PREVENZIONE DEL CRIMINE SICUREZZA E PSICOLOGIA AISIC PREVENZIONE DEL CRIMINE SICUREZZA E PSICOLOGIA dI Marco Strano International Crime Analysis Association MARCO STRANO ICAA 2005
ASSOCIAZIONE ITALIANA PER LA SICUREZZA INFORMATICA E NELLE COMUNICAZIONI AISIC MARCO STRANO ICAA 2005
TIPOLOGIA DI WORKPLACE CRIME (INSIDE) VITTIMA MOLESTIE SESSUALI MOBBING SICUREZZA SUL LAVORO VIOLAZIONE PRIVACY CLIENTI PERSONA REATI FISCALI REATI FINANZIARI ECOCRIMINI SPAMMING FRODI AMBIENTE ESTERNO FURTI COMPUTER CRIME FRODI SABOTAGGI AZIENDA MARCO STRANO ICAA 2005
Obbiettivo dell’attacco inside INSIDER TARGET INTERNO TARGET ESTERNO MARCO STRANO ICAA 2005
Danni conseguenti ad attacchi inside DANNO PRIMARIO DIVULGAZIONE DATI SENSIBILI RIPRISTINO SISTEMA VIOLATO Attacco inside RISARCIMENTI DANNO SECONDARIO PERDITA DI IMMAGINE MARCO STRANO ICAA 2005
Il computer crime inside e la consapevolezza del crimine MEDIA CONSAPEVOLEZZA ALTA CONSAPEVOLEZZA SCARSA CONSAPEVOLEZZA Professionisti del crimine Criminali di basso profilo Soggetti inconsapevoli HIGH PROFILE INSIDERS LOW PROFILE INSIDERS MARCO STRANO ICAA 2005
L’ORIGINE DEL RISCHIO E DELL’ATTACCO organizzazione OPERATORI CHE NON RISPETTANO LE PROCEDURE DI SICUREZZA LOW PROFILE INSIDERS HIGH PROFILE INSIDERS HACKERS MARCO STRANO ICAA 2005
Livello di sicurezza sufficiente La dinamica psicologica dell’inserimento di nuove procedure di sicurezza FASE CRITICA FASE CRITICA (RIFIUTO) FASE A Convincersi della necessità della nuova procedura e cominciare ad eseguirla FASE B Mantenere stabile l’applicazione della procedura in tutti i processi che la richiedono FASE C L’abitudine e la verifica dell’assenza di incidenti riducono la percentuale di applicazione FASE D Si consolida l’automatismo nell’applicazione della procedura anche in assenza di incidenti che la legittimano Nuova procedura Livello di sicurezza sufficiente FORMAZIONE FOCUS GROUP MARCO STRANO ICAA 2005
CRIME BENEFITS Uso personale di beni aziendali tollerato per compensare il disagio sul lavoro Applicazione a singhiozzo della policy aziendale Risoluzione extragiudiziaria del problema Per tutelare l’immagine dell’azienda Perdono dei reati ai soggetti produttivi MARCO STRANO ICAA 2005
Danni provocabili da normal user e critical user PERCEZIONE DEL RISCHIO PRIVILEGI DI ACCESSO PERCEZIONE DEL RISCHIO PRIVILEGI DI ACCESSO NORMAL USER CRITICAL USER Amministratore di sistema MARCO STRANO ICAA 2005
L’efficacia della policy di sicurezza nelle organizzazioni è legata a: Livello di percezione del rischio Condivisione degli obbiettivi aziendali Conoscenza della policy di sicurezza Conoscenza tecnologie di sicurezza Conoscenza responsabilità e sanzioni Questi fattori si possono misurare e incrementare MARCO STRANO ICAA 2005
PSYCHOLOGICAL RISK ASSESSMENT (ICAA) Alcune ricerche dell’ICAA sugli aspetti psicologici della sicurezza informatica STRUMENTI UTILIZZATI PSYCHOLOGICAL RISK ASSESSMENT (ICAA) Si tratta di un assessment sul computer crime nelle organizzazioni centrato sul fattore umano. P.R.A. comprende due questionari strutturati anonimi (WC.P.Q. e C.R.P.Q.) e una griglia per la rilevazione dei casi (W.C.A.G.). L’assessment è in corso di somministrazione in Italia e in USA e può essere richiesto direttamente all’associazione ICAA. La griglia per la rilevazione dei casi W.C.A.G acquisisce informazioni standardizzate (anonime) su modus operandi di outsiders e insiders; è destinata alla creazione di un database (on-line) di libera consultazione da parte degli addetti alla sicurezza. La WCAG realizzata dalI’ICAA vi è stata già illustrata Da Fabio Battelli Workplace Computer Crime Psychology Questionnaire (W.C.P.Q.) Computer crime Risk Perception Questionnaire (C.R.P.Q) B.I.P.Q. (Biometrics Impact Perception Questionnaire) MARCO STRANO ICAA 2005
IL CRIMINAL DECISION MAKING PROCESS: GLI INSIDERS PRIMA DI COMMETTERE UN ILLECITO, VALUTANO I PRO, I CONTRO E LE CONSEGUENZE. Atteggiamento dei colleghi (il gruppo) Valutazione delle conseguenze sociali Conoscenza e valutazione delle norme Moral disengagement Stima dei danni provocati valutazione delle conseguenze penali Stima della propensione alla denuncia da parte dell’azienda Stima delle possibilità che il crimine venga scoperto Acting-out MARCO STRANO ICAA 2005
L’andamento delle aree critiche utilizzando il W.C.P. questionnaire MARCO STRANO ICAA 2005
L’andamento delle aree critiche CRPQ in un campione di soggetti MARCO STRANO ICAA 2005
USER PSYCHOLOGY E BIOMETRIA ERRORI COGNITIVI INTERVENTO PSICOLOGICO USO MALDESTRO ANXIETY VARIABLES TRAUMATIC VARIABLES CATTIVO FUNZIONAMENTO MARCO STRANO ICAA 2005
B.I.P.Q. (Biometrics Impact Perception Questionnaire) strumento a misurare la percezione dell’impatto della biometria nell’organizzazione MISURARE IMPATTO ANXIETY E TRAUMATIC VARIABLES Intervento di formazione mirata e focus-group MARCO STRANO ICAA 2005
La cultura della sicurezza e della legalità nelle organizzazioni Riduzione dei crimini informatici aziendali outside ed inside Aumento della cultura della sicurezza Analisi e valutazione del rischio RISK ASSESSMENT Modifica della percezione del crimine Formazione mirata Riduzione dei crimini informatici aziendali inside Adattamento alle nuove tecnologie di sicurezza Riduzione dei costi MARCO STRANO ICAA 2005
INSIDE ATTACK DATABASE INFORMAZIONI SULL’ATTACCO NNPCP ELECTRONIC CRIME SCENE IAD INPUT OUTPUT DATI BIOGRAFICI MOTIVAZIONE PROFILO OFFENDER MARCO STRANO ICAA 2005
Quale tecnologia acquistare Una moderna consulenza per la sicurezza informatica dovrebbe quindi suggerire: Quale tecnologia acquistare Quale policy di sicurezza attuare e diffondere Quale intervento di prevenzione psicologica attuare MARCO STRANO ICAA 2005