È tempo di agire: spingere Moodle a fare security awareness

È tempo di agire: spingere Moodle a fare security awareness

Recentemente un CISO mi ha detto che stava analizzando Moodle come piattaforma per implementare un piano di Sensibilizzazione sulla Sicurezza delle Informazioni.

Poiché conosco Moodle per averlo utilizzato in ambienti accademici e sono consapevole che i CISO necessitano di soluzioni rapide ed efficaci a causa della grande quantità di responsabilità di cui sono gravati, ho sentito che qualcosa non quadrava.

Perché? Perché Moodle non ci aiuterà a implementare un piano di sensibilizzazione, ma sarà noi a dover aiutare Moodle a farlo. Questo comporterà tempo e sforzi e non si adatta a ciò che un CISO ha bisogno: soluzioni invece di nuovi problemi. Di seguito, un elenco dei diversi momenti in cui dovremo spingere Moodle per permetterci di andare avanti:

Modello di distribuzione

Anche se Moodle è distribuito sotto la licenza GNU, è necessario disporre dell’infrastruttura, delle risorse umane e del tempo necessari per implementarlo e mantenerlo aggiornato, sicuro e funzionante correttamente.

Se aggiungiamo a questo la necessità di eseguire il backup delle informazioni gestite su Moodle, o la grande quantità di vulnerabilità trovate ed esplorate in questo sistema [1] [2], scopriamo che avremo bisogno di spingere parecchio Moodle per implementarlo e mantenerlo correttamente funzionante.

Contenuti di formazione e sensibilizzazione

Uno degli elementi più importanti nella realizzazione di un piano di sensibilizzazione sono i contenuti che gli utenti riceveranno.

Molti piani di sensibilizzazione falliscono per mancanza di contenuti attraenti e facili da usare. L’assimilazione è molto bassa o addirittura nulla se i contenuti non sono progettati pedagogicamente o se si utilizzano traduzioni di contenuti creati per altre realtà e idiosincrasie diverse da quelle degli utenti che si desidera sensibilizzare.

Moodle non fornisce contenuti di Sicurezza delle informazioni, quindi dovremo spingerlo di nuovo, in questo caso, investendo risorse per creare o acquistare tali contenuti e per il difficile compito di mantenerli aggiornati.

 

Presentazione dei contenuti

Moodle consente di presentare il contenuto di ogni corso in diversi modi, ma non offre risorse molto interessanti come la gamification o il Game Based Learning che aumentano l’interesse, il coinvolgimento e l’assimilazione delle conoscenze delle persone e rendono le loro formazioni più divertenti.

Se desideriamo includere queste risorse nel nostro piano, dovremo spingere Moodle con link a risorse esterne di questo tipo, che dovremo sviluppare con risorse interne o affidare a terzi.

Pianificazione

Il miglior modo per realizzare un piano di sensibilizzazione è presentare i contenuti agli utenti in modo graduale, rafforzandoli periodicamente e realizzando vari tipi di valutazioni senza interferire con il lavoro quotidiano di ogni utente e senza sommergerli in un mare di informazioni da un giorno all’altro.

Se usiamo Moodle, dovremo quindi abilitare manualmente i vari contenuti e valutazioni di ogni corso creato come riteniamo opportuno, tenendo conto delle diverse necessità e realtà di ogni reparto dell’organizzazione.
Stanco di spingere?

Metodo di valutazione

Importante tanto quanto portare avanti un piano di sensibilizzazione è essere in grado di misurarne i risultati. Moodle ha diversi moduli di valutazione per misurare le performance accademiche degli studenti.

Nel contesto accademico tradizionale, questo è sufficiente, ma nel contesto della sicurezza delle informazioni no, poiché non solo dobbiamo valutare cosa sa un utente, ma anche quali sono le sue abitudini e comportamenti.

Per ottenere queste informazioni solitamente si utilizzano trappole di simulazione di Phishing e Ransomware, che Moodle non ha. Quindi, dovremo, di nuovo, spingere Moodle, questa volta integrandolo con uno strumento di simulazione di trappole di sicurezza informatica.

 

Report per la gestione

Moodle ci fornirà report in base alle valutazioni fatte. Pertanto, questi saranno legati alla performance accademica degli studenti. Spetterà a noi quindi spingere Moodle e integrare queste informazioni per ottenere indicatori utili per la alta direzione.

Lo dico perché quando si realizza un piano di sensibilizzazione è necessario avere metriche e report che non solo mostrino il risultato di ogni azione di sensibilizzazione, ma anche correlare queste azioni con il cambiamento reale nel comportamento degli utenti. In questo modo, sarà possibile dimostrare l’efficacia delle campagne realizzate, giustificare l’investimento nella sensibilizzazione, identificare gli utenti a rischio, ecc.

 

Audit

Moodle ha dei log orientati a registrare le performance accademiche degli studenti, descritti come log di attività del corso.

Se siamo interessati a soddisfare vari standard di sicurezza e qualità, come ISO 27001, ISO 9001, PCI DSS, DNPDP, normative del BCRA, ecc., dovremo quindi spingere Moodle e prendere i suoi log, post-elaborarli e integrarli per soddisfare ciò che è richiesto da ogni normativa.

Conclusioni

Nel loro quotidiano, i CISO hanno molti compiti e responsabilità, quindi necessitano di essere tranquilli e raggiungere i loro risultati con il minimo sforzo. Moodle, in questo ambito, non sarà la risposta che cerchiamo.

Come possiamo vedere, affinché Moodle ci serva come strumento per realizzare un piano di sensibilizzazione sulla sicurezza delle informazioni, dovremo essere pronti a rimboccarci le maniche, sudare e spingerlo in ogni momento in cui non sarà sufficiente da solo.

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Lascia un commento