AISIC
PREVENZIONE DEL CRIMINE
SICUREZZA E PSICOLOGIA
dI Marco Strano
International Crime Analysis Association
MARCO STRANO
ICAA 2005
MARCO STRANO
ICAA 2005
TIPOLOGIA DI WORKPLACE CRIME (INSIDE)
VITTIMA
MOLESTIE SESSUALI
MOBBING
SICUREZZA SUL LAVORO
VIOLAZIONE PRIVACY CLIENTI
PERSONA
REATI FISCALI
REATI FINANZIARI
ECOCRIMINI
SPAMMING
FRODI
AMBIENTE ESTERNO
FURTI
COMPUTER CRIME
FRODI
SABOTAGGI
AZIENDA
MARCO STRANO
ICAA 2005
Obbiettivo dell’attacco inside
TARGET INTERNO
INSIDER
TARGET
ESTERNO
MARCO STRANO
ICAA 2005
Danni conseguenti ad attacchi inside
Attacco inside
RISARCIMENTI
MARCO STRANO
DANNO
PRIMARIO
DANNO
SECONDARIO
ICAA 2005
DIVULGAZIONE DATI SENSIBILI
RIPRISTINO SISTEMA VIOLATO
PERDITA DI IMMAGINE
Il computer crime inside e la
consapevolezza del crimine
MEDIA CONSAPEVOLEZZA
ALTA CONSAPEVOLEZZA
SCARSA CONSAPEVOLEZZA
Professionisti
del crimine
MARCO STRANO
Criminali di
basso profilo
ICAA 2005
Soggetti
inconsapevoli
L’ORIGINE DEL RISCHIO E DELL’ATTACCO
organizzazione
OPERATORI CHE NON
RISPETTANO LE PROCEDURE
DI SICUREZZA
LOW PROFILE
INSIDERS
MARCO STRANO
ICAA 2005
HIGH PROFILE
INSIDERS
La dinamica psicologica dell’inserimento
di nuove procedure di sicurezza
FASE CRITICA
FASE CRITICA
(RIFIUTO)
FASE A
Convincersi della
necessità della
nuova procedura
e cominciare ad
eseguirla
Nuova
procedura
MARCO STRANO
FASE B
Mantenere
stabile
l’applicazione
della procedura
in tutti i processi
che la richiedono
FASE C
L’abitudine e la
verifica
dell’assenza di
incidenti riducono
la percentuale di
applicazione
Livello di sicurezza sufficiente
FORMAZIONE
ICAA 2005
FOCUS GROUP
FASE D
Si consolida
l’automatismo
nell’applicazione
della procedura
anche in assenza
di incidenti che la
legittimano
CRIME BENEFITS
Uso personale di beni aziendali tollerato
per compensare il disagio sul lavoro
Applicazione a singhiozzo della policy aziendale
Risoluzione extragiudiziaria del problema
Per tutelare l’immagine dell’azienda
Perdono dei reati ai soggetti produttivi
MARCO STRANO
ICAA 2005
Danni provocabili da normal user e critical user
DANNI
PROVOCABILI
DANNI
PROVOCABILI
PERCEZIONE
DEL RISCHIO
PRIVILEGI DI
ACCESSO
PERCEZIONE
DEL RISCHIO
PRIVILEGI DI
ACCESSO
MARCO STRANO
NORMAL
USER
ICAA 2005
CRITICAL USER
Amministratore
di sistema
L’efficacia della policy di sicurezza
nelle organizzazioni è legata a:
Livello di percezione del rischio
Condivisione degli obbiettivi aziendali
Conoscenza della policy di sicurezza
Conoscenza tecnologie di sicurezza
Conoscenza responsabilità e sanzioni
Questi fattori si possono misurare e incrementare
MARCO STRANO
ICAA 2005
Alcune ricerche dell’ICAA sugli aspetti
psicologici della sicurezza informatica
STRUMENTI UTILIZZATI
PSYCHOLOGICAL RISK
ASSESSMENT (ICAA)
Workplace Computer Crime Psychology Questionnaire (W.C.P.Q.)
Computer crime Risk Perception Questionnaire (C.R.P.Q)
B.I.P.Q. (Biometrics Impact Perception Questionnaire)
MARCO STRANO
ICAA 2005
IL CRIMINAL DECISION MAKING PROCESS: GLI INSIDERS
PRIMA DI COMMETTERE UN ILLECITO, VALUTANO I PRO, I
CONTRO E LE CONSEGUENZE.
Atteggiamento dei
colleghi (il gruppo)
Valutazione delle
conseguenze sociali
Conoscenza e
valutazione delle norme
Moral disengagement
Stima dei danni
provocati
valutazione delle
conseguenze penali
Stima della propensione
alla denuncia da parte
dell’azienda
Stima delle possibilità
che il crimine venga
scoperto
Acting-out
MARCO STRANO
ICAA 2005
L’andamento delle aree critiche
utilizzando il W.C.P. questionnaire
Area sulla percezione del danno
provocabile con l’illecito
70%
Area delle aspettative di reazione
sociale
60%
Area delle aspettative di reazione
penale
65%
Area stima possibilità che il proprio
crimine venga scoperto e denunciato
dall’azienda
68%
Area di generica valutazione morale
dell’illecito
30%
50%
Area conoscenza del fenomeno
0%
MARCO STRANO
10%
20%
30%
40%
ICAA 2005
50%
60%
70%
80%
90%
100%
L’andamento delle aree critiche
CRPQ in un campione di soggetti
Rischio reati all’esterno usando la rete
aziendale
45%
63%
Rischio divulgazione dati riservati
70%
Rischio intrusioni
75%
Rischio virus
50%
Rischio insiders
0%
MARCO STRANO
10%
20%
30%
40%
ICAA 2005
50%
60%
70%
80%
90%
100%
USER PSYCHOLOGY E BIOMETRIA
ERRORI COGNITIVI
INTERVENTO PSICOLOGICO
ANXIETY
VARIABLES
USO
MALDESTRO
TRAUMATIC
VARIABLES
CATTIVO
FUNZIONAMENTO
MARCO STRANO
ICAA 2005
B.I.P.Q. (Biometrics Impact
Perception Questionnaire)

strumento a misurare la percezione
dell’impatto della biometria
nell’organizzazione
MISURARE IMPATTO
ANXIETY E TRAUMATIC
VARIABLES
MARCO STRANO
Intervento di formazione
mirata e focus-group
ICAA 2005
La cultura della sicurezza e
della legalità nelle organizzazioni
Analisi e valutazione
del rischio
RISK ASSESSMENT
Formazione
mirata
MARCO STRANO
Aumento della
cultura della
sicurezza
Modifica della
percezione del
crimine
Adattamento alle
nuove tecnologie di
sicurezza
ICAA 2005
Riduzione dei
crimini informatici
aziendali outside
ed inside
Riduzione dei
crimini informatici
aziendali inside
Riduzione dei costi
INSIDE ATTACK DATABASE
INFORMAZIONI
SULL’ATTACCO
DATI BIOGRAFICI
MOTIVAZIONE
MARCO STRANO
ICAA 2005
Una moderna consulenza per la sicurezza
informatica dovrebbe quindi suggerire:



Quale tecnologia acquistare
Quale policy di sicurezza attuare e diffondere
Quale intervento di prevenzione psicologica
attuare
MARCO STRANO
ICAA 2005