Il 10/10/2019 12:09, Daniele Bianco ha scritto:
Ciao,
avrei bisogno di un consiglio: devo tenere un breve corso (1 ora) ai
dipendenti della mia azienda per sensibilizzarli sulla sicurezza
informatica.
L'audience è mista, c'è qualche sviluppatore ma sono la minoranza, la
gran parte ha conoscenze informatiche ma non sono tecnici.
Ciao, ti hanno già dato buoni consigli sui contenuti quindi io mi limito
a considerazioni personali sulla tecnica.
<IMHO>
Dimenticati degli sviluppatori. Adopera gergo e concetti comprensibili a
tutti. Al pubblico bastano cinque minuti per stufarsi, poi è difficile
riaccenderne l'entusiasmo. Eventualmente alla fine della presentazione
accenna BREVEMENTE alle problematiche degli sviluppatori fornendo loro
un riferimento per documentarsi da soli.
Devo far passare il concetto che le password vanno trattate con la
stessa cura con cui si trattano le chiavi di casa, spiegare cosa è e
perché va usata l'autenticazione a due fattori.
Le metafore sono utili per ridurre la complessità, ma se esasperate
possono aumentarla. La gente ormai ha familiarità con le password. Ameno
non lavori in un ospizio o che fai un corso avanzato di crittografia,
secondo me non occorre parlare di chiavi di casa.
Vorrei fare però una presentazione un po' "di impatto" per non farli
addormentare...
Avete qualche suggerimento su come impostare il discorso? [...]
Descrivi situazioni simili alle loro affinché si immedesimino. Usa le
storie perché gli umani le capiscono facilmente. Includi contesto, cause
ed effetti per stimolare la memorizzazione. Lega gli argomenti fra loro
per evitare dispendiosi salti mentali. Prepara diapositive con POCO
TESTO per focalizzare l'attenzione su quello che dici. Sfrutta a tuo
beneficio immagini, scherzi, variazioni di voce, interazioni con il
pubblico e pause (senza esagerare).
Ci sono demo/video dove fanno vedere qualcosa "live"?
Far vedere un video con un network sniffing dove ricavano la password
ad esempio di un pop3 o qualche altra cosa simile sarebbe di forte
impatto per far "toccare con mano" il problema della cifratura
(specialmente per i non tecnici)..
Comunica di più una demo fatta insieme al pubblico di un filmato fatto a
regola d'arte. Basta anche lanciare uno script di brute-forcing per
indovinare una password, o intercettare un sito di demo sul WIFI locale,
o aprire un documento con una macro infetta. Non scendere troppo nei
dettagli, lo scopo della demo è solo quello di spaventarli.
Con una sola ora a disposizione l'utente aziendale medio non dovrebbe
preoccuparsi di pop3, ma piuttosto di password, phishing, USB, malware e
poco altro. In genere più cose dici e meno ne ricorderanno.
</IMHO>
ciao
ED
