mercoledì 19 giugno 2013

La formazione sulla sicurezza è utile? (risposte - parte 3)

Ad aprile avevo pubblicato un post dal titolo "La formazione sulla sicurezza
è utile?":
- http://blog.cesaregallotti.it/2013/04/la-formazione-sulla-sicurezza-e-utile.
html


Mauro Cicognini di WID Consulting mi ha dato il suo punto di vista. Dico che
mi pare molto condivisibile e sfuma meglio quanto da me scritto (infatti, io
stesso erogo corsi di formazione e sensibilizzazione sulla sicurezza; non
posso reputarli sempre inutili!).

Quindi, copio e incollo la risposta di Mauro, ma prima ricordo le altre
risposte ricevute:
- http://blog.cesaregallotti.it/2013/04/la-formazione-sulla-sicurezza-e-utile.
html

-http://blog.cesaregallotti.it/2013/06/la-formazione-sulla-sicurezza-e-utile.
html


<<
Leggendo bene il post di Schneier
(https://www.schneier.com/blog/archives/2013/03/security_awaren_1.html) -
come al solito, effettivamente molto ben scritto - e le varie reazioni che
ha ricevuto, mi trovo in realtà molto più vicino all'opinione di David
Kennedy (linkata dallo stesso Bruce sul suo post).

Trovo il post di Bruce molto parziale, puntato com'è esclusivamente su
contromisure tecnologiche che, per quanto importanti, come sappiamo non sono
sufficienti a portare a casa il risultato: a me viene in mente quello che mi
raccontano i miei amici che di mestiere fanno i Penetration Tester, che
ottengono il risultato nel 100% dei casi, e nella maggior parte di essi
usano non la tecnologia ma una qualche combinazione di tecniche di social
engineering. Difficile dire quindi che la formazione delle persone non
conti.

Il "dettaglio" di cosa intendiamo per formazione, ovviamente, fa la
differenza, e - come autorevolmente commentato anche da chi ha risposto a
Bruce - non è lecito inferire dal fatto che la maggior parte dei programmi
di formazione sulla sicurezza fanno schifo (indubitabile) il fatto che
allora la formazione sulla sicurezza non serve. Il sillogismo non regge.

Ciò detto, le due cose positive che scrive, sono in realtà assolutamente
vere, giuste, commendabili, e da divulgare il più possibile:
1. spendere di più per educare i programmatori sulla sicurezza. Bisogna
davvero spendere molto di più per formare i programmatori; anzi mi verrebbe
voglia di prendere per le orecchie quanti ancora oggi si dimenticano di
inserire alcune cose assolutamente basilari come la validazione dei dati in
ingresso.
2. almeno una parte della consapevolezza che gli utenti hanno della
sicurezza deve essere "respirata nell'aria", percepita in modo informale,
ecc., come peraltro scrivi anche tu riferendoti alle pratiche e alla cultura
aziendale (ma non basta, la sicurezza non può fermarsi alla cancellata
dell'azienda).
>>

Il link all'articolo di David Kennedy:
- https://www.trustedsec.com/march-2013/the-debate-on-security-education-and-a
wareness/

Nessun commento:

Posta un commento