Con il Corso IT Security Governance & Management apprenderai tutte le nozioni utili per farlo.

Tutte le aziende, piccole o grandi, pubbliche o private hanno dei processi lavorativi digitalizzati. Per questo, possono essere vittime di attacchi informatici che ne compromettano il regolare funzionamento determinando un’interruzione della produzione con conseguenti danni economici.

L’obiettivo del Responsabile IT, del CISO, e di tutte le figure che gestiscono la parte IT di un’azienda, è garantire la continuità aziendale (Business Continuity) definendo un’adeguata architettura ICT ed un sistema di sicurezza digitale in grado di ridurre gli impatti di eventuali tentativi di intrusione non autorizzati.

Gli obiettivi formativi del Corso IT Security Governance & Management sono:

Il Corso IT Security Governance & Management livello Core ha una durata totale di 30 ore  in videolezioni.

Si compone di Video lezioni disponibili in modalità OnDemand da visualizzare quando e dove vuoi,  su qualsiasi dispositivo, grazie all’accesso alla nostra piattaforma digitale MUSA.

Vorresti seguire il nostro corso in modalità Online Live con interazione diretta con il docente?

Contattaci per conoscere il calendario ed il prezzo dedicato a te cliccando qui:

Management (Core + Advanced)

CORE LEVEL
MODULO 1
Presentazione del corso, dei suoi obiettivi, e del docente
● Presentazione degli obiettivi del corso
● Presentazione sintetica dei moduli con gli argomenti cronologicamente trattati
Presentazione del docente
Caratteristiche e ruolo di un moderno SI
● schema tipico di un moderno SI, sia on premise, che terziarizzato o un mix dei due (ibrido)
● la necessità di allineare il SI al business
● il piano di evoluzione del business e del SI
● il ruolo dell’architettura ICT per il SI
● la necessità di una effettiva cybersecurity per garantire la continuità operativa (business
continuity) di processi/attività chiave per il business
● SI come commodity (almeno per le piccole strutture): è ragionevole? Ha senso?
Gli aspetti organizzativi e normativi per il SI e la sua sicurezza
● il modello demand-delivery
● strutture, ruoli e competenze
● La separazione dei ruoli (SoD, matrici RACI)
● l’interfacciamento ed il controllo dei fornitori ICT-outsourcer
● policy e procedure organizzative
● cenni alle ultime leggi e normative in vigore in Italia
● Esempi di attuazione in strutture organizzative di grandi e di medio-piccole dimensioni.
Approfondimento differenza tra governo (governance) e gestione operativa (management) del SI e
della sua sicurezza digitale
● Standard e best practice di riferimento ed il loro posizionamento/confronto nella logica matrice
3×3
Quando, cosa e come terziarizzare della governance e del management operativo
La Governance e la compliance alle principali normative
● La necessità/ opportunità di una approccio “integrato”
● GDPR e normative sulla privacy e la relativa sicurezza
● NIS e NIS 2
● Perimetro di sicurezza nazionale cibernetica (DPCM 30 luglio 2020)
● Cybersecurity Act
● Le normative per la PA (AgID)
Le leggi sul computer crime
Gli Enti italiani ed europei per l’ICT e la sicurezza digitale

● ENISA
● ACN con CSIRT, NCS, CVCN
● Polizia Postale e delle Comunicazioni con CNAIPIC
● COR e altre strutture militari
Altre strutture (NATO, …)
Test Verifica comprensione contenuti Unità 1
MODULO 2
L’allineamento temporale tra il business ed il SI e la sua sicurezza tramite l’architettura ICT
● Cenni sui modelli di business ed i modelli architetturali ICT (standard e best practice)
● Esempi di architetture ICT, partendo dallo standard Togaf
● Esempi di architetture per la sicurezza digitale: NIST, OSA, …
● Le nuove architetture per la sicurezza digitale quali Zero Trust, SASE, SOAR, etc.
● Architetture SI “proprietarie”
o Microsoft, Oracle, Google, etc.
● Architetture applicative proprietarie
o SAP, Oracle, Google, AWS, etc.
Terziarizzazioni e cloud
● i pro ed i contro delle terziarizzazioni e dei servizi in cloud
● clausole contrattuali
● SLA e KPI
● Rightsourcing: logiche e criteri per una corretta scelta del/i fornitore/i
La sicurezza digitale
● Che cosa è la sicurezza digitale
● Security by design e by default
● Il processo continuo della sicurezza digitale
o le sue misure tecniche ed organizzative (prevenzione, contrasto, ripristino,
gestione/governo)
● il Framework NIST
● Standard ISO
● Standard NIST ed altri
● Cosa richiede AgID per le PA: CAD e altre normative
● Cosa richiede GDPR
● Il costo della sicurezza digitale ed il costo della “non sicurezza”
la terziarizzazione della sicurezza digitale: MSS e CSaaS
Next Generation Security: le principali innovazioni
che possono impattare sul SI, sulla sua gestione e sulla sua sicurezza digitale
● Strumenti di Intelligenza Artificiale (IA) e di machine Learning (ML)
● Blockchain
● Big Data e Analytics

● Digital twin
Identificazione biometrica utenti e autenticazione passwordless (es. FIDO2)
Cenni alle moderne logiche di sviluppo del software
● Object Orientation e Componentware
● Agile/Extreme/Lean Programming
● DevOps
● Low Code
● Cenni agli ambienti di sviluppo software integrati (IDE, integrated development environment)
Lo sviluppo sicuro di software
Test Verifica comprensione contenuti Unità 2
MODULO 3
La classificazione dei dati ed il loro ciclo di vita (con esempi pratici)
Gli strumenti per la gestione dei dati (Data Catalog, etc.)
Gli attacchi digitali più diffusi e più critici in Italia
● Attacchi target e diffusi
● Dall’indagine OAD di AIPSI
● Da altri rapporti
● L’impatto del Covid-19 e della guerra informatica
● I futuri possibili attacchi più temuti e più probabili
Analisi delle vulnerabilità, dei rischi ICT e dei loro impatti (con esempi e casi pratici)
● Vulnerabilità tecniche, organizzative, delle persone
● il concatenamento delle vulnerabilità dalle infrastrutture alle applicazioni e alla loro gestione
● Come individuare le principali vulnerabilità tecniche
o CVE/Mitre, US DNS, ed altre fonti
o OSWAP per le vulnerabilità dei web
o Cenni agli strumenti di analisi vulnerabilità ICT tipo Nessus, Qualys, OpenVas, etc.
● Dall’analisi delle vulnerabilità ICT all’analisi dei rischi e dei loro impatti
o Come valutare i possibili impatti di un attacco digitale
Cenni alla simulazione di attacchi e ai pentest
La necessità della continuità operativa (Business Continuity) e del Piano di Disaster Recovery
● Standard e best practice di riferimento
● Come impostare un effettivo ed efficace Piano di Disaster Recovery
o Le varie modalità attuative, ed i criteri di scelta di quale adottare e seguire
● ERT, Emergency Response Team
Simulazione di un DR con DTE, Desk Top Exercise
L’auditing per il SI
● Che cosa è a che cosa serve
● Interno, esterno, mix

● standard di riferimento: Cobit, SAE70, ISAE 3402, SSAE16.
Cenni alle certificazioni
Test Verifica comprensione contenuti Unità 3

Scarica il programma completo