Firenze – Cybersecurity: skills per la tutela delle infrastrutture aziendali

Dalle 10.00 alle 17.00

Sede di Ti Forma

via Giovanni Paisiello, 8 – Firenze

La Cybersecurity è un prerequisito fondamentale per lo sviluppo dell’Economia Digitale: a partire dall’utilizzo interno di infrastrutture idonee per poi guardare allo sviluppo delle relazioni economiche e delle collaborazioni tra Paesi, cittadini e imprese.

In tale contesto, dove le informazioni devono essere intese come uno dei principali asset aziendali, il corso ha l’obiettivo di illustrare ai partecipanti quali leve normative e di compliance sono funzionali alla prevenzione ed alla gestione degli aspetti di cybersecurity.

Nel pomeriggio saranno illustrate le tecniche impiegate nel mondo reale per compiere attacchi informatici. Saranno, inoltre, mostrate le best practices da seguire per limitare il rischio di violazione dei propri dati e di quelli di cui si ha la custodia e verrà presentato un attacco informatico ad un sistema.

Programma

Premesse 

ICT Governance and auditing management

  • Le principali figure aziendali coinvolte dal tema cybersecurity
  • Policy e procedure da implementare
  • La struttura dei piani di audit

Il ruolo dei fornitori

  • La selezione dei fornitori: i requirements legali di rilevanza
  • Quali aspetti di cybersecurity dovrebbero essere inclusi nei contratti a rilevanza informatica
  • Nuovi progetti ICT: security by design

Cyber sicurezza

  • La rilettura sotto il profilo normativo dei vulnerability assessment e dei penetration test
  • Le misure di sicurezza fisiche e logiche

Il contributo del GDPR alla Cybersecurity

  • Il principio dell’accountability per la revisione di procedure e flussi interni
  • I principi di Privacy by design e by default
  • DPIA come strumento di valutazione del rischio
  • Le misure di sicurezza: pseudonimizzazione, cifratura e data retention
  • Strumenti di rilevazione gestione e notifica dei data breach
  • Aspetti economici e reputazionali

Controllo a distanza dei dipendenti (art. 4 L. 300/1970)

  • La riforma a seguito del Jobs Act
  • Come la norma impatta sul settaggio tecnico degli strumenti informatici di cybersecurity (es. SIEM, proxy, firewall, MDM ecc.)

Altri quadri normativi di riferimento per la cybersecurity

  • Direttiva NIS
  • Cybersecurity Act
  • Ruolo e raccomandazione ENISA
  • Cyber-security framework

Reati Informatici e 231

  • La rilevanza dei reati informatici non solo ex 231
  • Mappatura dei rischi 231
  • Il MOG
  • L’attività dell’OdV sul MOG in materia di reati informatici

Case history 

Security Awareness

  • Virus e Ransomware
  • Phishing
  • Attacchi nei luoghi pubblici
  • Cosa significa Advanced Persistent Threat
  • Gli APT nelle cronache

Presentazione di un attacco informatico ad un sistema

L’intervento prevede la presentazione di un attacco informatico ad un sistema atto alla contestualizzazione del concetto di Advanced Persistent Threat e dei gruppi criminali associati; obiettivo è rendere manifesto come, a causa dell’assenza di opportune misure di sicurezza, sia tecnicamente possibile acquisire il controllo di un sistema e quindi rubarne le informazioni.

  • Contesto della simulazione
  • Simulazione di un attacco
  • Analisi dell’attacco
  • Analisi delle misure di sicurezza 

Destinatari:

Security Officer, IT Manager, Amministratori di sistema, Compliance Manager e Privacy Officer.

Docenti:

Alessandro Cecchetti, Consultant in Diritto delle Nuove Tecnologie

Simone Rapizzi, Red Team e IT Security Engineer

Per consultare il programma ed iscriversi al corso:

Scopri l'evento