MARCO STRANO ICAA 2005 PREVENZIONE DEL CRIMINE SICUREZZA E PSICOLOGIA dI Marco Strano International...

MARCO STRANOMARCO STRANO ICAA 2005ICAA 2005

PREVENZIONE DEL CRIMINE PREVENZIONE DEL CRIMINE SICUREZZA E PSICOLOGIASICUREZZA E PSICOLOGIA

dI Marco StranodI Marco StranoInternational Crime Analysis Association

AISIC


TIPOLOGIA DI WORKPLACE CRIME (INSIDE)TIPOLOGIA DI WORKPLACE CRIME (INSIDE)

PERSONA

AMBIENTE ESTERNO

AZIENDA

MOLESTIE SESSUALIMOBBING

SICUREZZA SUL LAVOROVIOLAZIONE PRIVACY CLIENTI

VITTIMA

REATI FISCALIREATI FINANZIARI

ECOCRIMINISPAMMING

FRODI

FURTICOMPUTER CRIME

FRODISABOTAGGI


Obbiettivo dell’attacco insideObbiettivo dell’attacco inside

INSIDER

TARGETESTERNO

TARGET INTERNO


Danni conseguenti ad attacchi insideDanni conseguenti ad attacchi inside

Attacco inside DANNO PRIMARIO

DANNO SECONDARIO

DIVULGAZIONE DATI SENSIBILI

RIPRISTINO SISTEMA VIOLATO

PERDITA DI IMMAGINERISARCIMENTI


Il computer crime inside e la Il computer crime inside e la consapevolezza del crimineconsapevolezza del crimine

Professionisti del crimine

Criminali di basso profilo

Soggetti inconsapev

oli

ALTA CONSAPEVOLEZZA

MEDIA CONSAPEVOLEZZA

SCARSA CONSAPEVOLEZZA


L’ORIGINE DEL RISCHIO E DELL’ATTACCOL’ORIGINE DEL RISCHIO E DELL’ATTACCO

organizzazione

LOW PROFILE INSIDERS

HIGH PROFILEINSIDERS

OPERATORI CHE NON RISPETTANO LE PROCEDURE

DI SICUREZZA


La dinamica psicologica dell’inserimento La dinamica psicologica dell’inserimento di nuove procedure di sicurezza di nuove procedure di sicurezza

FASE A

Convincersi della necessità della

nuova procedura e cominciare ad

eseguirla

FASE B

Mantenere stabile

l’applicazione della procedura in tutti i processi che la richiedono

FASE C

L’abitudine e la verifica

dell’assenza di incidenti riducono la percentuale di

applicazione

FASE D

Si consolida l’automatismo

nell’applicazione della procedura

anche in assenza di incidenti che la

legittimano

Nuova procedura

Livello di sicurezza sufficiente

FOCUS GROUPFORMAZIONE

FASE CRITICA

(RIFIUTO)

FASE CRITICA


CRIME BENEFITSCRIME BENEFITS

Uso personale di beni aziendali tollerato per compensare il disagio sul lavoro

Applicazione a singhiozzo della policy aziendale

Risoluzione extragiudiziaria del problemaPer tutelare l’immagine dell’azienda

Perdono dei reati ai soggetti produttivi


Danni provocabili da normal user e critical userDanni provocabili da normal user e critical user

NORMALUSER

CRITICAL USERAmministratore

di sistema

PRIVILEGI DI ACCESSO

PRIVILEGI DI ACCESSO

PERCEZIONE DEL RISCHIO

PERCEZIONE DEL RISCHIO

DANNIPROVOCABILI

DANNIPROVOCABILI


L’efficacia della policy di sicurezzaL’efficacia della policy di sicurezzanelle organizzazioni è legata a:nelle organizzazioni è legata a:

Condivisione degli obbiettivi aziendali

Conoscenza della policy di sicurezza

Livello di percezione del rischio

Conoscenza tecnologie di sicurezza

Conoscenza responsabilità e sanzioni

Questi fattori si possono misurare e incrementare


Alcune ricerche dell’ICAA sugli aspetti Alcune ricerche dell’ICAA sugli aspetti psicologici della sicurezza informaticapsicologici della sicurezza informatica

PSYCHOLOGICAL RISK ASSESSMENT (ICAA)

PSYCHOLOGICAL RISK ASSESSMENT (ICAA)

STRUMENTI UTILIZZATI

Workplace Computer Crime Psychology Questionnaire (W.C.P.Q.)

Computer crime Risk Perception Questionnaire (C.R.P.Q)

B.I.P.Q. (Biometrics Impact Perception Questionnaire)B.I.P.Q. (Biometrics Impact Perception Questionnaire)


IL CRIMINAL DECISION MAKING PROCESS: GLI INSIDERS PRIMA DI COMMETTERE UN ILLECITO, VALUTANO I PRO, I

CONTRO E LE CONSEGUENZE.

valutazione delle conseguenze penali

Acting-out

Stima dei danni provocati

Conoscenza e valutazione delle norme

Stima della propensione alla denuncia da parte

dell’azienda

Stima delle possibilità che il crimine venga

scoperto

Valutazione delle conseguenze sociali

Atteggiamento dei colleghi (il gruppo)

Moral disengagement


L’andamento delle aree critiche L’andamento delle aree critiche utilizzando il W.C.P. questionnaireutilizzando il W.C.P. questionnaire

50%

30%

68%

65%

60%

70%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Area conoscenza del fenomeno

Area di generica valutazione moraledell’illecito

Area stima possibilità che il propriocrimine venga scoperto e denunciato

dall’azienda

Area delle aspettative di reazionepenale

Area delle aspettative di reazionesociale

Area sulla percezione del dannoprovocabile con l’illecito


L’andamento delle aree criticheL’andamento delle aree critiche CRPQ in un campione di soggetti CRPQ in un campione di soggetti

50%

75%

70%

63%

45%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Rischio insiders

Rischio virus

Rischio intrusioni

Rischio divulgazione dati riservati

Rischio reati all’esterno usando la reteaziendale


USERUSER PSYCHOLOGY E BIOMETRIAPSYCHOLOGY E BIOMETRIA

ANXIETY ANXIETY VARIABLESVARIABLES

TRAUMATICTRAUMATICVARIABLESVARIABLES

CATTIVOCATTIVOFUNZIONAMENTOFUNZIONAMENTO

USOUSOMALDESTROMALDESTRO

ERRORI COGNITIVI INTERVENTO PSICOLOGICO


B.I.P.Q. (Biometrics Impact B.I.P.Q. (Biometrics Impact Perception Questionnaire)Perception Questionnaire) strumento a misurare la percezione strumento a misurare la percezione

dell’impatto della biometria dell’impatto della biometria nell’organizzazionenell’organizzazione

MISURARE IMPATTOANXIETY E TRAUMATIC

VARIABLES

Intervento di formazionemirata e focus-group


La cultura della sicurezza e La cultura della sicurezza e della legalità nelle organizzazionidella legalità nelle organizzazioni

Formazione

mirata

Aumento della cultura della

sicurezza

Riduzione dei crimini informatici aziendali inside

Modifica della percezione del

crimine

Riduzione dei costi

Adattamento alle nuove tecnologie di

sicurezza

Analisi e valutazione del rischio

RISK ASSESSMENT

Riduzione dei crimini informatici aziendali outside

ed inside


IINSIDE NSIDE AATTACK TTACK DDATABASEATABASE

INFORMAZIONI SULL’ATTACCO

DATI BIOGRAFICI

MOTIVAZIONE


Una moderna consulenza per la sicurezza Una moderna consulenza per la sicurezza

informatica dovrebbe quindi suggerire:informatica dovrebbe quindi suggerire:

Quale tecnologia acquistareQuale tecnologia acquistare Quale policy di sicurezza attuare e diffondereQuale policy di sicurezza attuare e diffondere Quale intervento di Quale intervento di prevenzione psicologicaprevenzione psicologica

attuareattuare

MARCO STRANO ICAA 2005 PREVENZIONE DEL CRIMINE SICUREZZA E PSICOLOGIA dI Marco Strano International...

Documents

Transcript of MARCO STRANO ICAA 2005 PREVENZIONE DEL CRIMINE SICUREZZA E PSICOLOGIA dI Marco Strano International...