Information Risk Management & Business Continuity

CHE COS’È

L’informatizzazione dei processi produttivi ha portato le aziende alla dipendenza dal loro patrimonio di dati informatici e dai sistemi e l’organizzazione che li gestiscono. I sistemi e l’organizzazione sono per loro natura vulnerabili e molte sono le minacce (umane e non), provenienti dall’esterno e, più spesso, dall’interno del perimetro aziendale che vi insistono. Le aziende devono proteggere il proprio patrimonio di dati per garantire l’affidabilità dei propri processi, l’immagine dell’azienda e il rispetto delle leggi.
Nell’utilizzo dei dati e nella loro tutela sono coinvolti molti attori al centro e sul territorio (funzioni di business, IT, audit, AFC, Personale & Organizzazione, ecc.): è frequente che tali attori non sempre agiscano in modo coordinato o che iniziative tra loro simili siano duplicate all’interno dell’organizzazione come il fatto che la spesa per controlli di sicurezza sia diffusa e non controllata centralmente. D’altra parte, le risorse sono sempre più limitate e azioni disomogenee rischiano di compromettere gli investimenti ed il lavoro di intere unità organizzative.
Non di rado, la sicurezza viene ingaggiata a “giochi fatti”: il Time To Market, obiettivo indispensabile, viene rincorso esponendo le aziende a rischi in modo inconsapevole. Infine, ma non meno importante, l’evoluzione dell’organizzazione, dei servizi offerti, delle tecnologie e delle normative vigenti, nel tempo, rende obsoleti i controlli.
La comprensione del contesto normativo è essenziale:
– l’equipollenza di “processi digitali” e “processi manuali” – che via via vanno sparendo – può essere garantita solo dalla corretta applicazione delle norme;
– è necessario identificare correttamente i requisiti con i quali progettare i controlli;
– i sistemi informativi possono utilizzati per effettuare controlli di performance e di sicurezza necessari all’azienda che devono sottostare a precise norme di legge;
– la normativa stessa può richiedere alle aziende controlli che possono essere effettuati minore spesa attraverso strumenti informatici.
Tutto ciò premesso, è necessario organizzare in modo adeguato i processi di gestione dei rischi per identificare quelli a cui si è effettivamente esposti, valutare i costi ed i benefici degli interventi, progettare e implementare i controlli, supportare l’organizzazione nella loro adozione senza pregiudicare il time to market e, possibilmente, senza ingessare i processi e ridurre le prestazioni dei sistemi, monitorare l’efficacia dei controlli stessi e tenere allineato il sistema di sicurezza delle informazioni all’evoluzione dell’azienda, delle normative di legge e del contesto in cui opera.

OBIETTIVI DEL CORSO

Al fine di migliorare le capacità di valutazione dei rischi legati all’informatizzazione dei processi aziendali e di progettazione dei controlli atti a monitorarli e a mitigarli per aumentare la retention dei clienti, il business value dei prodotti e migliorare l’immagine aziendale, il corso ha l’obiettivo di:

  • introdurre ai processi di gestione e governo della sicurezza delle informazioni e alle metodologie di analisi del rischio e analisi degli impatti;
  • aumentare la comprensione dei requisiti fondamentali di sicurezza delle informazioni nonché delle principali normative, standard e best practice in materia di protezione dei dati e prevenzione dalle frodi;
  • introdurre alla progettazione dei controlli di sicurezza.

 

Calendario dei corsi

PERSONALE DOCENTE

  • Corrado Pomodoro, Senior Manager presso HSPI SpA, è laureato in Ingegneria Elettronica e diplomato in Information Technology presso il CEFRIEL (Centro di ricerca e formazione nel settore ICT). Opera da vent’anni nel settore ICT e dal 2007 è responsabile per HSPI del coordinamento progetti in ambito Information Security e Risk Management e della relativa linea di offerta. Docente di corsi di formazione in ambito Networking e Sicurezza delle informazioni, è socio ISACA-AIEA, certificato CISA, CISM, ITIL v3 Foundation e COBIT v4.1 Foundation e qualificato ISO/IEC27001 Lead Auditor.
  • Gabriele Faggioli esercita la professione legale ed è consulente in ambito legale e di contrattualistica dei sistemi informativi. È docente del MIP (Politecnico di Milano) e professore a contratto in Diritto del Management delle ICT presso l’Università degli Studi di Pavia. È specializzato in contrattualistica informatica e telematica, in information & telecommunication law, nel diritto della proprietà intellettuale e industriale e negli aspetti legali della sicurezza informatica, in progetti inerenti l’applicazione delle normative inerenti la responsabilità amministrativa degli enti e nel diritto dell’editoria e del markerting.

CONTENUTO DEL CORSO

Primo Giorno

  1. Information Risk Management, driver e sistemi di gestione
  2. Fondamenti sulla responsabilità giuridica (tipi, classificazione, fonti, attribuzione della responsabilità e onere della prova)
  3. Tipologia di illeciti collegati alla gestione dei sistemi IT che possono coinvolgere l’azienda
  4. La responsabilità penale dell’impresa (d.lgs. 231/01)
  5. Le indagini amministrative, penali ed interne (computer forensics)
  6. Gli impatti normativi sui Sistemi Informativi:
    • obbligo di secure programming nello sviluppo (anche in outsourcing) di applicazioni e piattaforme;
    • certificazione delle misure di sicurezza installate da terze parti;
    • controllo in tempo reale e asincrono dell’uso delle risorse di comunicazione;
    • il ruolo dei sistemi di identity management;
    • documento informatico giuridicamente valido e rilevante ad ogni effetto di legge, Firma digitale;
    • Privacy (d.lgs. 196/2003 ), misure di sicurezza per il trattamento dei dati personali e linee guida del Garante;
    • la nuova legge sul Risparmio – Adeguatezza delle procedure amministrativo-contabili (L. 262/05) – Aspetti di auditing delle procedure e dei sistemi informativi.

Secondo Giorno

  1. Standard e best practice internazionali (es.: ISO27001, BS25999, DRII, ISC2, NIST, COBIT, COSO)
  2. Cenni di Enterprise Risk Management e Internal Auditing
  3. I processi di gestione dei rischi delle informazioni
  4. Ruoli e responsabilità, tenendo anche conto della trasversalità delle attività di tutela delle informazioni all’interno dell’organizzazione e degli outsourcer
  5. Analisi del Rischio e Business Impact Analysis
  6. Controlli di sicurezza:
    • introduzione ai controlli di sicurezza, policy e sistemi di controllo interno (SCI, Audit);
    • controlli organizzativi, logici e fisici;
    • controlli preventivi, di rilevazione, correttivi, di ripristino;
    • controlli di cogenza, trasparenza e deterrenza;
    • principi di segregation of duties e need to know.
  7. Sviluppo e gestione dei programmi per la sicurezza
  8. Comunicazione e awareness

Terzo Giorno

  1. Piani di sicurezza e Business Continuity (selezione dei controlli, sviluppo e gestione dei Piani di BC e Piani di Sicurezza, gestione degli incidenti e delle crisi informatiche, cenni di computer forensics)
  2. Policy compliance (Identity e Access Management, Information Security Event Management)
  3. Dashboard direzionale per la compliance alle policy di sicurezza e la valutazione dell’efficacia dei controlli)
  4. Audit e verifiche di sicurezza (Vulnerability Assessment, Penetration Test, Code Review, Audit dei processi)