La scuola e la sicurezza informatica: un argomento da toccare? Il parere di RSA

Iscriviti e diffondi la pagina Facebook di ScuolaMagazineTwitter.

Come si dovrebbe insegnare la sicurezza informatica a scuola? Cosa dovrebbe includere il percorso formativo e con quale focus?

Le scuole dovrebbero cercare di adattare il percorso formativo includendo corsi che evidenzino l’ideologia della cyber security end-to-end. L’e-learning tende a essere un’esperienza meno interattiva e gli studenti sembrano imparare meglio quando l’insegnamento è trasmesso da un professore. Le tecnologie di apprendimento basate sul gioco iniziano a emergere mostrando risultati molto positivi in termini di formazione; tuttavia, l’educazione in aula rimane ancora lo standard preferito per l’istruzione. Il corso deve includere concetti focalizzati sulle persone, sui processi, e sulla tecnologia di cyber security, poiché la sicurezza è molto più che un semplice insieme di prodotti. È un processo complesso gestito da persone che hanno bisogno di comprendere il panorama delle minacce e come gestire i rischi all’interno del loro ambiente.

L’educazione alla cyber security avviene prima che gli studenti inizino l’università? Perché o perché no?

La formazione in tema di cyber security dovrebbe assolutamente iniziare prima che gli studenti vadano all’università. I criminali informatici non fanno differenza, quindi prima è possibile iniziare il processo di apprendimento, meglio è. Gli studenti vengono introdotti alla tecnologia in età sempre più giovane, quindi non è mai abbastanza presto per iniziare il processo di formazione sulla tecnologia e sui rischi associati al suo utilizzo. Questa tipologia di insegnamento ha l’obiettivo non solo di promuovere la sicurezza degli studenti, ma contribuisce anche all’utilizzo appropriato della tecnologia e dei processi all’interno del sistema scolastico. Sarebbe infatti negligente introdurre la tecnologia informatica agli studenti senza educarli sui possibili rischi che derivano dalla mancanza di best practice.

Il Giappone ha recentemente annunciato delle gare di hacking per reclutare hacker in grado di proteggere la nazione da attacchi informatici come ad esempio white hats http://www.yomiuri.co.jp/dy/national/T120527001959.htm. Le tecniche di hacking dovrebbero essere incluse in un corso di formazione di sicurezza informatica?

Personalmente non credo che  l’hacking debba essere insegnato in un corso di cyber security. Una cosa  è creare competizioni per identificare gli utenti dotati di capacità abbastanza forti da essere reclutati per la sicurezza nazionale, ma un’altra è insegnare agli studenti abilità non necessarie che potrebbero essere potenzialmente utilizzate in maniera malevola. Dico “non necessarie” perché non serve conoscere le tecniche di hacking per proteggersi dagli attacchi e stabilire contromisure per le aggressioni. Ciò detto, credo che le università dovrebbero offrire corsi avanzati sulle contromisure che mettano in luce come progettare, sviluppare, operare e mantenere ambienti informatici complessi per ridurre la superficie di attacco.

Come si dovrebbe insegnare l’hacking agli studenti?

Dovrebbero essere impiegate contromisure di protezione dagli hacker piuttosto che insegnare agli studenti come utilizzare queste tecniche. Vi sono numerosi aspetti che esulano dalla sicurezza informatica da prendere in considerazione quando si educano gli studenti a proteggersi dall’hacking:

  • ·         Il processo di cyber security: quali policy e procedure devono essere impiegate per garantire che l’ambiente, i dispositivi, le infrastrutture, ecc.  siano protetti dagli attacchi. Gli studenti devono ricordare che la sicurezza ha a che fare tanto con il processo quanto con la tecnologia. Se il processo non è seguito correttamente il programma di sicurezza è messo a rischio.
  • ·         Le persone: le persone hanno bisogno di gestire la sicurezza, così è l’individuo e/o il gruppo responsabile della governance e della conformità a essere sostanzialmente collegato al rischio. Se le persone non seguono le linee guida e le procedure corrette, il processo di sicurezza fallisce. È per questo che le tecniche di phishing e social engineering hanno così successo.
  • ·         La tecnologia: gli studenti hanno bisogno di comprendere come far funzionare la tecnologia tenendo a mente le best practice per essere sicuri di utilizzare al meglio i sistemi di sicurezza. Una cosa è avere la tecnologia e un’altra cosa è comprendere come usarla correttamente. I corsi più avanzati possono prevedere la formazione in tema di applicazioni sicure e sviluppo web, crittografia, tecnologie wireless, controllo accessi, ecc.
  • Todd Lefkowitz – RSA eLearning & Training Director


    RSA, la divisione di EMC per la sicurezza, è il fornitore leader di soluzioni di sicurezza per accelerare il business aziendale.
    http://italy.rsa.com/