scarica il programma
Transcript
scarica il programma
Information Security Management Percorso Executive e Corsi brevi 12° Edizione In collaborazione con from ideation to business value Indice INTRODUZIONE pag 4 DIREZIONE pag 5 STRUTTURA E CONTENUTI pag 6 METODOLOGIE, DURATA, AMMISSIONE pag 10 CALENDARIO pag 11 PROGRAMMI pag 12 COSTI E SEDE pag 20 © copyright 2016 Cefriel – All rights reserved 3 PERCOSO EXECUTIVE INFORMATION SECURITY MANAGEMENT CEFRIEL e MIP Politecnico di Milano presentano la 12° edizione del Corso di Alta Formazione in Information Security Management, che si propone di formare esperti a 360° nella progettazione e gestione del sistema preposto alla tutela della sicurezza del patrimonio informatico ed informativo di un’azienda. La formulazione è studiata per permettere la fruizione di singoli corsi brevi, al fine di venire incontro all’esigenza di chi già opera nel settore e necessita di approfondire alcune specificità sull’ambito. © copyright 2016 Cefriel – All rights reserved OBIETTIVI • Comprendere e valutare la complessità delle problematiche di sicurezza che impattano sull’ICT aziendale, anticipandole con un approccio proattivo • Stimare i costi e i benefici delle diverse soluzioni, valutare il ritorno degli investimenti in sicurezza e comprendere i risvolti organizzativi dell’information security • più in generale, progettare, valutare, implementare e gestire un Information Security Management System integrato con il core business aziendale, in accordo ai principali standard di riferimento, favorendo quindi un’efficace gestione dei rischi noti o prevedibili ed anticipando l’inssorgenza dei nuovi TARGET Il corso è rivolto a responsabili dei sistemi informativi, di reti e di organizzazione di piccole, medie e grandi imprese industriali, di servizi e della Pubblica Amministrazione, nonché a tutti gli specialisti che operano nel campo della consulenza e della gestione in outsourcing di reti e di sistemi informativi. Si rivolge in particolare a chi ricopre o ricoprirà ruoli di responsabilità nella propria organizzazione con riferimento alla gestione e alla tutela del patrimonio informativo e tecnologico. È il percorso ideale per chi è tendenzialmente destinato ad assumere il ruolo di Information Security Manager o Chief Information Security Officer, e a tutti i consulenti che desiderino rafforzare il proprio bagaglio di competenze in quest’area. 4 DIREZIONE Raoul Brenna Raoul Brenna è responsabile delle attività della “Security Practice” di Cefriel. Si occupa di sicurezza informatica da svariati anni, promuovendo in tutte le sue attività un approccio costantemente rivolto alla sperimentazione, come iimportante veicolo di consapevolizzazione a tutti i livelli. Nel tempo ha affrontato la sicurezza informatica sia da un punto di vista "tradizionale"(assessment tecnologici e di processo, elaborazione di linee guida, definizione di policy, security governance), sia toccando ambiti maggiormente innovativi (studio dei nuovi trend di attacco e minaccia, identificazione di rischi e opportunità legati a nuove tecnologie, sicurezza del fattore umano, sicurezza IoT, e ambienti SCADA/ICS). © copyright 2016 Cefriel – All rights reserved Paolo Maccarone Paolo Maccarrone è professore associato presso la School of Management dal Politecnico di Milano. È titolare del corso Accounting, Finance and Control, nell’ambito del Master of Science in Management Engineering (Ingegneria Gestionale). Inoltre, insegna Accounting and Performance Management, nonché Corporate Social Responsibility e Sustainability Strategy and Governance in diversi corsi/Master di MIP Graduate School of Business. Le sue attività di ricerca riguardano il controllo di gestione e la misurazione delle prestazioni nelle imprese “for profit”, la gestione strategica della CSR e il performance measurement and management nell’ambito dell’information security. In passato è stato direttore dell’Osservatorio Information Security Management (iniziativa congiunta MIP-Cefriel). 5 STRUTTURA E CONTENUTI I contenuti proposti non si limitano a una vista puramente “tecnicocentrica”, ma sono stati sviluppati con una prospettiva multidisciplinare, che coniuga le soluzioni tecnologiche con i risvolti organizzativi e le implicazioni di natura legale, sempre con la massima attenzione agli “hot topic” del momento e ai temi emergenti, in modo da anticipare i cambiamenti futuri. Il percorso è strutturato in tre macroaree fortemente integrate tra loro: Technology, Management e Legal, ed è completato con approfondimenti su “temi caldi” nel mondo dell’ICT security. © copyright 2016 Cefriel – All rights reserved UNDERLYING TECHNOLOGY & HOT TOPICS ORGANIZATION AND MANAGEMENT LEGAL Per cogliere la dinamicità del panorama dell’Information Security, il corso mira a costruire una solida base di fondamenti sul tema, con un approfondimento sui “temi caldi” del momento. La vista complessiva parte dagli aspetti maggiormente legati alla infrastrutture fisiche, tocca la sicurezza delle applicazioni, la disponibilità dei servizi, le verifiche di conformità, fino alla governance. L’obiettivo è quello di fornire gli strumenti metodologici per attuare un’efficace protezione del patrimonio informativo aziendale, raccogliendo le sfide e le tendenze di un ambito in continua e rapida evoluzione. È dedicata all’esame di tutti gli aspetti organizzativi ed economico-gestionali legati alle configurazioni organizzative della/delle unità di info-security, ai cicli di governance (dalla risk analysis alla messa a punto del piano di interventi, alla gestione della fase di implementazione dei progetti di info-security, alla misurazione delle performance) e alle relative metodologie (analisi costi-benefici e valutazione economico-finanziarie delle alternative decisionali). Affronta tutte le problematiche di carattere giuridico-legale connesse alla creazione, alla conservazione e alla circolazione dei dati e delle informazioni, in particolare riservate, in Internet e nelle aziende. Le tematiche legali sono affrontate dal duplice punto di vista della compliance e della protezione dagli illeciti interni ed esterni. 6 STRUTTURA E CONTENUTI Il percorso prevede 8 moduli caratterizzanti ed un project work conclusivo. La metodologia prevede un mix tra aspetti teorici, riferimenti a casi reali e ove applicabile esercitazioni e/o case study. I moduli sono contraddistinti da orientamenti e punti di vista tra loro complementari, quindi atti ad integrarsi in un percorso complessivo che permetta la realizzazione degli obiettivi formativi. LA GESTIONE DELLA SICUREZZA OGGI CYBERCRIME E ATTACCHI AVANZATI - TECNICHE DI ATTUAZIONE E MODALITÀ DI CONTRASTO LA SICUREZZA NELLE APPLICAZIONI COME CHIAVE PER LA SICUREZZA DELL’IMPRESA IL MOBILE, IL PAYMENT, IL CLOUD E L'IOT, LE MODERNE SFIDE PER LA SICUREZZA Il modulo si propone di offrire una panoramica sulle caratteristiche dei moderni attacchi informatici e della sicurezza informatica e informative in generale, con particolare riferimento ai nuovi trend. Il modulo fornisce quindi le possibili risposte a livello organizzativo e gestionale, esaminando un framework strutturato per la gestione integrata della sicurezza informatica in azienda ed evidenziando le principali normative di riferimento. Il modulo si propone di illustrare le moderne tecniche di compromissione applicabili all’integrità dei sistemi informativi e le tipologie di difese ad oggi adottate o auspicabili per rendere sicuri gli scambi di dati tra sistemi aziendali, fornendo tuttavia elementi teorico/pratici per definire e realizzare un effettivo bilanciamento dello sforzo di contrasto in funzione della criticità degli asset. Il corso è dedicato all’esame delle problematiche di sicurezza nelle applicazioni, spesso trascurate in quanto vi è la tendenza ad attuare verifiche e assessment sul solo IT a livello infrastrutturale e sistemistico, trascurando lo strato applicativo. Quest’ultimo, alla luce anche della progressiva conversione alla fruizione web/mobile oriented, rappresenta in realtà spesso la chiave di accesso ai sistemi da parte degli attaccanti. Il modulo si propone di esplorare alcune problematiche di sicurezza derivanti dalla massiccia diffusione dei paradigmi cloud, smart/mobile e IoT. A questi temi non si legano infatti solamente aspetti di sicurezza di natura prettamente tecnologica, ma si associano altresì tematiche di natura “social”, nonché fenomeni di “consumerization” e di abitudine dell’utente a comportamenti intrinsecamente insicuri. Ne consegue l’insorgenza di rischi specifici, ma anche di opportunità e fenomeni nuovi (es. blockchain). © copyright 2016 Cefriel – All rights reserved 7 STRUTTURA E CONTENUTI LA SICUREZZA NELL’ERA DEL SOCIAL E DELL’IDENTITÀ DIGITALE LA GOVERNANCE E GLI ECONOMICS DELL’INFORMATION SECURITY INCIDENTI E REATI INFORMATICI LA SICUREZZA IN TEORIA E L’APPLICAZIONE PRATICA * Il modulo si propone di illustrare il cambiamento dei paradigmi di attacco da un approccio principalmente rivolto alla ricerca di falle nella tecnologia verso uno che invece fa leva sul fattore umano per scardinare le difese perimetrali dell’azienda. Più in generale, viene affrontato il tema della disponibilità in ambito “social” di informazioni per attacchi sostenuti da tecniche di social engineering all’azienda, e si toccano le problematiche legate alla “digitalizzazione” dell’identità, sia in ambito pubblico (es. SPID) che aziendale. Il corso si propone di fornire gli elementi fondamentali alla base di una corretta gestione integrata dell’information security in un’impresa. In particolare, verranno illustrati i risvolti organizzativi e gli aspetti più rilevanti legati alla governance dell’information security (dalla misurazione dell’impatto degli interventi di security sugli economics di un’impresa alla valutazione delle performance di un information security management system). Il manager dell’Information Security deve aiutare il management nella gestione del rischio per l’impresa. Pertanto, ad un apparato per la prevenzione e il contrasto deve associarsi un’organizzazione in grado di gestire l’eventualità di un incidente di sicurezza informatica, sia da un punto di vista tecnologico (identificazione, riconoscimento e mitigazione) che di quello di un eventuale follow-up di natura legale, secondo i dettami della computer-forensics. Il modulo, proposto solo a complemento dell’intero percorso formativo in ISM, mostra come tutte le considerazioni sviluppate nei moduli precedenti si uniformino e si amalgamino in un framework di governance coerente, promosso da robusti standard di settore. Il modulo conclude l’intero percorso formativo in ISM offrendo l’opportunità di “toccare con mano” quanto appreso durante lo stesso, offrendo quindi un’interessante prospettiva pratica a complemento dell’inquadramento teorico alla security governance. * Modulo fruibile solo nell’ambito della partecipazione all’intero percorso © copyright 2016 Cefriel – All rights reserved 8 STRUTTURA E CONTENUTI PROJECT WORK L’attività di Project Work prevede la definizione e lo sviluppo di un progetto di intervento individuale o di gruppo che permetta la finalizzazione del Percorso nel contesto lavorativo prescelto dal singolo partecipante. Il Project Work si propone di sviluppare un progetto di innovazione maturando competenze ed attitudini specifiche. Ogni Project Work sarà seguito da un tutor Cefriel eventualmente affiancato da un manager operante nelle aziende di provenienza dei partecipanti. RICONOSCIMENTO CREDITI AIEA/ISACA La partecipazione ad ogni modulo del percorso ISM consente il riconoscimento di 15,6 CISA/CISM/CGEIT/CRISC Continuing Education(CPE) di ISACA. ore di credito nell’ambito del Per tutte le informazioni sui criteri di calcolo vi rimandiamo al link http://bit.ly/2fz2zbI © copyright 2016 Cefriel – All rights reserved 9 METODOLOGIE, DURATA, AMMISSIONE METODOLOGIE DIDATTICHE DURATA E IMPEGNO AMMISSIONE L’architettura del percorso è ispirata dall’adozione di metodologie didattiche basate su partecipazione attiva e momenti di elaborazione personale che facilitano l’apprendimento e stimolano la capacità innovativa e applicativa. Il percorso si svolgerà in moduli da 2 giorni consecutivi (tipicamente giovedì e venerdì) su circa 4 mesi, formula che, sulla base dell’esperienza Cefriel e MIP, si è dimostrata particolarmente coerente con la normale attività lavorativa dei partecipanti. Al fine di assicurare un’adeguata omogeneità delle esperienze in aula è prevista una selezione basata sulla valutazione dei curricula dei candidati e su eventuali colloqui individuali. Tali metodologie rappresentano lo schema unificante dell’intero percorso e verranno declinate con modalità diverse nei moduli. In particolare, accanto a momenti di tradizionale formazione d’aula, sarà dato ampio spazio a: Le lezioni si terranno dalle 9.00 alle 13.00 e dalle 14.00 alle 18.00 presso il Cefriel Politecnico di Milano (Via Renato Fucini 2, 20133 Milano). discussioni in aula; esercitazioni e sviluppo di casi; testimonianze aziendali; dimostrazioni mediante utilizzo di tools (commerciali e open source). I project work verranno svolti in parte parallelamente alla docenza in aula, in parte nelle settimane immediatamente successive Ulteriore elemento di applicazione pratica è il Project Work. © copyright 2016 Cefriel – All rights reserved 10 CALENDARIO CORSI La gestione della sicurezza oggi Cybercrime e Attacchi avanzati: tecniche di attuazione e modalità di contrasto MARZO APRILE Il Mobile, Il Payment, Il Cloud e l'IoT, le moderne sfide per la sicurezza 20 - 21 Aprile Incidenti e reati informatici La sicurezza in teoria e l’applicazione pratica (esclusivo per partecipanti a ISM) Discussione Project work © copyright 2016 Cefriel – All rights reserved LUGLIO 23 - 24 Marzo 6 - 7 Aprile La governance e gli economics dell’information security GIUGNO 9 - 10 Marzo La sicurezza nelle applicazioni come chiave per la sicurezza dell’impresa La sicurezza nell’era del social e dell’identità digitale MAGGIO 4 - 5 Maggio 18 - 19 Maggio 8 - 9 Giugno 22 - 23 Giugno 14 Luglio 11 from ideation to business value PROGRAMMI © copyright 2016 Cefriel – All rights reserved 12 LA GESTIONE DELLA SICUREZZA OGGI 1. Apertura lavori 2. Security Governance Raoul Brenna - Cefriel Ing. Corrado Pomodoro – Intervento svolto in collaborazione con AIEA 9 - 10 Marzo 2017 Il modulo si propone di offrire una panoramica sugli aspetti caratteristici dei moderni attacchi informatici, inquadrando le nuove tendenze e offrendo una prima panoramica sulle necessità di un framework strutturato di gestione della sicurezza informatica in azienda, nonché di una conoscenza delle principali aree normative di riferimento. Verranno affrontati temi utili ad inquadrare l’intero percorso in Information Security Management, fornendo tuttavia un’introduzione completa al moderno ruolo del manager dell’Information Security, inclusiva di aspetti tecnologici, di governance e legali. • Apertura del percorso in ISM (presentazione partecipanti) • Introduzione sullo scenario attuale della sicurezza informatica • Introduzione sul ruolo e le responsabilità in continuo mutamento del Information Security Manager • Testimonianza aziendale sulle moderne sfide poste dalla sicurezza informatica nelle enterprise • Governo della sicurezza informatica. Processi di gestione e implicazioni organizzative • Gestione del rischio e conformità • Realizzazione e gestione di un programma coerente per la sicurezza informatica. Pianificazione e realizzazione del sistema dei controlli • Gestione degli incidenti di sicurezza informatica e della continuità operativa 3. Sicurezza nelle Enterprise 4. Il quadro normativo Stefano Testoni - Cefriel • La sicurezza informatica nelle imprese • La centralità del dato. La protezione a 360° • Una panoramica sulle contromisure tecnologiche, di contrasto e di monitoraggio • Gli elementi tipicamente trascurati (mobile, SCADA, ecc.) © copyright 2016 Cefriel – All rights reserved Avv. Gabriele Faggioli • Sicurezza informatica e elementi legali: introduzione, elementi rilevanti, casistica • L’attuale panorama normativo in materia di sicurezza informatica • Le scelte del legislatore negli ultimi anni • I provvedimenti settoriali: banche, società di telecomunicazione, sanità, ecc. 13 CYBERCRIME E ATTACCHI AVANZATI: TECNICHE DI ATTUAZIONE E MODALITÀ DI CONTRASTO 23 - 24 Marzo 2017 Il modulo si propone di mostrare le moderne tecniche di compromissione applicabili all’integrità dei sistemi informativi e le tipologie di difese ad oggi adottate o auspicabili per rendere sicuri gli scambi di dati tra sistemi aziendali, fornendo tuttavia elementi teorico/pratici per definire e realizzare un effettivo bilanciamento dello sforzo di contrasto in funzione della criticità degli asset. Il corso illustra, con approccio teorico/pratico adatto anche a professionisti di orientamento maggiormente tecnico, alcune delle moderne tecniche di sfruttamento di vulnerabilità (tipiche o meno note) dei sistemi informativi aziendali e le modalità di realizzazione di attacchi cosiddetti “APT” (Advanced Persistent Threats), oggi comunemente adottati nel panorama degli attacchi legati al Cybercrime. © copyright 2016 Cefriel – All rights reserved 1. Elementi di sicurezza avanzata 2. Vulnerability Assessment e Penetration test Roberto Puricelli - Cefriel Stefano Testoni - Cefriel • Approfondimento sulle principali tipologie di contrasto alle intrusioni informatiche • La sicurezza del dato (supporto e contenuto) • La sicurezza dei sistemi (non solo interni) • La sicurezza del perimetro (anche esteso) • Altri fattori a supporto di una sicurezza aziendale distribuita • • • • Il concetto di vulnerabilità Modalità di test Modalità di intrusione Case study 3. Analisi del Rischio dei Sistemi Informativi 4. Crittografia, autenticazione e comunicazione sicure Giulio Perin – Cefriel Enrico Frumento – Cefriel • Il rischio legato ai sistemi informativi • Il limite delle metodologie teoriche • Metodologie pratiche per l’attuazione di analisi del rischio • Organizzazione di una Risk Analysis • Strumenti a supporto • Il rischio legato ai dati in transito e all’accesso dell’utente ai sistemi • I concetti e le tecniche di cifratura • L’autenticazione dell’utente • L’integrità del dato • La firma digitale 14 LA SICUREZZA NELLE APPLICAZIONI COME CHIAVE PER LA SICUREZZA DELL’IMPRESA 6 - 7 Aprile 2017 Il modulo prende in considerazione le problematiche di sicurezza diretta conseguenza della pratica comune di attuare verifiche e assessment sul solo IT a livello infrastrutturale e sistemistico, trascurando in misura sempre crescente lo strato applicativo. Quest’ultimo, alla luce della progressiva conversione ad una fruizione web/mobile oriented, rappresenta in realtà spesso la chiave di accesso ai sistemi da parte degli attaccanti. Il corso fornisce, con taglio adatto sia a professionisti più orientati al mondo del management che a quelli con una visione maggiormente tecnica, gli elementi per valutare le motivazioni e le tecniche legate ai moderni attacchi informatici, mostrando come si possano difendere in modo efficace le applicazioni legacy e quelle basate su paradigma web. © copyright 2016 Cefriel – All rights reserved 1. L’importanza di proteggere le applicazioni, capire il mondo della pirateria informatica Enrico Frumento - Cefriel • Capire il mondo della pirateria informatica • L’importanza di proteggere le applicazioni • Tipi comuni di attacco alle applicazioni 2. Sicurezza del codice (applicazioni legacy) Enrico Frumento - Cefriel • Approccio Globale alla Protezione • L’obiettivo della Protezione del Software • Modellazione delle Minacce e Metodologia STRIDE • Procedure per Migliorare la Protezione • Metodologie di Programmazione e strumenti a supporto (checklist, CMM) • Costi da considerare per la protezione 3. Sicurezza del codice (applicazioni web) 4. Tecniche di Reverse Engineering ed hacking moderne Roberto Puricelli - Cefriel Enrico Frumento - Cefriel • Le minacce specifiche alle applicazioni web • Il framework OWASP e le OWASP top 10 • Contenuti malevoli nei database e verso gli utenti (injection, XSS, ecc.) • Le problematiche nella gestione della sessione • Casi pratici esemplificativi • Altri attacchi e possibili contromisure • La reverse code engineering • Il processo di reversing e le tipologie di attacchi • Gli strumenti e le contromisure • Hostile Host vs Hostile Client • Case study e inquadramento legale 15 IL MOBILE, IL PAYMENT, IL CLOUD E L'IOT, LE MODERNE SFIDE PER LA SICUREZZA 20 - 21 Aprile 2017 Il modulo si propone di esplorare alcune problematiche di sicurezza derivanti dalla massiva diffusione dei paradigmi cloud, e smart/mobile e IoT. A questi temi non si affiancano solamente aspetti di sicurezza di natura tecnologica ma si associano tematiche di natura "social", nonché fenomeni di "consumerization" e di abitudine dell'utente a comportamenti intrinsicamente insicuri. Inoltre, la dinamicità dell’evoluzione tecnologica porta alla luce fenomeni sempre nuovi (biometria sempre più usabile, blockchain per pagamenti e transazioni, ecc.). Sorgono quindi rischi specifici ma anche opportunità per la sicurezza informatica. In particolare, il corso si propone di fornire una tassonomia delle possibili minacce per le infrastrutture, i dispositivi e le applicazione, approfondendo approcci metodologici, strumenti e soluzioni organizzative per una corretta gestione della sicurezza in questi ambiti. © copyright 2016 Cefriel – All rights reserved 1. Mobile malware - sicurezza e-commerce mobile payment 2. Mobile malware - sicurezza ecommerce - mobile payment - IoTblockchain Enrico Frumento - Cefriel • Le nuove tendenze di attacco ai dispositivi mobili • Il mobile malware • Il ruolo dell’utente e dei contenuti fruiti nella sicurezza dei dispositivi mobili • Sicurezza delle applicazioni mobili, i recenti modelli di autenticazione via mobile, il mobile e la biometria • La sicurezza dei marketplace e dei modelli di delivery dei contenuti • Il mobile payment e il mobile commerce, nuovi approcci, tendenze e nuovi rischi Roberto Puricelli , Raoul Brenna - Cefriel • Le blockchain e l’impiego nella gestione di pagamenti e transazioni • L’IoT, le relazioni con la filiera tecnologica e gli aspetti di sicurezza 3. Introduzione al Cloud computing, architetture, tecnologie e sicurezza 4. Il dato distribuito e il cloud: aspetti normativi Stefano Testoni - Cefriel Gabriele Faggioli - MIP • Modalità di erogazione del Cloud: caratteristiche e rischi. Come il Cloud cambia i concetti della sicurezza e trasferisce i rischi fra gli attori • I rischi legati alla virtualizzazione • Nuovi strumenti per la sicurezza in ambienti virtualizzati, la virtualizzazione come opportunità per la sicurezza informatica dei sistemi • La Security-as-a-Service: stato dell’arte e tendenze • Mappa dei principali rischi legati alla migrazione su approcci Cloud: rischi di sicurezza e rischi tecnologici • Monitoraggio del Cloud provider, definizione dei Key Security Indicators e verifica di conformità • Auditabilità e supporto alla forensics sui sistemi • Gestione «allargata»: il controllo delle 3d party nelle App • Case study 16 LA SICUREZZA NELL’ERA DEL SOCIAL E DELL’IDENTITÀ DIGITALE 4 - 5 Maggio 2017 Il modulo si propone di illustrare il cambiamento dei paradigmi di attacco da un approccio principalmente rivolto alla ricerca di falle nella tecnologia verso uno che invece fa leva sul fattore umano per scardinare le difese perimetrali dell’azienda. Più in generale, viene affrontato il tema della disponibilità in ambito “social” di informazioni per attacchi sostenuti da tecniche di social engineering all’azienda, e si toccano le problematiche legate alla “digitalizzazione” dell’identità (con riferimento anche alle iniziative statali di "identità unica", es. SPID). Il corso affronta anche le problematiche legate alla costruzione di opportuni modelli autorizzativi per l’accesso ai sistemi (con specificità del contesto SAP, come esempio di applicativo con una gestione estremamente spinta dei ruoli) senza trascurare gli aspetti legati alla disponibilità in rete di informazioni legate alla persona, e alle tematiche legali sulla data privacy. © copyright 2016 Cefriel – All rights reserved 1. L'evoluzione della Social Engineering 2. Protezione identità digitale Enrico Frumento - Cefriel Roberto Puricelli , Raoul Brenna - Cefriel • Il fattore umano come anello debole della Sicurezza Informatica • La nuova giovinezza della social engineering • Gli attacchi abilitati dall’ingegneria sociale • Le nuove tecniche di assessment integrato sicurezza tecnologica e del fattore umano), la metodologia CEFRIEL (applicazione e risultati) 3. Introduzione alla gestione delle identità in SAP • Il ciclo di vita dell’identità digitale • I metodi di autenticazione e il livello di affidabilità • La gestione dell’identità digitale in contesto singolo e federato • L’esposizione dell’identità sui social media • Strumenti per la raccolta di identità e contromisure • SPID e "l'identità unica" 4. Data Privacy Gabriele Faggioli - MIP Massimo Manara – Intervento svolto in collaborazione con AGLEA • Security & Identity Access Governance nel sistema SAP (un esempio di gestione per ruoli) • SAP Security Concept • I processi aziendali e la Segregation of Duties • La relazione con HR • Introduzione alle logiche di Identity • Data privacy • L’attuale panorama normativo in materia di sicurezza dei dati personali • Gli elementi legali della sicurezza dei dati personali nel Regolamento UE • Il Data Privacy Officer nel Regolamento UE 17 LA GOVERNANCE E GLI ECONOMICS DELL’INFORMATION SECURITY 18 - 19 Maggio 2017 Il modulo si propone di fornire gli elementi fondamentali alla base di una corretta gestione integrata dell’information security in un’impresa. In particolare, verranno analizzati i risvolti organizzativi (creazione di team/unità di information security e loro posizionamento nell’organigramma aziendale) e gli aspetti più rilevanti del ciclo di gestione dell’information security: dall’identificazione delle priorità d’intervento alla messa a punto del piano strategico di interventi, all’analisi economico-finanziaria degli investimenti, la gestione dell’implementazione dei progetti di info security (project management), la misurazione delle performance delle iniziative implementate attraverso un opportuno set di KPI, e l’individuazione delle misure correttive nell’ottica del miglioramento continuo dell’information security management system. © copyright 2016 Cefriel – All rights reserved 1. La gestione strategica dell’information security (4 ore) 2. La valutazione economico -finanziaria delle alternative progettuali (4 ore) Paolo Maccarrone - MIP Paolo Maccarrone - MIP • L’individuazione delle priorità di intervento • La messa a punto del piano strategico (business plan) legato all’information security • I modelli di governance “integrata” • La valutazione economico-finanziaria dei progetti di investimento in information security • I criteri di scelta tra le soluzioni alternative 3. Project Management (8 ore) Silvia Fragola- Cefriel • La gestione dei progetti di info security (project management) • La gestione dei rischi di progetto nel contesto della sicurezza informatica • La misurazione delle prestazioni dell’information security management system: KPI e continuous improvement 18 INCIDENTI E REATI INFORMATICI 1. I reati informatici e il regime delle responsabilità 8 - 9 Giugno 2017 Gabriele Faggioli - MIP Il manager dell’Information Security deve aiutare il management nella gestione del rischio per l’impresa. Pertanto, ad un apparato per la prevenzione e il contrasto deve associarsi un’organizzazione in grado di gestire l’eventualità di un incidente di sicurezza informatica, sia da un punto di vista tecnologico (identificazione, riconoscimento e mitigazione) che di quello di un eventuale follow-up di natura legale, secondo i dettami della computer forensics. A tal fine, è essenziale la conoscenza non solo degli aspetti tecnologici delle piattaforme su cui si interviene, ma anche quella dei limiti di intervento al fine di preservare il valore legale della digital evidence. Questo sia in ottica di analisi di singoli elementi probatori, che in un più ampio contesto di realizzazione di una soluzione per la gestione degli eventi di Sicurezza Informatica (SIEM.) • Elementi legali inerenti i principali reati informatici • I riflessi in materia di responsabilità amministrativa d’impresa (d.lgs 231/01) • Casistica giurisprudenziale • La responsabilità dell’azienda e dei lavoratori nell’utilizzo delle strumentazioni informatiche e telematiche • Diritti, doveri e limiti del datore di lavoro nell’utilizzo di sistemi di controllo • I provvedimenti del Garante per la protezione dei dati personali • Casistica giurisprudenziale 2. Forensics - Malware analysis Roberto Puricelli - Cefriel © copyright 2016 Cefriel – All rights reserved • La Computer Forensics: applicazioni metodologiche e casi pratici • La forensics sui device “tradizionali” (PC/server) • La forensics suoi dispositivi mobili • La raccolta di digital evidence da altri elementi tecnologici eterogenei • L’analisi dei sistemi (approcci live vs. postmortem) 4. Gestione degli incidenti e SIEM Stefano Testoni - Cefriel 3. Computer Forensic Andrea Ghirardini • Profili legali delle attività di computer forensic • Elementi civilistici e penalistici • Applicazione pratica delle metodologie e "lessons learned" • • • • La gestione degli incidenti, gli obiettivi e i ruoli La gestione dell’incidente prima, durante e dopo Le policy La prevenzione, il monitoraggio e l’analisi (identificazione preventiva vs. proattiva, ricostruzione) • I log e i SIEM: elementi, architetture, soluzioni • Un esempio 19 COSTI E SEDE COSTI E SEDE DEI CORSI 6. 500 € + IVA ORARIO per le iscrizioni a titolo aziendale Mattina: 9.00 - 13.00 Pomeriggio: 14.00 - 18.00 5. 500 € + IVA per le iscrizioni a titolo personale SEDE CORSI BREVI 1. 200 € + IVA per l’acquisito del singolo modulo (2 giornate full time) AGEVOLAZIONI PER ISCRIZIONI AI SINGOLI CORSI BREVI © copyright 2016 Cefriel – All rights reserved Cefriel s.cons.r.l. Via Renato Fucini, 2 20133 Milano Sconto 10% per iscrizioni con anticipo di 20 giorni sulla data di partenza del corso prescelto Sconto 50% sul 3° iscritto della stessa azienda al medesimo corso Percorsi personalizzati con acquisto di più moduli: quotazioni su richiesta 20 Cefriel.com MILANO via Renato Fucini 2, 20133, Milano - Italy LONDON 4° floor 57 Rathbone Place London W1T 1JU – UK CINCINNATI 15° floor 250 East Fifth Street, Cincinnati, OH 45202 - USA