Privacy & data protection
Un corso di ASSOCIAZIONE IL TRATTO D'UNIONE.
L’iniziativa: “PRIVACY & DATA PROTECTION”, è stata implementata basandosi sulla considerazione che la stragrande maggioranza dell’attività delle aziende si svolge utilizzando strumenti più o meno complessi di ICT, i quali sono costantemente sotto attacco da parte di hacker ed organizzazioni criminali, che impiegano tecniche sempre più moderne e complesse per insidiare sistemi ed infrastrutture ed ingannare gli utenti con virus, malware e attacchi di phishing. In questo contesto gli obiettivi che si intendono conseguire attreverso l’attività didattica sono:
– Valutare le architetture di sicurezza di una organizzazione al fine di identificare minacce e vulnerabilità;
– Sviluppare le politiche aziendali che consentano di aumentare il livello di protezione da attacchi o incidenti informatici;
– Predisporre procedure di governance, il costante controllo dei sistemi, l’auditing, la gestione della conformità, la gestione dell’operatività;
– Motivare i propri collaboratori e saper comunicare in modo adeguato e appropriato ai vertici aziendali i rischi derivanti;
– Pianificare e contribuire alla realizzazione di programmi di sensibilizzazione sulla sicurezza delle informazioni.
COMPETENZE IN USCITA:
– Applicare protocolli di controllo e affrontamento di criticità relative alla sicurezza del sistema informativo;
– Implementare politiche di sicurezza informativa e tendere al loro miglioramento nel tempo.
CONOSCENZE IN USCITA:
– Controllo degli ambienti per individuare e registrare minacce e debolezze;
– Analisi degli asset critici dell’azienda per individuare vulnerabilità rispetto a intrusioni o attacchi
– Misure di gestione delle violazioni della sicurezza informatica
VERIFICA
Valutazione Quantitativa: Test a risposta multipla di verifica delle conoscenze
Valutazione Qualitativa: Prova strutturata di verifica delle competenze
ATTESTAZIONE
Attestato di Partecipazione: Rilasciato a tutti i discenti che abbiano una frequenza superiore al 70%.
Attestazione di Frequenza: Rilasciato al superamento delle prove di verifica quantitativa e qualitativa con punteggio medio minimo di 70/100.
PIETRO TATEO
INFO@ILTRATTODIUNIONE.IT
CYBERSECURITY
La capacità dell’uomo di creare sistemi inviolabili rappresenta un mito ricorrente. Spesso, tuttavia, questo si è scontrato con una realtà ben diversa dalle aspettative. L’unità formativa prevede la presentazione e discussione estensiva di tutte le possibili tipologie di attacco informatico, nella fattispecie si affronteranno:
– attacchi in grado di sfruttare specifiche debolezze di un programma software (Expolit; Shell Code; Buffer overflow; Stack overflow; Heap overflow);
– attacchi in grado di sfruttare connessioni di rete e porte TCP di accesso al sistema target o di intervenire sul traffico di rete (Backdoor; Port scanning; Sniffing; Keylogging; Spoofing; DoS e DDoS);
– attacchi condotti con l’utilizzo di software malevolo (Malware; Trojan Horse; Virus; Spyware);
– attacchi di social engineering, con l’obiettivo di sfruttare la scarsa consapevolezza della riservatezza delle informazioni apparentemente non critiche.
I soggetti destinatari sono tutti i lavoratori e lavoratrici subordinati che svolgono o intendono svolgere le mansioni di ICT Security Manager di imprese di piccole dimensioni in fase di digitalizzazione o di inizio di un processo di digitalizzazione. La figura gestisce la politica di sicurezza del Sistema di Informazioni, definisce la politica di sicurezza del Sistema di Informazioni; gestisce la diffusione delle sicurezza attraverso tutti i sistemi informativi; assicura la fruizione delle informazioni disponibili; inoltre è responsabile delle politica di sicurezza ICT rispetto agli stakeholder interni ed esterni. Il responsabile di sistemi per la gestione della sicurezza delle informazioni è il soggetto delegato dalla direzione aziendale per il coordinamento della definizione, l’attuazione, il mantenimento e il miglioramento continuo del SGSI, conformemente ai requisiti della politica aziendale per la sicurezza ed alle norme vigenti.
Obiettivi dell’apprendimentoL’unità formativa intende conseguire i seguenti obiettivi:
– fornire ai partecipanti una panoramica a tutto tondo sulla sicurezza spaziando dalla sicurezza di rete e dei sistemi a quella applicativa sino a toccare temi come le vulnerabilità e i meccanismi di accesso ed autenticazione;
– affrontare gli aspetti giuridici e normativi del trattamento dei dati personali e della tutela della privacy;
– incrementare il livello di consapevolezza sui danni di un attacco informatico e sul suo possibile impatto sull’operatività aziendale;
– incrementare la protezione degli asset fisici e la confindezialità, integrità e disponibilità delle informazioni gestite nei vari contesti aziendali;
– stimare il livello di sicurezza aziendale ed il suo gap rispetto ad una situazione ottimale;
– predisporre politiche, processi, controlli e contromisure in grado di contrastare le minacce informatiche;
– fornire una visione d’insieme sui principali standard internazionali.
VERIFICA
Valutazione Quantitativa: Test a risposta multipla di verifica delle conoscenze
Valutazione Qualitativa: Prova strutturata di verifica delle competenze
ATTESTAZIONE
Attestato di Partecipazione: Rilasciato a tutti i discenti che abbiano una frequenza superiore al 70%.
Attestazione di Frequenza: Rilasciato al superamento delle prove di verifica quantitativa e qualitativa con punteggio medio minimo di 70/100.
Formazione a distanza sincrona
MetodologiaCoerentemente ai target da realizzare, si adotterà un metodologia didattica interattiva. Docenti e partecipanti si scambiano idee, negoziano significati e prospettive, considerano punti di vista alternativi, possibilità e ipotesi, rendono esplicito il ragionare per conseguire una comprensione comune, creare coinvolgimento, sollecitare l’interesse e favorire la discussione dei casi provenienti dall’esperienza; ciò consentirà di adattare i contenuti alle esigenze specifiche dei partecipanti.
ANALISI DEI RISCHI DEI SISTEMI ICT
In ambito IT garantire la sicurezza di un sistema informativo significa garantirne:
– riservatezza delle informazioni (confidentiality): solo chi è autorizzato deve poter accedere all’informazione;
– integrità delle informazioni (integrity): le informazioni non devono essere danneggiate o modificate per caso o con intenzioni malevole;
– disponibilità delle informazioni (availability): le informazioni devono essere sempre disponibili a chi è autorizzato ad utilizzarle.
A partire da questi presupposti l’unità formativa: “ANALISI DEI RISCHI DEI SITEMI ICT”, affronterà le tematiche legate alle metodologie di Risk Analisys associati all’esercizio di un sistema ICT; nello specifici gli argomenti verteranno su:
– Analisi del contesto e valutazione degli asset;
– Identificazione delle minacce e degli attaccanti;
– Identificazione delle vulnerabilità;
– Determinazione della probabilità;
– Analisi dell’impatto;
– Determinazione del rischio.
I soggetti destinatari sono tutti i lavoratori e lavoratrici subordinati che svolgono le mansioni Executives e Business Developer di imprese di piccole dimensioni in fase di digitalizzazione o di inizio di un processo di digitalizzazione. La figura interessata è un professionista che ha il compito di sviluppare il business di un’azienda, ampliando la collaborazione coi clienti attuali dell’azienda e trovandone di nuovi, leggendo con attenzione le tendenze del mercato di riferimento. Può identificare nuove strategie per nuovi prodotti che verranno richiesti nel settore di attività, nuovi possibili clienti che si affacciano per la prima volta nel campo d’azione oppure esigenze nuove per i clienti già esistenti.
Obiettivi dell’apprendimentoGli obiettivi che si intendo conseguire con l’unità formativa sono:
– Identificare i principali rischi a carico della sicurezza, prima che si verifichino attacchi concreti da parte dei criminali informatici;
– Mappare il sistema e definirne le caratteristiche strutturali, ed identificare in via preventiva i punti di debolezza del perimetro informatico aziendale;
– Pianificarne l’aggiornamento costante ed il controllo del sistema ICT per implementare adeguate politiche e strategie di difesa;
– Definire il grado di rischio attuale, senza sovrastimarlo oppure sottostimarlo;
– Stabilire una rapporto tra i rischi e i benefici legati all’attività di vulnerability assessment;
– Definire nel concreto gli investimenti necessari a implementare adeguate politiche di protezione del sistema;
– Assicurare il rispetto delle normative ai sensi del GDPR in materia di protezione dei dati;
– Abbattere le spese legate ai data breach, garantendo la continuità stessa dell’attività aziendale.
VERIFICA
Valutazione Quantitativa: Test a risposta multipla di verifica delle conoscenze
Valutazione Qualitativa: Prova strutturata di verifica delle competenze
ATTESTAZIONE
Attestato di Partecipazione: Rilasciato a tutti i discenti che abbiano una frequenza superiore al 70%.
Attestazione di Frequenza: Rilasciato al superamento delle prove di verifica quantitativa e qualitativa con punteggio medio minimo di 70/100.
Lezioni frontali (Aula tradizionale)
MetodologiaCoerentemente ai target da realizzare, si adotterà un metodologia didattica interattiva. Docenti e partecipanti si scambiano idee, negoziano significati e prospettive, considerano punti di vista alternativi, possibilità e ipotesi, rendono esplicito il ragionare per conseguire una comprensione comune, creare coinvolgimento, sollecitare l’interesse e favorire la discussione dei casi provenienti dall’esperienza; ciò consentirà di adattare i contenuti alle esigenze specifiche dei partecipanti.
Ancona, Bari, Barletta-Andria-Trani, Lecce, Milano, Roma, Taranto,