.
La prima parte del report è un assessment del contesto tipico delle aziende finanziarie e dei loro principali business driver. In tali ambienti l’information security awareness deve essere integrata nelle più ampie iniziative relative ai piani di sicurezza ed al rispetto dei requisiti di compliance definiti dalle norme di legge e dalle regolamentazioni di mercato; in tali ambienti è una grande sfida realizzare iniziative di formazione in ambito information security awareness ed allo stesso tempo assicurare i requisiti di business continuity e disaster recovery in modo efficace ed operativo. In questo tipo di business, infatti, a causa del flusso continuo dei dati e contemporaneamente degli elevati requisiti di sicurezza, non si possono fermare o ridurre le attività neanche per brevi periodi. Questo studio si focalizza sulla disamina degli standard internazionali, dei requisiti normativi in essere e degli obiettivi di certificazione insieme con i rischi più importanti, le minacce ed i comportamenti dei utilizzatori finali nell’ambito dell’information security.
Diversi parametri definiscono la strategia di awareness che deve essere seguita in aggiunta a quelle menzionate sopra, come la "segmentazione di audience", ruoli e job function, locazione geografica, multiculturalismo e così via.
La seconda parte illustra le differenti fasi dell’implementazione di un programma di accrescimento dell’awareness nelle organizzazioni finanziarie e la valutazione dei risultati. Per assicurare che le iniziative di information security awareness corrispondano agli obiettivi delle istituzioni finanziarie si deve predisporre un processo formativo continuo ed in continua evoluzione. In questo capitolo sono presentati i fattori che devono essere presi in considerazione nelle fasi di pianificazione, progettazione ed implementazione insieme con i tool per i misurare il successo delle iniziative di awareness.
La terza parte comprende suggerimenti pratici, raccomandazioni e "case study" forniti da un certo numero di organizzazioni ed enti privati. ENISA si augura che questo studio fornisca alle aziende, organizzazioni ed istituzioni finanziarie uno strumento utile e di valore per migliorare la comprensione dell’importanza di prevenire le perdite di dati e di gestire in maniera professionale le iniziative ed i programmi di  formazione ed awareness. Realizzare programmi efficaci di information security awareness è una sfida ardua per qualsiasi azienda; l’accrescimento della consapevolezza nel settore bancario e finanziario è un importante primo passo nella direzione di vincere tale sfida.

Riferimenti e fonti per ulteriori letture

Indice del documento

  • Contents
  • About enisa
  • Acknowledgments
  • Executive summary
  • Part 1: business environment and main drivers
  • Introduction
  • Purpose
  • Objectives
  • Audiences
  • Background
  • Financial organisations: a definition
  • Assessment of environment and main drivers
  • An introduction
  • Review of business drivers
  • Focus on the us – latest news in awareness raising requirements: id theft red flags rules
  • The state of banking information security 2008 - survey executive overview
  • Financial organisations‘ concerns
  • Risks and threats
  • Audience segmentation: a definition
  • Job functions
  • Geographical location
  • Mergers and acquisitions
  • Multicultural environment
  • Media channels/method of delivery
  • Scalability
  • Languages
  • Part 2: awareness raising programmes
  • Awareness raising programmes
  • Assessment
  • Planning and designing phases
  • Approval from the board
  • Identify drivers
  • Identify requisites and needs
  • Design the programme
  • Review the design
  • Implementation phase
  • Build a platform for delivery
  • Assign project resources
  • Plan and execute the roll out
  • Measure the success and improve the programme
  • Part 3: guidelines for good practice
  • Good practice guidelines
  • Recommendations
  • Conclusions
  • References and sources for further reading

Link utili

Altri articoli di Agatino Grillo 

 Altre traduzioni di Agatino Grillo

ComplianceNet: