L'organizzazione della Sicurezza delle informazioni (SEC111) – Contenuti

Contenuti dettagliati del Corso

Basi dell’Information Security management

  • Integrità
  • Riservatezza
  • Disponibilità

Panoramica legislativa e regolamentare

  • Regolamento Generale sulla Protezione dei Dati (GDPR)
  • Altre leggi internazionali sulla privacy dei dati
  • Legge 231/2001 responsabilità amministrativa aziende
  • Legge 633/1941 tutela diritti d’autore
  • Legge 547/1993 criminalità informatica
  • Dlgs 70/2003 commercio e pagamenti elettronici
  • Sarabanes-Oxley trasparenza finanziaria
  • Gramm-Leach-Bliley Act 1999 sicurezza dati clienti per il sistema finanziario
  • HIPAA tutela dati personali sistema sanitario statunitense
  • Leggi penali contro la criminalità informatica in Europa e nel mondo
  • E-Gov e sicurezza nelle PA
  • Direttiva NIS22

Gli standard della sicurezza informatica

  • ISO/IEC 27001:2022 Information technology. Code of practice for information security management
  • ISO 27002
  • ISO/IEC IS 15408 Information technology (Security techniques and Evaluation criteria for IT security) noti come common criteria ITSEC
  • ISO/IEC 27033-4:2014 - Information technology Security techniques
  • ISO/IEC 27035-1:2023 - Information technology Information security incident management
  • ISO/IEC 27017
  • ISO/IEC 27018:2019
  • ISO/IEC 27701
  • NIST Special Publication 800-53 Revision 5

La raccolta e l’analisi delle informazioni

  • Verifiche e sopralluoghi
  • Le interviste conoscitive
  • Il documento riepilogativo

L’analisi del rischio

  • In cosa consiste l’analisi dei rischi
  • Caratteristiche della metodologia
  • I concetti essenziali
  • Evento
  • Vulnerabilità
  • Minaccia
  • Valore
  • Entità del rischio
  • Impatto
  • Le relazioni tra i diversi fattori
  • Le metodologie più diffuse
  • Personalizzare il metodo o accettarlo
  • La raccolta delle informazioni
  • Le interviste conoscitive
  • La ricostruzione di uno storico
  • L’organizzazione dei dati
  • Valutazione dei risultati
  • Definizione del livello di accettabilità del rischio
  • Definizione delle strategie di contrasto (accettare, trasferire, contrastare)
  • Definizione delle priorità e dell’allocazione delle risorse

Definizione delle policy

  • Valutazione dell’impatto sull’azienda
  • Definizione e scelta dell’organizzazione e delle procedure compatibili

Adozione e messa in pratica delle policy

  • Individuazione delle priorità
  • Stesura dei documenti operativi
  • Stesura delle procedure destinate alle diverse figure aziendali
  • Implementazione delle misure di prevenzione fisiche

Il business Continuity Plan

  • Le premesse alla redazione del piano: gli obiettivi
  • Individuazione dello staff destinato al mantenimento ed esecuzione del piano.
  • Individuazione delle situazioni che portano all’attivazione di tutto o parte del piano.
  • Le procedure che definiscono le attività da compiere qualora un incidente comprometta le operazioni dell’attività aziendale,
  • Le procedure di emergenza, per trasferire le attività essenziali in sedi temporanee al fine di non compromettere la continuità dell’attività aziendale; e quelle per ripristinare la normale attività aziendale entro i tempi previsti,
  • Il programma di verifica e manutenzione del piano stesso,
  • Le attività di sensibilizzazione e formazione del personale in merito al Business Continuity Plan,
  • Le responsabilità specifiche in capo ai diversi soggetti coinvolti nel Business Continuity Plan.