Information Risk Management & Business Continuity

CHE COS’È

L’informatizzazione dei processi produttivi ha portato le aziende alla dipendenza dal loro patrimonio di dati informatici e dai sistemi e l’organizzazione che li gestiscono. I sistemi e l’organizzazione sono per loro natura vulnerabili e molte sono le minacce (umane e non), provenienti dall’esterno e, più spesso, dall’interno del perimetro aziendale che vi insistono. Le aziende devono proteggere il proprio patrimonio di dati per garantire l’affidabilità dei propri processi, l’immagine dell’azienda e il rispetto delle leggi.
Nell’utilizzo dei dati e nella loro tutela sono coinvolti molti attori al centro e sul territorio (funzioni di business, IT, audit, AFC, Personale & Organizzazione, ecc.): è frequente che tali attori non sempre agiscano in modo coordinato o che iniziative tra loro simili siano duplicate all’interno dell’organizzazione come il fatto che la spesa per controlli di sicurezza sia diffusa e non controllata centralmente. D’altra parte, le risorse sono sempre più limitate e azioni disomogenee rischiano di compromettere gli investimenti ed il lavoro di intere unità organizzative.
Non di rado, la sicurezza viene ingaggiata a “giochi fatti”: il Time To Market, obiettivo indispensabile, viene rincorso esponendo le aziende a rischi in modo inconsapevole. Infine, ma non meno importante, l’evoluzione dell’organizzazione, dei servizi offerti, delle tecnologie e delle normative vigenti, nel tempo, rende obsoleti i controlli.
La comprensione del contesto normativo è essenziale:
– l’equipollenza di “processi digitali” e “processi manuali” – che via via vanno sparendo – può essere garantita solo dalla corretta applicazione delle norme;
– è necessario identificare correttamente i requisiti con i quali progettare i controlli;
– i sistemi informativi possono utilizzati per effettuare controlli di performance e di sicurezza necessari all’azienda che devono sottostare a precise norme di legge;
– la normativa stessa può richiedere alle aziende controlli che possono essere effettuati minore spesa attraverso strumenti informatici.
Tutto ciò premesso, è necessario organizzare in modo adeguato i processi di gestione dei rischi per identificare quelli a cui si è effettivamente esposti, valutare i costi ed i benefici degli interventi, progettare e implementare i controlli, supportare l’organizzazione nella loro adozione senza pregiudicare il time to market e, possibilmente, senza ingessare i processi e ridurre le prestazioni dei sistemi, monitorare l’efficacia dei controlli stessi e tenere allineato il sistema di sicurezza delle informazioni all’evoluzione dell’azienda, delle normative di legge e del contesto in cui opera.

OBIETTIVI DEL CORSO

Al fine di migliorare le capacità di valutazione dei rischi legati all’informatizzazione dei processi aziendali e di progettazione dei controlli atti a monitorarli e a mitigarli per aumentare la retention dei clienti, il business value dei prodotti e migliorare l’immagine aziendale, il corso ha l’obiettivo di:

  • introdurre ai processi di gestione e governo della sicurezza delle informazioni e alle metodologie di analisi del rischio e analisi degli impatti;
  • aumentare la comprensione dei requisiti fondamentali di sicurezza delle informazioni nonché delle principali normative, standard e best practice in materia di protezione dei dati e prevenzione dalle frodi;
  • introdurre alla progettazione dei controlli di sicurezza.

 

Calendario dei corsi

A CHI È RIVOLTO: CIO, CISO (Chief Information Security Officer), CRO (Chief Risk Officer), responsabili della sicurezza delle informazioni, responsabili IT, responsabili dell’ufficio legale, IS Auditor, Business Owner

DURATA: 3 giorni

LOCATION: Sede HSPI o sede del cliente

PERSONALE DOCENTE

  • Corrado Pomodoro, Senior Manager presso HSPI SpA, è laureato in Ingegneria Elettronica e diplomato in Information Technology presso il CEFRIEL (Centro di ricerca e formazione nel settore ICT). Opera da vent’anni nel settore ICT e dal 2007 è responsabile per HSPI del coordinamento progetti in ambito Information Security e Risk Management e della relativa linea di offerta. Docente di corsi di formazione in ambito Networking e Sicurezza delle informazioni, è socio ISACA-AIEA, certificato CISA, CISM, ITIL v3 Foundation e COBIT v4.1 Foundation e qualificato ISO/IEC27001 Lead Auditor.
  • Gabriele Faggioli esercita la professione legale ed è consulente in ambito legale e di contrattualistica dei sistemi informativi. È docente del MIP (Politecnico di Milano) e professore a contratto in Diritto del Management delle ICT presso l’Università degli Studi di Pavia. È specializzato in contrattualistica informatica e telematica, in information & telecommunication law, nel diritto della proprietà intellettuale e industriale e negli aspetti legali della sicurezza informatica, in progetti inerenti l’applicazione delle normative inerenti la responsabilità amministrativa degli enti e nel diritto dell’editoria e del markerting.

CONTENUTO DEL CORSO

Primo Giorno

  1. Information Risk Management, driver e sistemi di gestione
  2. Fondamenti sulla responsabilità giuridica (tipi, classificazione, fonti, attribuzione della responsabilità e onere della prova)
  3. Tipologia di illeciti collegati alla gestione dei sistemi IT che possono coinvolgere l’azienda
  4. La responsabilità penale dell’impresa (d.lgs. 231/01)
  5. Le indagini amministrative, penali ed interne (computer forensics)
  6. Gli impatti normativi sui Sistemi Informativi:
    • obbligo di secure programming nello sviluppo (anche in outsourcing) di applicazioni e piattaforme;
    • certificazione delle misure di sicurezza installate da terze parti;
    • controllo in tempo reale e asincrono dell’uso delle risorse di comunicazione;
    • il ruolo dei sistemi di identity management;
    • documento informatico giuridicamente valido e rilevante ad ogni effetto di legge, Firma digitale;
    • Privacy (d.lgs. 196/2003 ), misure di sicurezza per il trattamento dei dati personali e linee guida del Garante;
    • la nuova legge sul Risparmio – Adeguatezza delle procedure amministrativo-contabili (L. 262/05) – Aspetti di auditing delle procedure e dei sistemi informativi.

Secondo Giorno

  1. Standard e best practice internazionali (es.: ISO27001, BS25999, DRII, ISC2, NIST, COBIT, COSO)
  2. Cenni di Enterprise Risk Management e Internal Auditing
  3. I processi di gestione dei rischi delle informazioni
  4. Ruoli e responsabilità, tenendo anche conto della trasversalità delle attività di tutela delle informazioni all’interno dell’organizzazione e degli outsourcer
  5. Analisi del Rischio e Business Impact Analysis
  6. Controlli di sicurezza:
    • introduzione ai controlli di sicurezza, policy e sistemi di controllo interno (SCI, Audit);
    • controlli organizzativi, logici e fisici;
    • controlli preventivi, di rilevazione, correttivi, di ripristino;
    • controlli di cogenza, trasparenza e deterrenza;
    • principi di segregation of duties e need to know.
  7. Sviluppo e gestione dei programmi per la sicurezza
  8. Comunicazione e awareness

Terzo Giorno

  1. Piani di sicurezza e Business Continuity (selezione dei controlli, sviluppo e gestione dei Piani di BC e Piani di Sicurezza, gestione degli incidenti e delle crisi informatiche, cenni di computer forensics)
  2. Policy compliance (Identity e Access Management, Information Security Event Management)
  3. Dashboard direzionale per la compliance alle policy di sicurezza e la valutazione dell’efficacia dei controlli)
  4. Audit e verifiche di sicurezza (Vulnerability Assessment, Penetration Test, Code Review, Audit dei processi)
Servizi collegati
Cybersecurity & information risk management
ISCRIVITI

INFO

Per Informazioni aggiuntive e ulteriori approfondimenti non esitare a contattarci compilando l’apposito form.

CONTATTACI

FLYER

Scarica il PDF del corso

PDF

CATALOGO

Se preferisci consultare tutti i nostri corsi di formazione anche off line, scarica il catalogo in pdf.

PDF

NEWS

ENISA ha pubblicato un framework per la compliance alla direttiva NIS

30.11.2018

L’Agenzia europea per la sicurezza delle reti e dell’informazione ha pubblicato il framework “Information Security Audit and Self – Assessment Frameworks for operators of essential services and digital service providers” per le Autorità Competenti Nazionali (NCA), i Digital Service Provider (DSP) e gli Operatori dei Servizi Essenziali (OES). L’output dello studio è un insieme di buone […]

Cybersecurity nel settore legale: presentate le Linee Guida dell’IBA

25.10.2018

In occasione della prima conferenza annuale dell’IBA in Italia, sono state presentate a Roma le Linee Guida per la Cybersecurity. Nel documento si afferma che «La minaccia di attacchi cyber su vasta scala contro gli studi legali è un rischio reale», segnalando come le law firm siano nel mirino degli attacchi a causa dell’alto valore commerciale […]

VAI ALLE NEWS
Corsi di Formazione correlati

Certified Information Security Manager (CISM)

a chi è rivolto:
CIO, CTO, IT Manager, Responsabili della sicurezza IT, Consulenti IT e auditor IT

ISO 22301 Lead Auditor

a chi è rivolto:
CIO, Demand Manager, Responsabili Sviluppo, Business Analyst, Responsabili Architettura, Service Manager, Auditor interni o esterni, Chief Risk Office (CRO), Chief Security Officer (CSO), Chief Information Security Officer (CISO)