Quali sono i principali fattori che influenzano l'efficacia della sicurezza delle informazioni (oltre al supporto del top management, alla formazione dei dipendenti e all'utilizzo delle politiche di sicurezza)?
Non è quello che l'esaminatore si aspetta, ma si può dire che i principali fattori che influenzano l'efficacia della sicurezza delle informazioni sono apatia , incompetenza e noia .
La risposta "giusta" per l'esame, tuttavia, è quella che si trova nella guida corrispondente. Sfortunatamente, tutto ciò che parla di fattori "principali" o "più importanti" è un giudizio arbitrario, e ci sono diverse scuole di pensiero che hanno fornito risposte distinte, mentre contemporaneamente dichiarano che tutte le altre scuole sono degli eretici delusi che dovrebbero essere bruciati a il palo nella misura in cui la loro esistenza è riconosciuta.
In termini pratici , la sicurezza delle informazioni sarà efficace se tutti capiscono cosa sta succedendo e le pratiche si associano a ciò che è realmente necessario. I dipendenti devono essere consapevoli dell'importanza della sicurezza, arruolati nella sua attuazione e dovrebbero cooperare felicemente alla sua realizzazione. Ciò richiede che qualunque sia l'obiettivo e le strategie e le politiche e i sistemi di sicurezza utilizzati avvantaggino realmente l'organizzazione nel suo complesso; in termini corporativi, ciò che conta è il business. Se un sistema di sicurezza fa qualcosa che è effettivamente vantaggioso per le imprese, e i dipendenti che devono far fronte a quel sistema capiscono questa relazione causale, allora sono molto più propensi a rispettare le regole formali di utilizzo del sistema di sicurezza e non cercheranno di aggirare il problema .
Un esempio di politica inefficace è un sistema che obbliga gli utenti a modificare la propria password ogni 42 giorni. Questo è fastidioso, e nessuno sa come promuova gli obiettivi dell'organizzazione (*), quindi gli utenti lo resisteranno in modo creativo (password scritte su stcik-up note nascoste sotto la tastiera, password "intelligenti" generate come una semplice sequenza ,. ..).
(*) È abbastanza probabile che nessuno sappia cosa fa un buon rinnovo della password perché, in effetti, non ha alcun senso.
Leggi altre domande sui tag metrics corporate-policy