scarica il programma

Transcript

Information Security Management
Percorso Executive e Corsi brevi
12° Edizione
In collaborazione con
from ideation to business value
Indice
INTRODUZIONE
pag 4
DIREZIONE
pag 5
STRUTTURA E CONTENUTI
pag 6
METODOLOGIE, DURATA, AMMISSIONE
pag 10
CALENDARIO
pag 11
PROGRAMMI
pag 12
COSTI E SEDE
pag 20
© copyright 2016 Cefriel – All rights reserved
3
PERCOSO EXECUTIVE
INFORMATION SECURITY
MANAGEMENT
CEFRIEL e MIP Politecnico di Milano
presentano la 12° edizione del Corso di
Alta Formazione in Information
Security Management, che si propone di
formare esperti a 360° nella progettazione
e gestione del sistema preposto alla tutela
della sicurezza del patrimonio informatico
ed informativo di un’azienda.
La formulazione è studiata per permettere
la fruizione di singoli corsi brevi, al fine di
venire incontro all’esigenza di chi già
opera nel settore e necessita di
approfondire alcune specificità sull’ambito.
OBIETTIVI
•
Comprendere e valutare la complessità delle
problematiche di sicurezza che impattano sull’ICT
aziendale, anticipandole con un approccio
proattivo
•
Stimare i costi e i benefici delle diverse soluzioni,
valutare il ritorno degli investimenti in sicurezza e
comprendere i risvolti organizzativi dell’information
security
•
più in generale, progettare, valutare, implementare
e gestire un Information Security Management
System integrato con il core business aziendale,
in accordo ai principali standard di riferimento,
favorendo quindi un’efficace gestione dei rischi
noti o prevedibili ed anticipando l’inssorgenza dei
nuovi
TARGET
Il corso è rivolto a responsabili dei sistemi
informativi, di reti e di organizzazione di piccole,
medie e grandi imprese industriali, di servizi e
della Pubblica Amministrazione, nonché a tutti gli
specialisti che operano nel campo della
consulenza e della gestione in outsourcing di reti
e di sistemi informativi. Si rivolge in particolare a
chi ricopre o ricoprirà ruoli di responsabilità nella
propria organizzazione con riferimento alla gestione e
alla tutela del patrimonio informativo e tecnologico.
È il percorso ideale per chi è tendenzialmente
destinato ad assumere il ruolo di Information Security
Manager o Chief Information Security Officer, e a tutti
i consulenti che desiderino rafforzare il proprio
bagaglio di competenze in quest’area.
4
DIREZIONE
Raoul Brenna
Raoul Brenna è responsabile delle attività della “Security Practice” di
Cefriel. Si occupa di sicurezza informatica da svariati anni,
promuovendo in tutte le sue attività un approccio costantemente rivolto
alla sperimentazione, come iimportante veicolo di consapevolizzazione
a tutti i livelli. Nel tempo ha affrontato la sicurezza informatica sia da un
punto di vista "tradizionale"(assessment tecnologici e di processo,
elaborazione di linee guida, definizione di policy, security governance),
sia toccando ambiti maggiormente innovativi (studio dei nuovi trend di
attacco e minaccia, identificazione di rischi e opportunità legati a nuove
tecnologie, sicurezza del fattore umano, sicurezza IoT, e ambienti
SCADA/ICS).
Paolo Maccarone
Paolo Maccarrone è professore associato presso la School of
Management dal Politecnico di Milano. È titolare del corso Accounting,
Finance and Control, nell’ambito del Master of Science in Management
Engineering (Ingegneria Gestionale). Inoltre, insegna Accounting and
Performance Management, nonché Corporate Social Responsibility e
Sustainability Strategy and Governance in diversi corsi/Master di MIP
Graduate School of Business. Le sue attività di ricerca riguardano il
controllo di gestione e la misurazione delle prestazioni nelle imprese
“for profit”, la gestione strategica della CSR e il performance
measurement and management nell’ambito dell’information security. In
passato è stato direttore dell’Osservatorio Information Security
Management (iniziativa congiunta MIP-Cefriel).
5
I contenuti proposti non si limitano a
una vista puramente “tecnicocentrica”, ma sono stati sviluppati con
una prospettiva multidisciplinare, che
coniuga le soluzioni tecnologiche con
i risvolti organizzativi e le implicazioni
di natura legale, sempre con la
massima attenzione agli “hot topic”
del momento e ai temi emergenti, in
modo da anticipare i cambiamenti
futuri.
Il percorso è strutturato in tre macroaree fortemente integrate tra loro:
Technology, Management e Legal, ed
è completato con approfondimenti su
“temi caldi” nel mondo dell’ICT
security.
UNDERLYING TECHNOLOGY
& HOT TOPICS
ORGANIZATION AND
MANAGEMENT
LEGAL
Per cogliere la dinamicità del panorama
dell’Information Security, il corso mira a
costruire una solida base di fondamenti
sul tema, con un approfondimento sui
“temi caldi” del momento. La vista
complessiva parte dagli aspetti
maggiormente legati alla infrastrutture
fisiche, tocca la sicurezza delle
applicazioni, la disponibilità dei servizi, le
verifiche di conformità, fino alla
governance. L’obiettivo è quello di fornire
gli strumenti metodologici per attuare
un’efficace protezione del patrimonio
informativo aziendale, raccogliendo le
sfide e le tendenze di un ambito in
continua e rapida evoluzione.
È dedicata all’esame di tutti gli aspetti
organizzativi ed economico-gestionali
legati alle configurazioni organizzative
della/delle unità di info-security, ai cicli di
governance (dalla risk analysis alla messa
a punto del piano di interventi, alla
gestione della fase di implementazione
dei progetti di info-security, alla
misurazione delle performance) e alle
relative metodologie (analisi costi-benefici
e valutazione economico-finanziarie delle
alternative decisionali).
Affronta tutte le problematiche di carattere
giuridico-legale connesse alla creazione,
alla conservazione e alla circolazione dei
dati e delle informazioni, in particolare
riservate, in Internet e nelle aziende. Le
tematiche legali sono affrontate dal
duplice punto di vista della compliance e
della protezione dagli illeciti interni ed
esterni.
6
Il percorso prevede 8 moduli caratterizzanti ed un project work conclusivo. La metodologia prevede un mix tra aspetti teorici, riferimenti a
casi reali e ove applicabile esercitazioni e/o case study. I moduli sono contraddistinti da orientamenti e punti di vista tra loro complementari,
quindi atti ad integrarsi in un percorso complessivo che permetta la realizzazione degli obiettivi formativi.
LA GESTIONE DELLA
SICUREZZA OGGI
CYBERCRIME E ATTACCHI
AVANZATI - TECNICHE DI
ATTUAZIONE E MODALITÀ
DI CONTRASTO
LA SICUREZZA NELLE
APPLICAZIONI COME
CHIAVE PER LA SICUREZZA
DELL’IMPRESA
IL MOBILE, IL PAYMENT, IL
CLOUD E L'IOT, LE
MODERNE SFIDE PER LA
SICUREZZA
Il modulo si propone di offrire una
panoramica sulle caratteristiche dei
moderni attacchi informatici e della
sicurezza informatica e informative in
generale, con particolare riferimento ai
nuovi trend. Il modulo fornisce quindi le
possibili risposte a livello organizzativo
e gestionale, esaminando un framework
strutturato per la gestione integrata
della sicurezza informatica in azienda
ed evidenziando le principali normative
di riferimento.
Il modulo si propone di illustrare le
moderne tecniche di compromissione
applicabili all’integrità dei sistemi
informativi e le tipologie di difese ad
oggi adottate o auspicabili per rendere
sicuri gli scambi di dati tra sistemi
aziendali, fornendo tuttavia elementi
teorico/pratici per definire e realizzare
un effettivo bilanciamento dello sforzo
di contrasto in funzione della criticità
degli asset.
Il corso è dedicato all’esame delle
problematiche di sicurezza nelle
applicazioni, spesso trascurate in
quanto vi è la tendenza ad attuare
verifiche e assessment sul solo IT a
livello infrastrutturale e sistemistico,
trascurando lo strato applicativo.
Quest’ultimo, alla luce anche della
progressiva conversione alla fruizione
web/mobile oriented, rappresenta in
realtà spesso la chiave di accesso ai
sistemi da parte degli attaccanti.
Il modulo si propone di esplorare alcune
problematiche di sicurezza derivanti
dalla massiccia diffusione dei paradigmi
cloud, smart/mobile e IoT. A questi temi
non si legano infatti solamente aspetti
di sicurezza di natura prettamente
tecnologica, ma si associano altresì
tematiche di natura “social”, nonché
fenomeni di “consumerization” e di
abitudine dell’utente a comportamenti
intrinsecamente insicuri. Ne consegue
l’insorgenza di rischi specifici, ma
anche di opportunità e fenomeni nuovi
(es. blockchain).
7
LA SICUREZZA NELL’ERA
DEL SOCIAL E
DELL’IDENTITÀ DIGITALE
LA GOVERNANCE E GLI
ECONOMICS
DELL’INFORMATION
SECURITY
INCIDENTI E REATI
INFORMATICI
LA SICUREZZA IN TEORIA E
L’APPLICAZIONE PRATICA *
Il modulo si propone di illustrare il
cambiamento dei paradigmi di attacco
da un approccio principalmente rivolto
alla ricerca di falle nella tecnologia
verso uno che invece fa leva sul fattore
umano per scardinare le difese
perimetrali dell’azienda. Più in generale,
viene affrontato il tema della
disponibilità in ambito “social” di
informazioni per attacchi sostenuti da
tecniche di social engineering
all’azienda, e si toccano le
problematiche legate alla
“digitalizzazione” dell’identità, sia in
ambito pubblico (es. SPID) che
aziendale.
Il corso si propone di fornire gli elementi
fondamentali alla base di una corretta
gestione integrata dell’information
security in un’impresa. In particolare,
verranno illustrati i risvolti organizzativi
e gli aspetti più rilevanti legati alla
governance dell’information security
(dalla misurazione dell’impatto degli
interventi di security sugli economics di
un’impresa alla valutazione delle
performance di un information security
management system).
Il manager dell’Information Security
deve aiutare il management nella
gestione del rischio per l’impresa.
Pertanto, ad un apparato per la
prevenzione e il contrasto deve
associarsi un’organizzazione in grado di
gestire l’eventualità di un incidente di
sicurezza informatica, sia da un punto
di vista tecnologico (identificazione,
riconoscimento e mitigazione) che di
quello di un eventuale follow-up di
natura legale, secondo i dettami della
computer-forensics.
Il modulo, proposto solo a complemento
dell’intero percorso formativo in ISM,
mostra come tutte le considerazioni
sviluppate nei moduli precedenti si
uniformino e si amalgamino in un
framework di governance coerente,
promosso da robusti standard di
settore. Il modulo conclude l’intero
percorso formativo in ISM offrendo
l’opportunità di “toccare con mano”
quanto appreso durante lo stesso,
offrendo quindi un’interessante
prospettiva pratica a complemento
dell’inquadramento teorico alla security
governance.
* Modulo fruibile solo nell’ambito della
partecipazione all’intero percorso
8
PROJECT WORK
L’attività di Project Work prevede la definizione e lo sviluppo di un progetto di intervento individuale o di gruppo che permetta la
finalizzazione del Percorso nel contesto lavorativo prescelto dal singolo partecipante. Il Project Work si propone di sviluppare un progetto di
innovazione maturando competenze ed attitudini specifiche. Ogni Project Work sarà seguito da un tutor Cefriel eventualmente affiancato da
un manager operante nelle aziende di provenienza dei partecipanti.
RICONOSCIMENTO CREDITI AIEA/ISACA
La partecipazione ad ogni modulo del percorso ISM consente il riconoscimento di 15,6
CISA/CISM/CGEIT/CRISC Continuing Education(CPE) di ISACA.
ore di credito nell’ambito del
Per tutte le informazioni sui criteri di calcolo vi rimandiamo al link http://bit.ly/2fz2zbI
9
METODOLOGIE, DURATA, AMMISSIONE
METODOLOGIE DIDATTICHE
DURATA E IMPEGNO
AMMISSIONE
L’architettura del percorso è ispirata
dall’adozione di metodologie didattiche basate
su partecipazione attiva e momenti di
elaborazione personale che facilitano
l’apprendimento e stimolano la capacità
innovativa e applicativa.
Il percorso si svolgerà in moduli da 2 giorni
consecutivi (tipicamente giovedì e venerdì)
su circa 4 mesi, formula che, sulla base
dell’esperienza Cefriel e MIP, si è
dimostrata particolarmente coerente con la
normale attività lavorativa dei partecipanti.
Al fine di assicurare un’adeguata omogeneità
delle esperienze in aula è prevista una
selezione basata sulla valutazione dei
curricula dei candidati e su eventuali colloqui
individuali.
Tali metodologie rappresentano lo schema
unificante dell’intero percorso e verranno
declinate con modalità diverse nei moduli. In
particolare, accanto a momenti di tradizionale
formazione d’aula, sarà dato ampio spazio a:
Le lezioni si terranno dalle 9.00 alle 13.00 e
dalle 14.00 alle 18.00 presso il Cefriel
Politecnico di Milano (Via Renato Fucini 2,
20133 Milano).

discussioni in aula;

esercitazioni e sviluppo di casi;

testimonianze aziendali;

dimostrazioni mediante utilizzo di tools
(commerciali e open source).
I project work verranno svolti in parte
parallelamente alla docenza in aula, in parte
nelle settimane immediatamente successive
Ulteriore elemento di applicazione pratica è il
Project Work.
10
CALENDARIO
CORSI
La gestione della sicurezza oggi
Cybercrime e Attacchi avanzati: tecniche di attuazione e
modalità di contrasto
MARZO
APRILE
Il Mobile, Il Payment, Il Cloud e l'IoT, le moderne sfide per la
sicurezza
20 - 21 Aprile
Incidenti e reati informatici
La sicurezza in teoria e l’applicazione pratica
(esclusivo per partecipanti a ISM)
Discussione Project work
LUGLIO
23 - 24 Marzo
6 - 7 Aprile
La governance e gli economics dell’information security
GIUGNO
9 - 10 Marzo
La sicurezza nelle applicazioni come chiave per la sicurezza
dell’impresa
La sicurezza nell’era del social e dell’identità digitale
MAGGIO
4 - 5 Maggio
18 - 19 Maggio
8 - 9 Giugno
22 - 23 Giugno
14 Luglio
11
from ideation to business value
PROGRAMMI
12
LA GESTIONE DELLA
SICUREZZA OGGI
1. Apertura lavori
2. Security Governance
Raoul Brenna - Cefriel
Ing. Corrado Pomodoro – Intervento svolto in
collaborazione con AIEA
9 - 10 Marzo 2017
Il modulo si propone di offrire una
panoramica sugli aspetti caratteristici dei
moderni attacchi informatici, inquadrando
le nuove tendenze e offrendo una prima
panoramica sulle necessità di un
framework strutturato di gestione della
sicurezza informatica in azienda, nonché
di una conoscenza delle principali aree
normative di riferimento. Verranno
affrontati temi utili ad inquadrare l’intero
percorso in Information Security
Management, fornendo tuttavia
un’introduzione completa al moderno
ruolo del manager dell’Information
Security, inclusiva di aspetti tecnologici, di
governance e legali.
• Apertura del percorso in ISM
(presentazione partecipanti)
• Introduzione sullo scenario attuale della
sicurezza informatica
• Introduzione sul ruolo e le responsabilità in
continuo mutamento del Information
Security Manager
• Testimonianza aziendale sulle moderne
sfide poste dalla sicurezza informatica
nelle enterprise
• Governo della sicurezza informatica. Processi di
gestione e implicazioni organizzative
• Gestione del rischio e conformità
• Realizzazione e gestione di un programma
coerente per la sicurezza informatica.
Pianificazione e realizzazione del sistema dei
controlli
• Gestione degli incidenti di sicurezza
informatica e della continuità operativa
3. Sicurezza nelle Enterprise
4. Il quadro normativo
Stefano Testoni - Cefriel
• La sicurezza informatica nelle imprese
• La centralità del dato. La protezione a
360°
• Una panoramica sulle contromisure
tecnologiche, di contrasto e di
monitoraggio
• Gli elementi tipicamente trascurati
(mobile, SCADA, ecc.)
Avv. Gabriele Faggioli
• Sicurezza informatica e elementi legali:
introduzione, elementi rilevanti, casistica
• L’attuale panorama normativo in materia di
sicurezza informatica
• Le scelte del legislatore negli ultimi anni
• I provvedimenti settoriali: banche, società di
telecomunicazione, sanità, ecc.
13
CYBERCRIME E ATTACCHI
AVANZATI:
TECNICHE DI ATTUAZIONE
E MODALITÀ DI
CONTRASTO
23 - 24 Marzo 2017
Il modulo si propone di mostrare le
moderne tecniche di compromissione
applicabili all’integrità dei sistemi
informativi e le tipologie di difese ad oggi
adottate o auspicabili per rendere sicuri gli
scambi di dati tra sistemi aziendali,
fornendo tuttavia elementi teorico/pratici
per definire e realizzare un effettivo
bilanciamento dello sforzo di contrasto in
funzione della criticità degli asset. Il corso
illustra, con approccio teorico/pratico
adatto anche a professionisti di
orientamento maggiormente tecnico,
alcune delle moderne tecniche di
sfruttamento di vulnerabilità (tipiche o
meno note) dei sistemi informativi
aziendali e le modalità di realizzazione di
attacchi cosiddetti “APT” (Advanced
Persistent Threats), oggi comunemente
adottati nel panorama degli attacchi legati
al Cybercrime.
1. Elementi di sicurezza avanzata
2. Vulnerability Assessment e
Penetration test
Roberto Puricelli - Cefriel
• Approfondimento sulle principali tipologie
di contrasto alle intrusioni informatiche
• La sicurezza del dato (supporto e
contenuto)
• La sicurezza dei sistemi (non solo interni)
• La sicurezza del perimetro (anche
esteso)
• Altri fattori a supporto di una sicurezza
aziendale distribuita
•
•
•
•
Il concetto di vulnerabilità
Modalità di test
Modalità di intrusione
Case study
3. Analisi del Rischio dei Sistemi
Informativi
4. Crittografia, autenticazione e
comunicazione sicure
Giulio Perin – Cefriel
Enrico Frumento – Cefriel
• Il rischio legato ai sistemi informativi
• Il limite delle metodologie teoriche
• Metodologie pratiche per l’attuazione di
analisi del rischio
• Organizzazione di una Risk Analysis
• Strumenti a supporto
• Il rischio legato ai dati in transito e all’accesso
dell’utente ai sistemi
• I concetti e le tecniche di cifratura
• L’autenticazione dell’utente
• L’integrità del dato
• La firma digitale
14
LA SICUREZZA NELLE
APPLICAZIONI COME
CHIAVE PER LA
SICUREZZA
DELL’IMPRESA
6 - 7 Aprile 2017
Il modulo prende in considerazione le
problematiche di sicurezza diretta
conseguenza della pratica comune di
attuare verifiche e assessment sul solo IT
a livello infrastrutturale e sistemistico,
trascurando in misura sempre crescente
lo strato applicativo. Quest’ultimo, alla
luce della progressiva conversione ad una
fruizione web/mobile oriented,
rappresenta in realtà spesso la chiave di
accesso ai sistemi da parte degli
attaccanti. Il corso fornisce, con taglio
adatto sia a professionisti più orientati al
mondo del management che a quelli con
una visione maggiormente tecnica, gli
elementi per valutare le motivazioni e le
tecniche legate ai moderni attacchi
informatici, mostrando come si possano
difendere in modo efficace le applicazioni
legacy e quelle basate su paradigma web.
1. L’importanza di proteggere le
applicazioni, capire il mondo della
pirateria informatica
Enrico Frumento - Cefriel
• Capire il mondo della pirateria informatica
• L’importanza di proteggere le applicazioni
• Tipi comuni di attacco alle applicazioni
2. Sicurezza del codice (applicazioni
legacy)
• Approccio Globale alla Protezione
• L’obiettivo della Protezione del Software
• Modellazione delle Minacce e Metodologia
STRIDE
• Procedure per Migliorare la Protezione
• Metodologie di Programmazione e strumenti a
supporto (checklist, CMM)
• Costi da considerare per la protezione
3. Sicurezza del codice
(applicazioni web)
4. Tecniche di Reverse Engineering
ed hacking moderne
• Le minacce specifiche alle applicazioni
web
• Il framework OWASP e le OWASP top 10
• Contenuti malevoli nei database e verso
gli utenti (injection, XSS, ecc.)
• Le problematiche nella gestione della
sessione
• Casi pratici esemplificativi
• Altri attacchi e possibili contromisure
• La reverse code engineering
• Il processo di reversing e le tipologie di
attacchi
• Gli strumenti e le contromisure
• Hostile Host vs Hostile Client
• Case study e inquadramento legale
15
IL MOBILE, IL PAYMENT, IL
CLOUD E L'IOT, LE
MODERNE SFIDE PER
LA SICUREZZA
20 - 21 Aprile 2017
Il modulo si propone di esplorare alcune
problematiche di sicurezza derivanti dalla
massiva diffusione dei paradigmi cloud, e
smart/mobile e IoT. A questi temi non si
affiancano solamente aspetti di sicurezza
di natura tecnologica ma si associano
tematiche di natura "social", nonché
fenomeni di "consumerization" e di
abitudine dell'utente a comportamenti
intrinsicamente insicuri. Inoltre, la
dinamicità dell’evoluzione tecnologica
porta alla luce fenomeni sempre nuovi
(biometria sempre più usabile, blockchain
per pagamenti e transazioni, ecc.).
Sorgono quindi rischi specifici ma anche
opportunità per la sicurezza informatica.
In particolare, il corso si propone di fornire
una tassonomia delle possibili minacce
per le infrastrutture, i dispositivi e le
applicazione, approfondendo approcci
metodologici, strumenti e soluzioni
organizzative per una corretta gestione
della sicurezza in questi ambiti.
1. Mobile malware - sicurezza e-commerce mobile payment
2. Mobile malware - sicurezza ecommerce - mobile payment - IoTblockchain
• Le nuove tendenze di attacco ai dispositivi mobili
• Il mobile malware
• Il ruolo dell’utente e dei contenuti fruiti nella sicurezza dei
dispositivi mobili
• Sicurezza delle applicazioni mobili, i recenti modelli di
autenticazione via mobile, il mobile e la biometria
• La sicurezza dei marketplace e dei modelli di delivery dei
contenuti
• Il mobile payment e il mobile commerce, nuovi approcci,
tendenze e nuovi rischi
Roberto Puricelli , Raoul Brenna - Cefriel
• Le blockchain e l’impiego nella gestione di
pagamenti e transazioni
• L’IoT, le relazioni con la filiera tecnologica e gli
aspetti di sicurezza
3. Introduzione al Cloud computing, architetture,
tecnologie e sicurezza
4. Il dato distribuito e il cloud: aspetti
normativi
Gabriele Faggioli - MIP
• Modalità di erogazione del Cloud: caratteristiche e rischi.
Come il Cloud cambia i concetti della sicurezza e trasferisce
i rischi fra gli attori
• I rischi legati alla virtualizzazione
• Nuovi strumenti per la sicurezza in ambienti virtualizzati, la
virtualizzazione come opportunità per la sicurezza
informatica dei sistemi
• La Security-as-a-Service: stato dell’arte e tendenze
• Mappa dei principali rischi legati alla migrazione su approcci
Cloud: rischi di sicurezza e rischi tecnologici
• Monitoraggio del Cloud provider, definizione
dei Key Security Indicators e verifica di
conformità
• Auditabilità e supporto alla forensics sui
sistemi
• Gestione «allargata»: il controllo delle 3d
party nelle App
• Case study
16
LA SICUREZZA NELL’ERA
DEL SOCIAL E
DELL’IDENTITÀ DIGITALE
4 - 5 Maggio 2017
Il modulo si propone di illustrare il
cambiamento dei paradigmi di attacco da
un approccio principalmente rivolto alla
ricerca di falle nella tecnologia verso uno
che invece fa leva sul fattore umano per
scardinare le difese perimetrali
dell’azienda. Più in generale, viene
affrontato il tema della disponibilità in
ambito “social” di informazioni per attacchi
sostenuti da tecniche di social
engineering all’azienda, e si toccano le
problematiche legate alla
“digitalizzazione” dell’identità (con
riferimento anche alle iniziative statali di
"identità unica", es. SPID). Il corso
affronta anche le problematiche legate
alla costruzione di opportuni modelli
autorizzativi per l’accesso ai sistemi (con
specificità del contesto SAP, come
esempio di applicativo con una gestione
estremamente spinta dei ruoli) senza
trascurare gli aspetti legati alla
disponibilità in rete di informazioni legate
alla persona, e alle tematiche legali sulla
data privacy.
1. L'evoluzione della Social Engineering
2. Protezione identità digitale
Roberto Puricelli , Raoul Brenna - Cefriel
• Il fattore umano come anello debole della
Sicurezza Informatica
• La nuova giovinezza della social engineering
• Gli attacchi abilitati dall’ingegneria sociale
• Le nuove tecniche di assessment integrato
sicurezza tecnologica e del fattore umano), la
metodologia CEFRIEL (applicazione e risultati)
3. Introduzione alla gestione delle identità
in SAP
• Il ciclo di vita dell’identità digitale
• I metodi di autenticazione e il livello di
affidabilità
• La gestione dell’identità digitale in contesto
singolo e federato
• L’esposizione dell’identità sui social media
• Strumenti per la raccolta di identità e
contromisure
• SPID e "l'identità unica"
4. Data Privacy
Massimo Manara – Intervento svolto in collaborazione
con AGLEA
• Security & Identity Access Governance nel sistema
SAP (un esempio di gestione per ruoli)
• SAP Security Concept
• I processi aziendali e la Segregation of Duties
• La relazione con HR
• Introduzione alle logiche di Identity
• Data privacy
• L’attuale panorama normativo in materia di
sicurezza dei dati personali
• Gli elementi legali della sicurezza dei dati
personali nel Regolamento UE
• Il Data Privacy Officer nel Regolamento UE
17
LA GOVERNANCE E GLI
ECONOMICS
DELL’INFORMATION
SECURITY
18 - 19 Maggio 2017
Il modulo si propone di fornire gli elementi
fondamentali alla base di una corretta
gestione integrata dell’information security
in un’impresa. In particolare, verranno
analizzati i risvolti organizzativi (creazione
di team/unità di information security e loro
posizionamento nell’organigramma
aziendale) e gli aspetti più rilevanti del
ciclo di gestione dell’information security:
dall’identificazione delle priorità
d’intervento alla messa a punto del piano
strategico di interventi, all’analisi
economico-finanziaria degli investimenti,
la gestione dell’implementazione dei
progetti di info security (project
management), la misurazione delle
performance delle iniziative implementate
attraverso un opportuno set di KPI, e
l’individuazione delle misure correttive
nell’ottica del miglioramento continuo
dell’information security management
system.
1. La gestione strategica dell’information
security (4 ore)
2. La valutazione economico -finanziaria
delle alternative progettuali (4 ore)
Paolo Maccarrone - MIP
Paolo Maccarrone - MIP
• L’individuazione delle priorità di intervento
• La messa a punto del piano strategico (business
plan) legato all’information security
• I modelli di governance “integrata”
• La valutazione economico-finanziaria dei
progetti di investimento in information security
• I criteri di scelta tra le soluzioni alternative
3. Project Management (8 ore)
Silvia Fragola- Cefriel
• La gestione dei progetti di info security (project
management)
• La gestione dei rischi di progetto nel contesto
della sicurezza informatica
• La misurazione delle prestazioni dell’information
security management system: KPI e continuous
improvement
18
INCIDENTI E REATI
INFORMATICI
1. I reati informatici e il regime delle
responsabilità
8 - 9 Giugno 2017
Il manager dell’Information Security deve
aiutare il management nella gestione del
rischio per l’impresa. Pertanto, ad un
apparato per la prevenzione e il contrasto
deve associarsi un’organizzazione in
grado di gestire l’eventualità di un
incidente di sicurezza informatica, sia da
un punto di vista tecnologico
(identificazione, riconoscimento e
mitigazione) che di quello di un eventuale
follow-up di natura legale, secondo i
dettami della computer forensics. A tal
fine, è essenziale la conoscenza non solo
degli aspetti tecnologici delle piattaforme
su cui si interviene, ma anche quella dei
limiti di intervento al fine di preservare il
valore legale della digital evidence.
Questo sia in ottica di analisi di singoli
elementi probatori, che in un più ampio
contesto di realizzazione di una soluzione
per la gestione degli eventi di Sicurezza
Informatica (SIEM.)
• Elementi legali inerenti i principali reati
informatici
• I riflessi in materia di responsabilità
amministrativa d’impresa (d.lgs 231/01)
• Casistica giurisprudenziale
• La responsabilità dell’azienda e dei lavoratori
nell’utilizzo delle strumentazioni informatiche e
telematiche
• Diritti, doveri e limiti del datore di lavoro
nell’utilizzo di sistemi di controllo
• I provvedimenti del Garante per la protezione
dei dati personali
• Casistica giurisprudenziale
2. Forensics - Malware analysis
• La Computer Forensics: applicazioni
metodologiche e casi pratici
• La forensics sui device “tradizionali” (PC/server)
• La forensics suoi dispositivi mobili
• La raccolta di digital evidence da altri elementi
tecnologici eterogenei
• L’analisi dei sistemi (approcci live vs. postmortem)
4. Gestione degli incidenti e SIEM
3. Computer Forensic
Andrea Ghirardini
• Profili legali delle attività di computer forensic
• Elementi civilistici e penalistici
• Applicazione pratica delle metodologie e
"lessons learned"
•
•
•
•
La gestione degli incidenti, gli obiettivi e i ruoli
La gestione dell’incidente prima, durante e dopo
Le policy
La prevenzione, il monitoraggio e l’analisi
(identificazione preventiva vs. proattiva,
ricostruzione)
• I log e i SIEM: elementi, architetture, soluzioni
• Un esempio
19
COSTI E SEDE
COSTI E SEDE DEI CORSI
6. 500 € + IVA
ORARIO
per le iscrizioni a titolo aziendale
Mattina: 9.00 - 13.00
Pomeriggio: 14.00 - 18.00
5. 500 € + IVA
per le iscrizioni a titolo personale
SEDE
CORSI BREVI
1. 200 € + IVA
per l’acquisito del singolo modulo
(2 giornate full time)
AGEVOLAZIONI PER ISCRIZIONI AI SINGOLI
CORSI BREVI



Cefriel s.cons.r.l.
Via Renato Fucini, 2
20133 Milano
Sconto 10% per iscrizioni con anticipo di 20 giorni
sulla data di partenza del corso prescelto
Sconto 50% sul 3° iscritto della stessa azienda al
medesimo corso
Percorsi personalizzati con acquisto di più moduli:
quotazioni su richiesta
20
Cefriel.com
MILANO
via Renato Fucini 2,
20133,
Milano - Italy
LONDON
4° floor
57 Rathbone Place
London W1T 1JU – UK
CINCINNATI
15° floor
250 East Fifth Street,
Cincinnati, OH 45202 - USA

scarica il programma

Transcript

Documenti analoghi

L`esame ecocardiografico rappresenta nella diagnostica

The Heart Asks Pleasure First - Spartiti Pianoforte

ABI_Basilea 2016_CV Diego Travaini

Olimpiadi invernali 2006 / Cefriel

GlobalTrust RMS

Matteo Meucci

Usa la forza per muoverti nel labirinto di Darth Vader. Con la forza

allegato pdf

Industrial Internet of Things 101

Cyber Security e Internet of Things

CeBIT 2008 Holbe Dialogue Europe - Flybook