Bruce Schneier ha scritto un articolo dicendo che la formazione degli utenti
sulla sicurezza informatica non è generalmente utile:
-
http://www.darkreading.com/hacked-off/on-security-awareness-training/2401511
08
- https://www.schneier.com/blog/archives/2013/03/security_awaren_1.html
I motivi: gli utenti non trovano benefici a breve termine per seguire le
regole di sicurezza, è abbastanza raro avere problemi se non si seguono le
regole di sicurezza, per adottare comportamenti corretti è necessario essere
tecnologicamente abbastanza preparati.
L'unica possibilità per diffondere la sicurezza è sviluppare software sicuri
o dare agli utenti dei servizi sicuri: è meglio spendere soldi per le
attività di sviluppo che per la formazione (anche se un'oretta all'anno è
sicuramente utile).
Confesso che do pienamente ragione a Bruce Schneier (e poca ragione al
portafoglio di noi consulenti che eroghiamo anche corsi di
sensibilizzazione), anche perché questo principio me lo disse in modo
chiarissimo nel 2005 Gigi Ferraris parlando dei processi di sicurezza: "se
non li obblighi con la tecnologia, gli utenti non seguiranno mai i
processi".
Nessun commento:
Posta un commento