MARCO STRANO ICAA 2005 PREVENZIONE DEL CRIMINE SICUREZZA E PSICOLOGIA dI Marco Strano International...
-
Upload
fiorenzo-silvestri -
Category
Documents
-
view
216 -
download
0
Transcript of MARCO STRANO ICAA 2005 PREVENZIONE DEL CRIMINE SICUREZZA E PSICOLOGIA dI Marco Strano International...
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
PREVENZIONE DEL CRIMINE PREVENZIONE DEL CRIMINE SICUREZZA E PSICOLOGIASICUREZZA E PSICOLOGIA
dI Marco StranodI Marco StranoInternational Crime Analysis Association
AISIC
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
TIPOLOGIA DI WORKPLACE CRIME (INSIDE)TIPOLOGIA DI WORKPLACE CRIME (INSIDE)
PERSONA
AMBIENTE ESTERNO
AZIENDA
MOLESTIE SESSUALIMOBBING
SICUREZZA SUL LAVOROVIOLAZIONE PRIVACY CLIENTI
VITTIMA
REATI FISCALIREATI FINANZIARI
ECOCRIMINISPAMMING
FRODI
FURTICOMPUTER CRIME
FRODISABOTAGGI
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
Obbiettivo dell’attacco insideObbiettivo dell’attacco inside
INSIDER
TARGETESTERNO
TARGET INTERNO
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
Danni conseguenti ad attacchi insideDanni conseguenti ad attacchi inside
Attacco inside DANNO PRIMARIO
DANNO SECONDARIO
DIVULGAZIONE DATI SENSIBILI
RIPRISTINO SISTEMA VIOLATO
PERDITA DI IMMAGINERISARCIMENTI
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
Il computer crime inside e la Il computer crime inside e la consapevolezza del crimineconsapevolezza del crimine
Professionisti del crimine
Criminali di basso profilo
Soggetti inconsapev
oli
ALTA CONSAPEVOLEZZA
MEDIA CONSAPEVOLEZZA
SCARSA CONSAPEVOLEZZA
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
L’ORIGINE DEL RISCHIO E DELL’ATTACCOL’ORIGINE DEL RISCHIO E DELL’ATTACCO
organizzazione
LOW PROFILE INSIDERS
HIGH PROFILEINSIDERS
OPERATORI CHE NON RISPETTANO LE PROCEDURE
DI SICUREZZA
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
La dinamica psicologica dell’inserimento La dinamica psicologica dell’inserimento di nuove procedure di sicurezza di nuove procedure di sicurezza
FASE A
Convincersi della necessità della
nuova procedura e cominciare ad
eseguirla
FASE B
Mantenere stabile
l’applicazione della procedura in tutti i processi che la richiedono
FASE C
L’abitudine e la verifica
dell’assenza di incidenti riducono la percentuale di
applicazione
FASE D
Si consolida l’automatismo
nell’applicazione della procedura
anche in assenza di incidenti che la
legittimano
Nuova procedura
Livello di sicurezza sufficiente
FOCUS GROUPFORMAZIONE
FASE CRITICA
(RIFIUTO)
FASE CRITICA
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
CRIME BENEFITSCRIME BENEFITS
Uso personale di beni aziendali tollerato per compensare il disagio sul lavoro
Applicazione a singhiozzo della policy aziendale
Risoluzione extragiudiziaria del problemaPer tutelare l’immagine dell’azienda
Perdono dei reati ai soggetti produttivi
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
Danni provocabili da normal user e critical userDanni provocabili da normal user e critical user
NORMALUSER
CRITICAL USERAmministratore
di sistema
PRIVILEGI DI ACCESSO
PRIVILEGI DI ACCESSO
PERCEZIONE DEL RISCHIO
PERCEZIONE DEL RISCHIO
DANNIPROVOCABILI
DANNIPROVOCABILI
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
L’efficacia della policy di sicurezzaL’efficacia della policy di sicurezzanelle organizzazioni è legata a:nelle organizzazioni è legata a:
Condivisione degli obbiettivi aziendali
Conoscenza della policy di sicurezza
Livello di percezione del rischio
Conoscenza tecnologie di sicurezza
Conoscenza responsabilità e sanzioni
Questi fattori si possono misurare e incrementare
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
Alcune ricerche dell’ICAA sugli aspetti Alcune ricerche dell’ICAA sugli aspetti psicologici della sicurezza informaticapsicologici della sicurezza informatica
PSYCHOLOGICAL RISK ASSESSMENT (ICAA)
PSYCHOLOGICAL RISK ASSESSMENT (ICAA)
STRUMENTI UTILIZZATI
Workplace Computer Crime Psychology Questionnaire (W.C.P.Q.)
Computer crime Risk Perception Questionnaire (C.R.P.Q)
B.I.P.Q. (Biometrics Impact Perception Questionnaire)B.I.P.Q. (Biometrics Impact Perception Questionnaire)
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
IL CRIMINAL DECISION MAKING PROCESS: GLI INSIDERS PRIMA DI COMMETTERE UN ILLECITO, VALUTANO I PRO, I
CONTRO E LE CONSEGUENZE.
valutazione delle conseguenze penali
Acting-out
Stima dei danni provocati
Conoscenza e valutazione delle norme
Stima della propensione alla denuncia da parte
dell’azienda
Stima delle possibilità che il crimine venga
scoperto
Valutazione delle conseguenze sociali
Atteggiamento dei colleghi (il gruppo)
Moral disengagement
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
L’andamento delle aree critiche L’andamento delle aree critiche utilizzando il W.C.P. questionnaireutilizzando il W.C.P. questionnaire
50%
30%
68%
65%
60%
70%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Area conoscenza del fenomeno
Area di generica valutazione moraledell’illecito
Area stima possibilità che il propriocrimine venga scoperto e denunciato
dall’azienda
Area delle aspettative di reazionepenale
Area delle aspettative di reazionesociale
Area sulla percezione del dannoprovocabile con l’illecito
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
L’andamento delle aree criticheL’andamento delle aree critiche CRPQ in un campione di soggetti CRPQ in un campione di soggetti
50%
75%
70%
63%
45%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Rischio insiders
Rischio virus
Rischio intrusioni
Rischio divulgazione dati riservati
Rischio reati all’esterno usando la reteaziendale
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
USERUSER PSYCHOLOGY E BIOMETRIAPSYCHOLOGY E BIOMETRIA
ANXIETY ANXIETY VARIABLESVARIABLES
TRAUMATICTRAUMATICVARIABLESVARIABLES
CATTIVOCATTIVOFUNZIONAMENTOFUNZIONAMENTO
USOUSOMALDESTROMALDESTRO
ERRORI COGNITIVI INTERVENTO PSICOLOGICO
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
B.I.P.Q. (Biometrics Impact B.I.P.Q. (Biometrics Impact Perception Questionnaire)Perception Questionnaire) strumento a misurare la percezione strumento a misurare la percezione
dell’impatto della biometria dell’impatto della biometria nell’organizzazionenell’organizzazione
MISURARE IMPATTOANXIETY E TRAUMATIC
VARIABLES
Intervento di formazionemirata e focus-group
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
La cultura della sicurezza e La cultura della sicurezza e della legalità nelle organizzazionidella legalità nelle organizzazioni
Formazione
mirata
Aumento della cultura della
sicurezza
Riduzione dei crimini informatici aziendali inside
Modifica della percezione del
crimine
Riduzione dei costi
Adattamento alle nuove tecnologie di
sicurezza
Analisi e valutazione del rischio
RISK ASSESSMENT
Riduzione dei crimini informatici aziendali outside
ed inside
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
IINSIDE NSIDE AATTACK TTACK DDATABASEATABASE
INFORMAZIONI SULL’ATTACCO
DATI BIOGRAFICI
MOTIVAZIONE
MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005
Una moderna consulenza per la sicurezza Una moderna consulenza per la sicurezza
informatica dovrebbe quindi suggerire:informatica dovrebbe quindi suggerire:
Quale tecnologia acquistareQuale tecnologia acquistare Quale policy di sicurezza attuare e diffondereQuale policy di sicurezza attuare e diffondere Quale intervento di Quale intervento di prevenzione psicologicaprevenzione psicologica
attuareattuare